防火墙安全策略参数在哪里（软考-信息安全工程师学习笔记-第8章防火墙技术原理与应用）

防火墙安全策略参数在哪里?防火墙概述安全区域：公共外部网络、内联网、外联网、军事缓冲区DMZ，今天小编就来说说关于防火墙安全策略参数在哪里?下面更多详细答案一起来看看吧!

防火墙安全策略参数在哪里

防火墙概述

安全区域：公共外部网络、内联网、外联网、军事缓冲区DMZ

安全策略两种类型：

白名单策略：只允许符合安全规则的包通过防火墙，其他通信禁止；

黑名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。

防火墙主要功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络宽带控制、协同防御

防火墙的安全风险：

1.网络安全旁路

2.防火墙功能缺陷：防火墙不能完全防止感染病毒的软件或文件传输；防火墙不能防止基于数据驱动式的攻击；防火墙不能完全防止后门攻击。

3.防火墙安全机制形成单点故障和特权威胁

4.防火墙无法有效防范内部威胁

5.防火墙效用受限于安全规则

防护墙类型与实现技术

包过滤：包过滤是在 IP 层实现的防火墙技术，包过滤根据包的源 IP 地址、目的地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。包过滤的控制依据是规章保护，表示格式由规则号、匹配条件、匹配操作组成。

状态检测技术：基于状态的防火墙通过利用 TCP 会话和 UDP“伪”会话的状态信息进行网络访问机制。建立并维护一张会话表。

应用服务代理：应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人”的角色。外部网络用户只能看到代理服务器，从而隐藏了受保护网络的内部结构及用户的计算机信息。

网络地址转换NAT：主要解决公开地址不足，可以缓解少量因特网 IP 地址和大量主机之间的矛盾。实现网络地址转换的方式有 3 种类型：静态 NAT、NAT 池和端口 NAT（PAT）。

静态NAT：内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址。

NAT池：配置合法的地址池，采用动态分配的方法映射到内部网络。

端口NAT（PAT）：把内部地址映射到外部网络的一个IP地址的不同端口上。

WEB防火墙技术：基于保护WEB服务器和WEB应用的网络安全机制。

数据库防火墙技术：用户保护数据库服务器的网络安全机制。基于数据通信协议深度分析和虚拟补丁。

数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SQL语句”等信息。

虚拟补丁及时通过在数据库外部创建一个安全屏蔽层，监控所有数据库活动，进而阻止可疑会话，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙：工业控制系统专用防火墙简称为工控防火墙，是一种用于保护工业设备及系统的网络安全机制。

下一代防火墙：下一代防火墙除了集成传统防火墙的包过滤、状态监测、地址转换等功能外，还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。

防火墙共性技术：深度包检测（DPI）、操作系统、网络协议分析

防火墙主要产品与技术指标

主要指标四类：安全功能要求、性能要求、安全保障要求、环境适应要求

安全功能指标：网络接口、协议支持、路由支持、设备虚拟化、加密支持、认证支持、访问控制、流量管理、应用层控制、攻击防护、管控功能、审计和报表

防火墙性能指标：最大吞吐量、最大连接数、最大规则数、并发连接数

防火墙防御体系结构类型

基于双宿主机防火墙结构：最基本的防火墙结构，至少有两个网络接口卡的主机系统，内网和外网分别在不同网卡上，使内、外网不直接通信。

基于代理型防火墙结构：由一台主机同外部网连接，该主机代理内部网和外部网的通信，代理主机位于内部网络，采用一个过滤路由器，过滤路由器配置规则如下：

1.允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。

2.任何外部网的主机只能与内部网的代理主机建立连接。

3.任何外部系统对内部网络的操作都必须经过代理主机。

基于屏蔽子网的防火墙结构：在代理型结构中增加一层周边网络的安全机制，采用两个过滤路由器，使用内部网络和外部网络有两层隔离带。

,