安全知识

安全知识

规范用语
信息安全行业
信息系统安全,网络安全
网络系统安全和数据安全
攻击与防御

产品形式
软件,硬件,安全网关等

防火墙与防水墙

广义防火墙
大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样,
应用型的,基于硬件的,有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。

防火墙(Firewall),也称防护墙,是由Check Point创立者Gil
Shwed于1993年发明并引入国际互连网(US5606668(A)1993-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。
其实与防火墙一起起作用的就是“门”。门就相当于我们这里所讲的防火墙的“安全策略”
防火墙可以是一种硬件、固件或者软件,
例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
防火墙从诞生开始,已经历了四个发展阶段:
基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。
常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,
从原理上来分,防火墙则可以分成4种类型:
特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,
三种配置,单独的防火墙,前置机+防火墙(只接受来自前置机的流量),防火墙+前置机+防火墙(即DMZ区)

网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。利用封包的多样属性来进行过滤
例如:来源 IP地址、来源端口号、目的
IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL
值、来源的网域名称或网段等属性来进行过滤。
可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

攻击类型
源地址我们不相信,源端口也信不得了
IP选项中的源路由攻击和ICMP碎片攻击
DNS的伪造比IP地址欺骗
syn攻击

应用层防火墙是在 TCP/IP
堆栈的“应用层”上运作 即常说的七层防火墙
应用层防火墙具备更细致的防护能力,21的数据流,80的数据流,53的数据流等
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号
自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击成为当下取代传统攻击,最大程度危害用户的信息安全,
而传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。

防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
传统意义上的防火墙技术分为三大类
“包过滤”(Packet
Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful
Inspection),
无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。

win7自带防火墙
ICF被视为状态防火墙
linux自带iptables
topsec通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,把所有服务器上的接口利用起来,不同的协议与流量走不同的网段

防火墙通过隔离来防止外部网对内部网进行攻击,它被动地检查所有流过的网络数据包,以阻断违反安全策略的通信。
防火墙的工作都基于一个基本假设:它位于内外网的接入点,并且内外网间不存在其它旁路,正是基于这个假设,防火墙才成为内网的保护神。
对于内部的安全问题,防火墙无能为力

如何将非法入侵者拒之门外、如何防止内部信息外泄
这种为外部着火
这种为内部漏水
如果说防火是指防止外部威胁向内部蔓延的话,防水就是指防止内部信息的泄漏。
可见,防水墙是对这样的内网监控系统非常形象的一种称呼。

防水墙是一个内网监控系统,处于内部网络中,随时监控内部主机的安全状况。

最简单的防水墙由探针和监控中心组成。

各个厂家的防水墙的功能类似,但并不尽相同
山丽防水墙
网康科技上网行为管理
苏富特内网监控系统

同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证
防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备,所提供安全服务的有效补充

时间: 2024-10-13 23:18:35

安全知识的相关文章

MySQL数据库基础知识

day02 MySQL数据库基础知识 一.基础知识概述: 基础决定你这门课程的学习成败!只有学习好这些基础知识以后,你才能真正的运用自如.才能够对数据库有更深入的了解,道路才会越走越远. 二.基础知识: 1.数据库(database):数据库就好比是一个物理的文档柜,一个容器,把我们整理好的数据表等等归纳起来. 创建数据库命令:        create database 数据库名; 2.查看数据库         show databases; 3.打开指定的数据库         use 

前端里移动端到底比pc端多哪些知识?

前端里移动端到底比pc端多哪些知识,为啥面试时好多公司都问h5水平如何? 我做过几年的web前端开发,就简单谈谈自己的感受吧. 首先来看看PC端和移动端在前端开发上的一些区别: (1)PC考虑的是浏览器兼容性,移动端开发考虑的更多的是手机兼容性,因为目前不管是android手机还是ios手机,一般浏览器用的都是webkit内核,所以做移动端开发,更多考虑的应该是手机分辨率的适配,和不同操作系统的略微差异化: (2)在部分事件的处理上,移动端自然是偏向于触屏的,所以触屏事件的一些规律要多摸索一下,

linux入门基础知识及简单命令介绍

linux入门基础知识介绍 1.计算机硬件组成介绍 计算机主要由cpu(运算器.控制器),内存,I/O,外部存储等构成. cpu主要是用来对二进制数据进行运算操作,它从内存中取出数据,然后进行相应的运算操作.不能从硬盘中直接取数据. 内存从外部存储中取出数据供cpu运存.内存的最小单位是字节(byte) 备注:由于32的cpu逻辑寻址能力最大为32内存单元.因此32位cpu可以访问的最大内存空间为:4GB,算法如下: 2^32=2^10*2^10*2^10*2^2 =1024*1024*1024

