Technical documentation
发布日期:2023-05-31 浏览次数:1839 来源:岳亿
思科CCIE安全Security培训考试理论-Firewall防火墙技术分类
【WOLF-LAB实验室】思科CCIE安全Security培训考试理论课程(CCNA、CCNP、CCIE)都在循环开班,联系网站客服预约免费试听学习!
WOLFLAB官方微信:17316362402
WOLFLAB官方QQ:2569790740
思科CCIE安全防火墙技术----基本引入:
⚫(广义上)防火墙技术分类:
Stateless Packet Filtering | 无状态包过滤; |
Sateful Packet Filtering | 状态监控包过滤; |
Sateful Packet Filtering with Application Inspection Control | 应用层监控和控制的状态化包过滤; |
Network Intrusion Prevention Systems | 网络入侵检测系统; |
Network Behavior Analysis | 网络行为分析; |
Application Layer Gateways(Proxies) | 应用层网关(代理服务器); |
⚫防火墙技术对比:
技术 | 效力 | 粒度 | 性能 | 部署/操作复杂性 | 使用场景 |
无状态包过滤 | 中 | 低 | 高 | 高 | 网络层控制,传输层只能针对使用静态 TCP 的应用程序; |
状态监控包过滤 | 中 | 低 | 高 | 低 | 网络层、传输层控制; |
应用层监控和控制 的状态化包过滤 | 高 | 中 | 中 | 中 | 网络层、传输层、会话层、表示层、应用层控制; |
网络入侵检测系统 | 中 | 中 | 中 | 中 | 识别网络中的攻击; |
应用层网关 | 高 | 中 | 低 | 中 | 非实时且需要对数据进行深度解析的应用; |
⚫Stateless Packet Filtering:无状态包过滤;
•特点:
依赖静态的策略来允许和拒绝数据包;
对静 3-4 层的流量(动态 TCP 应用除外)访问控制效果非常出色;
透明且占用资源小;
通常使用限制的访问控制技术;
古老的防火墙技术,使用访问控制列表 ACL;
•缺点:
•不支持动态 TCP 应用(语音流量、FTP);
•不能抵御探测攻击;
•产品:
Cisco PIX 系列产品;
⚫Sateful Packet Filtering:状态化包过滤;
•特点:
自动记录流量特征,为穿越 TCP 和 UDP 流维护状态化表项(连接表);
◊为每个 TCP 和 UDP 流维护状态化表项(Sateful session flow table);
◊数据包进入设备首先查询状态化表项,如果属于出项流量的返回数据包,即使被 ACL 拒绝也可以进入设备;
◊状态化表项维护:TCP 源目端口、源 IP、序列号、Flag 位;
可靠的 3-4 层访问控制;
透明且占用资源小;
通常使用限制的访问控制技术;
•缺点:
不能洞察 5-7 层流量;
不支持加密的动态应用;
⚫Sateful Packet Filtering with Application Inspection Control:应用层监控和控制的状态化包过滤;
•特点:
可靠的 3-7 层访问控制;
透明、占用资源中等;
通常使用限制的访问控制技术;
实现针对应用层服务的深度检测、定义策略、匹配关键字等功能;
•缺点:
应用层监控和控制影响性能;
对应用层监控和控制的能力有限;
•产品:
Cisco ASA 系列产品;
Cisco Firepower FPR-ASA 系列产品;
⚫Network Intrusion Prevention Systems:网络入侵检测系统;
•特点:
通过强大的特征数据库匹配网络攻击行为,并执行防御措施;
基于宽容机制,未匹配上特征即放行;
一种网络设备硬件版的杀毒软件;
•缺点:
需要周期性维护特征数据库;
存在误报误杀的可能;
•产品:
Cisco IPS 系列产品;
Cisco Firepower NGIPS 系列产品
⚫Network Behavior Analysis:网络行为分析;
•特点:
网络行为分析自动学习网络流量模型建立基线;
探测和防御异常行为抵御未知攻击;
一种高可视化的安全分析平台;
•缺点:
在不稳定的网络环境易报错;
自动学习时间越长越精准,反之易报错;
•产品:
Cisco Stealthwatch 系列产品;
⚫Application Layer Gateways(Proxies):应用层网关(代理服务器);
•特点:
可靠的 3-7 层访问控制;
自动对协议进行规范化处理;
能够采用宽容和限制的访问控制技术;
软件防火墙的主流技术,经常为 Web 流量使用代理服务器(网页缓存);
•局限性:
不能广泛的支持所有应用;
不适合对实时流量采取这种技术;
不透明;
•产品:
Cisco WSA 系列产品
Cisco ESA 系列产品
免费试听
WOLFLAB官方微信:17316362402
WOLFLAB官方QQ:2569790740
思科CCIE安全Security培训考试理论课程学习,可联系WOLFLAB网络技术实验室
CCNA、CCNP、CCIE安全循环开班!