网工知识角|什么是防火墙你知道吗?一篇直接搞懂

于 2022-08-18 14:27:38 发布
阅读量3.4k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 简单网络知识 思科认证 网络工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spccie/article/details/126405165
防火墙源自建筑领域的概念,用于网络中防止攻击并允许正常通信。它区别于路由器和交换机,主要部署在边界,执行安全策略。安全区域如非受信、非军事化、受信和本地区域,用于控制不同区域间的流量并实施安全检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、 防火墙的由来

“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。

这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。

因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

二、 防火墙和交换机路由器的区别

路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;

而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。

三、 防火墙安全区域

1. 安全区域(Security Zone) ,或者简称为区域(Zone)

Zone是本地逻辑安全区域的概念。

Zone是一个或多个接口所连接的网络。

2. Zone的作用:

安全策略都基于安全区域实施;

在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;

只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;

在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。

3. 缺省安全区域

非受信区域Untrust

非军事化区域DMZ

受信区域Trust

本地区域Local

各位同学,关于防火墙这块的介绍,你们理解了吗?

博客
网工知识角|掌握MPLS协议从这五个方面入手
09-01 564
例如,MPLS VPN 的底层技术为 MPLS,它需要复杂的配置和运维,需要高精度的时钟同步,对网络设备的要求比较高;MPLS VPN 技术可以用于构建企业全网 VPN,通过建立专用网络隧道,实现异地办公、数据传输、语音、视频等多种业务的安全、高效传输,极大地提高了企业的业务效率。总之,MPLS VPN 是一种高效、安全、灵活的网络技术,可以为企业、ISP 等用户提供以标签为基础的 VPN 服务,为用户间的通信建立起可靠的连接,实现了高效的数据传输和安全的通信。三、MPLS VPN的应用有哪些?
博客
网络地址转换NAT-动态NAT的使用范围和配置-思科EI,华为数通
08-25 1855
当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址一对一的转化。一般是我们公司内网中有设备需要去访问我们公网,我们就必须要做一个NAT地址转换,把我们私网的IP地址转换成我们公网的IP地址,这时,就需要使用动态NAT了,使用地址池中的公网地址进行IP地址转换,去访问我们的公网,下文是一个例子。是可以使用的地址,作为我们的地址池进行绑定,并给出可以上网的网段信息,可以使用访问控制列表进行过滤。,划出一段地址池,根据拓扑中给出的信息是从。
博客
OSPF在广播类型的网络拓扑中DR和BDR的选举
08-15 1896
按照要求配置,首先正常配置OSPF的基础命令,保证在修改DR和 BDR之前全网互通,配置完成之后再去测试连通性,全部测试完毕之后,修改我们的DR和BDR,查看我们修改之后的DR和BDR设备是否成功达到我们的要求。DR、BDR是终身制,不能被抢占的,这一知识点也是比较奇怪的,我们上面说了DR/BDR是选取出来的,理论上在一个LAN上,应该是优先级最大的路由器被选取为DR的。这时,为了满足要求,让R2成为10.1.1.0 网段的DR,可以修改R2的router-id,改为22.22.22.22。
博客
IELAB-网络工程师的路由答疑10问(2)
08-08 537
DV 型路由协议一般交互的是路由信息,而LS 型路由协议比较特殊,交互的是LSA或者LSP,最终,交互形成LSDB,也就是数据库。路由协议最后比较重要的内容就是我们所说的环路防护和更新安全,一般路由协议都支持MD5的认证方式,以及环路防护的原则,DV型路由协议中水平分割、LS型路由协议通过本身的算法计算出一个无环的树形结构,产生最终的计算结果。因此,对于每一种路由协议而言,如何计算路由信息,采取何种方式进行计算,也就是路由协议采取的算法、度量所选取的参数以及如何计算,就十分钟重要了。
