防火墙是一种对网络访问行为进行控制的设备,核心是安全防护,通常部署在网络边界。
防火墙有两个重要概念:安全区域和安全策略。
安全区域:
防火墙认为网络可以通过安全区域来区分,它的每一个接口属于一个安全区域,一个安全区域可以包含多个接口。在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施安全策略,只有当不同安全区域之间发生数据流动时,才会触发安全检查,并实施相应的安全策略。
我们以企业网为例子说明,防火墙通常部署在网络的边界,企业网内部属于信任(trust)区域,外部网络属于非信任(untrust)区域,企业对外提供访问服务的服务器属于隔离区(dmz)。不同区域之间访问触发安全策略。
安全策略:
防火墙对进出网络的访问行为进行控制,保护特定网络免受“非信任”网络的攻击,但同时还必须放行其中的合法通信,这时我们就要用到安全策略。
安全策略是一系列匹配条件(五元组、用户、时间段等)和动作组成的控制规则。当防火墙收到流量后,通过安全策略对流量进行识别,并执行相应的动作,通常是放行或者拒绝。
防火墙默认拒绝所有流量通行,所以当我们想要放行某种流量时,我们要创建对应的安全策略。
简单来说防火墙就是路由器+专项安全服务,其主要功能就是区域隔离和访问控制。使用防火墙可以防范网络攻击,保护我们的网络,让网络更加安全。
扫码领取 相关技术视频教程
添加老师后发【布丁】 秒通过 领资料
