防火牆入侵於檢測——————2、思科安全技術和特性

FLy_鵬程萬里發表於2018-06-20

防火牆

什麼是防火牆

防火牆代表一個系統或一組系統，執行兩個或多個網路間的訪問控制策略，通常用於網路的邊界或邊緣，防止外部威脅。也可用於內部網路，防止內部威脅。

防火牆技術型別

有以下三種技術的防火牆

包過濾
代理伺服器
狀態包過濾

包過濾

包過濾防火牆分析網路流量，通常是針對網路層和傳輸層資訊進行分析，基於既定的策略，限制進入或離開一個網路的資訊，或者限制資訊在同一個網路的不同網段(Segment)之間傳遞。它依靠 ACL，根據包的型別或者其他變數，允許或者拒絕資料包的訪問。

根據資訊的原地址和目的地址來控制資訊

代理伺服器

代理伺服器防火牆工作在 OSI 4 到 7 層。開銷比包過濾防火牆大，代理伺服器式的防火牆要求使用者通過代理和安全系統進行通訊，從而隱藏有價值的資料。使用者經過建立會話狀態，通過認證及授權以後，才能訪問到受保護的網路。使用者通過執行在閘道器上的應用程式（代理）連線到外部的服務，閘道器與外部不受保護的區域相連。

狀態包過濾

結合了代理伺服器和包過濾裝置的優點，避免了他們的很多缺點。這種防火牆保持完整的會話狀態。每當一個TCP 或 UDP 連線建立的時後，不管出去的連線，還是進來的連線，這些資訊都被記錄在一個基於狀態的會話流表中。

不僅通過資訊的源和目的地址控制資訊,而且根據狀態表的內容

防火牆技術特性

安全工具特性

Ciscosecurity appliances deliver enterprise-class security for small-to-medium-sizedbusiness and enterprise networks in a modular, purpose-built appliance.

思科安全工具的一些特點:

•私有的作業系統

•狀態包檢測

•基於使用者的認證

•協議和應用程式檢查

•模組化策略

•VPN

•安全上下文(虛擬防火牆)

•容錯能力

•透明防火牆

•基於web 的管理解決方案

私有作業系統

去除了多用途作業系統的缺點

Finesse是 Cisco的私有的作業系統，既非Unix,也非 Windows NT,而是類似 IOS 的作業系統。使用 Finesse,可以減少通用作業系統帶來的風險。該作業系統具有卓越的效能，可以同時處理 50 萬個連線―――比任何基於 Unix 的防火牆的效能都高得多。
(FWSM,FirewallService Modual)目前可以處理 100 萬的同時連線。

狀態包檢測

•這個技術提供了一個狀態連線的安全:

–它追蹤源和目的埠和地址，TCP 序列號, 和其他的TCP標誌.

–It randomizes the initial TCP sequencenumber of each new connection.

•在沒有明確配置的情況下，允許內部系統系統和應用建立單向（從內到外）的連線，高安全級別到低安全級別。

•狀態包檢測支援認證，授權，審計.

Cut-Through代理工作原理

直通代理透明地驗證使用者身份，確定允許還是據絕對基於 TCP 或 UDP 應用的訪問，也被稱為基於使用者的出入連線認證方式。

應用感知監控

•如FTP、H.323等協議需要通過防火牆動態協商新的源或目的地址或埠號。

•安全工具檢測網路層以上的包.

•防火牆檢查網路層資料包。防火牆可以開啟和關閉通過防火牆的合法的客戶端和伺服器之間所協商的埠號。

模組化策略

基於流策略的構建:

•Identifyspecific flows.

•Applyservices to that flow.

虛擬專用網

安全上下文(VirtualFirewall)

•Ability to create multiple securitycontexts (virtual firewalls) within a single security appliance

容錯能力:Active/Standby, Active/Active, and Stateful Failover

•Failoverprotects the network should the primary go offline.

–Active/standby—Only one unit can be actively processingtraffic; the other is
hot standby.

–Active/Active—Both units can processtraffic and serve as backup units.

•Statefulfailover maintains operating state during failover.

透明防火牆

•部署安全工具在安全橋接模式

•做為一個第二層裝置提供第二層到第七層的安全服務

基於Web管理解決方案

彙總

•有三種防火牆型別: packet filtering, proxy server, and statefulpacket filtering.

•思科PIX 防火牆安全工具和ASA 安全工具特點

包括以下特性: 私有作業系統, 狀態包檢測, 直通代理, 狀態容錯, 模組化策略, VPNs, 透明防火牆, 安全上下文,基於web的管理, 和狀態包過濾.

參考：Cisco

相關文章

防火牆入侵於檢測——————4、思科安全裝置
2018-06-20
防火牆
防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線
2018-06-20
防火牆
防火牆入侵於檢測——————5、Translations and Connections
2018-06-20
防火牆
防火牆入侵於檢測————7、日誌服務
2018-06-20
防火牆
防火牆入侵於檢測——————1、GNS3的安裝與使用
2018-05-29
防火牆S3
海信防火牆、海信入侵檢測、海信VPN、海信IPPS
2017-11-12
防火牆
防火牆入侵於檢測————6、Access Control Lists and Content Filtering
2018-06-20
防火牆Filter
入侵檢測技術基礎
2009-03-15
計算機網路之網路安全基礎－防火牆與入侵檢測系統
2020-12-19
計算機網路防火牆
防火牆新技術剖析
2016-10-20
防火牆
防火牆技術詳解
2008-04-19
防火牆
DNS隧道技術繞防火牆
2020-08-19
DNS防火牆
FreeBSD防火牆技術(轉)
2007-08-11
防火牆
蜜罐技術：消除防火牆侷限和脆弱(轉)
2007-09-19
防火牆
入侵檢測技術，雞肋還是機會？
2007-05-07
WinXPSP2ICF防火牆的特性(轉)
2007-08-10
防火牆
分散式防火牆技術及主要特點
2006-12-27
分散式防火牆
CentOS7檢視和關閉防火牆
2020-10-15
CentOS防火牆
關於諾頓防火牆
2005-01-18
防火牆
技術分享 | Linux 入侵檢測中的程式建立監控
2019-07-21
Linux
linux防火牆實現技術比較(轉)
2007-08-10
Linux防火牆
解讀分散式防火牆之――技術篇(轉)
2007-08-13
分散式防火牆
入侵檢測術語全接觸(轉)
2007-08-11
檢視看防火牆狀態
2017-09-20
防火牆
關於各類防火牆的介紹(2)(轉)
2007-08-13
防火牆
網路安全筆記-入侵檢測系統
2022-04-18
筆記
CentOS8檢視防火牆狀態，開啟/關閉防火牆
2020-11-25
CentOS防火牆
深度學習技術在網路入侵檢測中的應用
2018-03-06
深度學習
無線入侵檢測讓無線安全檢測變得簡單
2017-10-11
防火牆介紹（2）(轉)
2007-08-10
防火牆
基於iptables防火牆堵漏
2023-11-04
防火牆
網路安全——防火牆詳解
2023-03-07
防火牆
八種防火牆產品評測(企業級防火牆)(轉)
2007-08-11
防火牆
淺談資料庫防火牆技術及應用
2018-08-02
資料庫防火牆
HCIE Security 防火牆NAT技術備考筆記（幕布）
2020-10-28
防火牆筆記
防火牆軟體Netfilter之NAT技術(轉)
2007-08-10
防火牆Filter
linux防火牆實現技術比較(1)(轉)
2007-08-13
Linux防火牆
網站防黑客入侵IDS防火牆如何挑選
2020-07-27
網站黑客防火牆