认知,构建个人的知识体系(上)

1.前言 本文将聊聊我对构建个人知识体系的一些想法,主要是为了提升自我认知.从个人经历开始,谈谈对知识的划分,也就是一个是什么,为什么的过程. 2.缘起 把时间回到一年前,那时候我工作快一年了,得益于前面的一些努力,工作比较顺利.特别是技术上,没有遇到太多过无法解决的问题.同时也开始迷茫,工作难道就是这个轻松的样子?三五年之后那不是很无趣,该怎么办? 想找到这个问题的答案,而最好的方式莫过于,亲自去了解那些三五年工作经验的人是怎么的样子. 因此从那时候起,关注了不少来公司面试的人的简历,也有过几

知识汇总都在这里了,赶紧点开看看吧!

微信公众号:Web前端精髓 Web前端技术由html.css和JavaScript三大部分构成,是一个庞大而复杂的技术体系,其复杂程度不低于任何一门后端语言.而我们在学习它的时候往往是先从某一个点切入,然后不断地接触和学习新的知识点,因此对于初学者很难理清楚整个体系的脉络结构. Web前端精髓是一个分享前端知识的平台,内容包括HTML.CSS.javascript 等和前端技术相关的一切,如果您想对前端有更多的了解,那就持续关注我们,目的是帮助大家审查自己的知识结构是否完善,希望我的文章对你们有

学习虚拟化技术需要掌握的知识与能力(未完成版)

我从1993年学习计算机,有过短期的C语言开发经历,现在主要从事网络与系统集成的工作.我可以算是学习计算机比较"早"的一批人了. 1993年的时候,我是从MS-DOS 3.30开始,直到最后的MS-DOS 6.22.Windows系统是从Windows 3.1(中文版)开始,再到Windows 3.11.Windows 95.98一直到现在的Windows 10. 组建Windows网络是在1996年河北省国税局全省联网,是从Windows NT 3.51开始,到后来的Windows

CentOS下的路由知识及配置路由

博文目录 简介 上一篇博文已经讲解了IP地址的配置,那么有IP,就准备开始进行通信吧,网络之间的通信主要是依靠路由器,当然生成环境中是拥有路由器的,但是系统中的路由配置也是需要了解一下地,今天讲解一下软路由的显现,与一个路由的小实验 linux下需要启用ip_forword 启用路由功能 echo 1 > /proc/sys/net/ipv4/ip_forword 一.路由表中的接口 到达目标网段从本路由器的那个接口能到达,这个借口就本路由的记录接口 1.如果目标网络和路由器直接相连,网关即是路

javascript必须知道的知识要点(二)

该文章不详细叙述各知识要点的具体内容,仅把要点列出来,供大家学习的时候参照,或者检测自己是否熟练掌握了javascript,清楚各个部分的内容. 内建对象可划分为数据封装类对象.工具类对象.错误类对象,如下. 数据封装类对象: Number对象 String对象 Boolean对象 Array对象 Object Function 工具类对象: Math对象 Date对象 RegExp对象 错误类对象: Error对象  Number对象 JavaScript 只有一种数字类型.Number,包括

关于H5框架之Bootstrap的小知识

浏览器支持 旧的浏览器可能无法很好的支持 Bootstrap 支持 Internet Explorer 8 及更高版本的 IE 浏览器 CSS源码研究 我们不是在head里面引入了下面这些文件么 <!-- 新 Bootstrap 核心 CSS 文件 --> <link rel="stylesheet" href="http://cdn.bootcss.com/bootstrap/3.3.0/css/bootstrap.min.css"> &l

031医疗项目-模块三:药品供应商目录模块——sql补充知识

这个补充知识有一个点很有必要,视屏上的老师提出一点: 内链接关联查询: 如果表A和表B有一个外键关联 ,可以通过外键进行内链接查询 select dictinfo.*, dicttype.typename from dictinfo, dicttype where dictinfo.typecode = dicttype.typecode --不通过外键,通过groupid查询用户类型的代码结果集,只能查询出一条记录,可以使用内链接 select sysuser.*, dictinfo.info