博客
IELAB-网络工程师的路由答疑10问(1)
08-04 475
首先,网络层的作用之一是进行了网络划分,而IP地址的构成也分为网络位以及主机位,网络位的不同,就好比在互联网进行的行政区域划分一样。那么,路由是什么呢?事实上,将数据从数据源转发到目标网络的过程,或者将数据在不同网络中传递的过程,就可以称之为路由。静态路由,通过管理员手工指定的路径,通常来讲,叫做”千金难买我愿意”,不过有节操的管理员,一般都会根据实际情况去部署,而不会随意书写。将数据转发到目标网络的方式,指定从本地某个接口转发出去,或者通过某个下一跳到达目标网络,也就是常说的出接口,下一跳,两种方式。
博客
昨晚技术交流群“炸了”,论搞技术的网络工程师究竟能有多严谨?
06-09 784
昨日在IELAB网络实验室学习交流群中发生了一场“激烈”的争论,原本是同往常一样的答题领红包活动,同学对答案产生了异议,从而和Summer赵老师在群里进行了沟通交流,具体是什么情况呢?再次不死心,使用Bing国际版查询了下,国外也一样两种说法都有,在此也就不贴出来了。能够互相说服的方法,我认为有以下两种方式:一,有没有大神能找到一些开源的交换机程序代码查看一下代码逻辑,二,想法发抓包出来看。终于做完了,花了两个小时左右的时间,更多的时间都花在了查ACCESS接口能不能加TAG上面了。
博客
8个华为设备常用的Python脚本,你都会配置使用吗? -HCIE HCIP HCIA
04-24 1368
华为设备可以使用Python脚本用于自动化网络管理和监控,可以帮助网络工程师优化并提高工作效率。、使用脚本配置用户名和密码登录华为设备。、使用脚本可查看本设备的ARP缓存表。、使用脚本可查看设备CPU的使用率。、使用脚本可查看设备端口带宽利用率。、使用脚本可查看设备的VLAN信息。、使用脚本可查看设备的MAC地址表。、使用脚本可查看对应接口的信息。、使用脚本可查看设备接口状态。
博客
网络设备割接—七大步骤
04-18 3947
如果发现问题,需要立即采取相应的应对措施,以确保割接过程的安全和稳定,遇到状况外的情况下,可以选择回退操作,至少需要保证不影响业务和设备的正常运行。在任务中,需要考虑到割接过程中可能出现的问题和风险,并制定相应的应对措施,也需要确定割接的人员、时间和地点。在确定割接方案之前,这些内容是我们需要去了解的,可以有效的帮助到网络工程师了解网络的整体架构,以及哪些设备需要进行割接。需要把操作记录完成,可以帮助其他操作人员了解网络设备和系统的情况,以及割接过程的细节和结果。初步定义需要割接的设备和范围。
博客
网工必知—什么是堡垒机?-CCIE
04-11 1329
堡垒机是一种安全性很高的远程管理方式。它可以帮助企业有效避免内部人员的恶意操作,保障企业的信息安全。
博客
18个基础命令教你轻松拿捏华为设备的各种状态!(下) -HCIE 华为网络工程师
04-03 1149
10、display memory-usage process vrp 用来查看当前VRP进程内存占用率的统计信息 命令格式 display memory-usage process vrp [ slave ] 使用示例 <Huawei> display memory-usage process vrp Memory utilization statistics at 2013-07-10 09:55:20 729 ms The current memory of
博客
18个基础命令教你轻松拿捏华为设备的各种状态!-HCIA HCIP
03-27 1619
1、display cpu-usage: 用来查看设备CPU占用率的统计信息 命令格式 <Huawei>display cpu-usage ? configuration Cpu usage configration slot Slot <cr> Please press ENTER to execute command 使用示例 <HUAWEI> display cpu-usage CPU
博客
经常使用思科设备,这十个命令一定是“最常见的熟客”!
03-20 1136
当你需要在路由器交换机设备上直接查看抓包信息时,可以使用debug命令,例如,查看OSPF发送的报文信息,可以通过debug ip ospf packet进行查看,由于打开之后会有很多报文出现,所以可以使用no debug命令或undebug all命令关闭此功能。”命令时,我们可以通过它来查询后续的命令,因为我们不可能记住所有的命令,有时候只能记住某个命令的开头,那么这个时候“?”命令就非常好用了。我们在调试思科设备时,会使用各种各样的命令去调试配置,但在每一种命令中,哪些命令使用最频繁你知道吗?
博客
100个网络运维工作者必须知道的小知识!(下)
