防火墙,也称防护墙(Firewall)由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)。
所谓防火墙是有软件和硬件设备组合而成、在内部网和外部网之间、专用网和公共网之间边界上构造的保护屏障,是一种获取安全性方法的形象说法。他是一种计算机硬件和软件的结合,使internet和intranet之间建立一个安全网关(Security Gateway),从而保护内网免受非法用户侵入。防火墙主要有、服务访问规则、验证工具、包过滤和应用网关4个部分组成。计算机流入流出的所有网络通信和数据包均要经过此防火墙。
二、防火墙的种类有哪些?
从逻辑上讲。防火墙大体可以分为主机防火墙和网络防火墙。
主机防火墙:针对单个主机进行防护。
网络防火墙:往往对于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。
从物理上将,防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。
(1)包过滤防火墙
数据包过滤(package Filtering)技术是在网络层数据包进行选择,选择的依据是系统内过滤的设计逻辑,成文访问控制表(access control lable ,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。
包过滤防火墙的优点:他对用户来说是透明的,处理速度快切易维护。缺点是,非法用户一旦攻破防火墙,即可对主机的软件和配置漏洞进行攻击。数据包的源地址、目的地址和IP端口号都在数据包的头部,可以轻易的伪造。“IP地址欺骗”是黑客针对该类型防火墙比较常用的攻击手段。
(2)代理服务型防火墙
代理服务(proxy service)也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段 。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点,代理服务器就会替用户去对应站点取回所需信息,再转发给用户。,内外网用户的访问都是通过代理服务器上的“链接”来实现的,从而起到隔离防火墙内外计算机系统的作用。此外,代理服务器对过往的数据包进行分析和注册登记,并形成报告,同当当发现有被攻击迹象时,会向网络管理员发出警告并保留攻击记录。
1、确认出口接口地址,打开瞻博防火墙网页管理后台,找到网络接口;
2、设置出口地址参数,点击“编辑”,进行接口参数设置;
3、添加端口映射服务,依次找到“网络”、“接口”、“编辑”和“vip”;
4、确定瞻博的出口地址之后,先设置需要映射的服务;
5、设置映射服务端口,添加映射的服务组端口;
6、设置端口映射,选择需要映射的服务;
7、用瞻博防火墙设置好端口映射即可。
通常服务器会有许多块网卡,因此也可能会连接到不同的网络,在隔离的网络中,某些服务可能会需要进行通信,此时服务器经过配置就可以承担起了转发数据包的功能。
一、Windows下实现端口映射
1. 查询端口映射情况
2. 查询某一个IP的所有端口映射情况
3. 增加一个端口映射
4. 删除一个端口映射
二、Linux下端口映射
1. 允许数据包转发
2. 设置端口映射
内网 和 外网 是相对Server4来说的。
Server1和Server2为内网环境的两台服务器;
Server3为外网环境下的一台服务器;
Server4为一台双网卡主机,分别连接192.168.50.0/24和172.16.2.0/24两个网络。
配置实验环境
用Python在Server1上搭建一个简单的HTTP服务
Server2、Server3同理
在client上访问Server1的资源
在client上访问Server2的资源
在client上访问Server3的资源
可以看到,外网的client是无法访问内网Server1,Server2的资源的。
临时配置
永久配置
如果需要永久配置,则将以上命令追加到/etc/rc.local文件。
在client上访问Server1的资源
在client上访问Server2的资源
在client上访问Server3的资源
Windows的IP信息如下
配置并查看端口映射情况
检查效果
在client节点上
END
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)