03-13 729
然而,随着越来越多的设备连接到它,它将无法有效地管理通过它的流量。对于A类,有126个可能的网络和16,777,214个主机对于B类,有16,384个可能的网络和65,534个主机对于C类,有2,097,152个可能的网络和254个主机。相反,将LAN连接到中转网络的网关创建了一个使用IPSec协议来保护通过它的所有通信的虚拟隧道。这样做的主要目的是在一台服务器发生故障的情况下,集群中的下一个服务器将继续进行所有处理。另一个缺点是,当需要在网络的特定部分进行调整和重新配置时,整个网络也必须被暂时关闭。
博客
100个网络运维工作者必须知道的小知识!(上)
03-10 1151
这些确保内部网络之间不存在任何冲突,同时私有IP地址的范围同样可重复使用于多个内部网络,因为它们不会“看到”彼此。您可以为计算机分配限制,例如允许访问的资源,或者可以浏览互联网的某一天的特定时间。这是因为互联网上的主机只能看到提供地址转换的计算机上的外部接口的公共IP地址,而不是内部网络上的私有IP地址。不知道正确的IP地址,甚至无法识别网络的物理位置。数据封装是在通过网络传输信息之前将信息分解成更小的可管理块的过程。是一个Windows实用程序,可用于跟踪从路由器到目标网络的数据采集的路由。
博客
网络工程师测试命令排行榜,快来看一看吧! -ccie网络工程师
02-10 920
网络上出现路由环路时,使用Ping命令只能看到超时,而使用Tracert就可以明确看到或发现路由环路等问题,在追踪某IP地址时,如果多次出现相同的地址,即可认为出现了路由环路;比如你想跟踪某一IP地址,想看到具体的跟踪路径地址,就可以使用 Tracert 进行查看,当网络反应慢或该节点被隐藏时,返回的数值就是请求超时。如果超时那么肯定是网络有问题(除被过滤ping的情况),如果延迟太高,网络情况也是有一些问题存在的,所以当出现网络故障的时候,我们就可以用ping命令来进行简单查看。
博客
20个网络工程师必学基础知识点【第二集】
12-28 1091
防火墙(Firewall)是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。IP地址一共分为5类,A、B、C、D、E类的类别字段分别是二进制数0、10、110、1110、1111,通过网络号码字段的前几个比特就可以判断IP地址属于哪一类,这是区分各类地址最简单的方法。E类地址专门用于特殊的实验目的。不知道正确的 IP 地址,甚至无法识别网络的物理位置。
博客
20个网络工程师必学基础知识点【第一集】-就在IELAB
12-26 1435
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。局域网就是局部地区形成的一个区域网络,其特点就是分布地区范围有限,可大可小,大到一栋建筑楼 与相邻建筑之间的连接,小到可以是办公室之间的联系。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。路由器(Router)是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
博客
常用的网络号端口大全,网工必备-EICCIE,SPCCIE
12-19 1761
入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。说明:这是一种仅仅发送字符的服务。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。
博客
常用的模拟器全集 网工必备-网络工程师(思科,华为)
12-06 2831
1 gns3GNS3是想要通过CCNA,CCNP等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟的网络虚拟软件。2 enspENSP是华为提供的网络仿真工具平台,让用户在没有真实设备的情况下能够模拟演练,学习网络技术。3 EVEEVE是仿真虚拟环境,能够模拟华为、思科等厂商设备,可以重现和改进真实网络架构,从而要求并计划正确的设计来验证解决方案4 Cisco Packet TracerCisco Packet Tracer 是Cisco公司发布的一个辅助学习工具,为初学者去设计、配置、排除网络故
博客
Linux基础必备的100 个命令,你都知道吗?
12-06 3770
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 命令功能说明线上查询及帮助命令man查看命令帮助,命令的词典,更复杂的还有 info,但不常用。help查看 Linux 内置命令的帮助,比如 cd 命令。文件和目录操作命令ls全拼 list,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值