WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

思科CCIE安全Security培训考试理论-Firewall防火墙技术分类

发布日期:2023-05-31 浏览次数:1839 来源:岳亿

思科CCIE安全Security培训考试理论-Firewall防火墙技术分类


WOLFLAB网络技术实验室1.jpg

【WOLF-LAB实验室】思科CCIE安全Security培训考试理论课程(CCNA、CCNP、CCIE)都在循环开班,联系网站客服预约免费试听学习!

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740


思科CCIE安全防火墙技术----基本引入:

(广义上)防火墙技术分类:

Stateless Packet Filtering

无状态包过滤;

Sateful Packet Filtering

状态监控包过滤;

Sateful Packet Filtering with Application Inspection Control

应用层监控和控制的状态化包过滤;

Network Intrusion Prevention Systems

网络入侵检测系统;

Network Behavior Analysis

网络行为分析;

Application Layer Gateways(Proxies)

应用层网关(代理服务器);

防火墙技术对比:

技术

效力

粒度

性能

部署/操作复杂性

使用场景

无状态包过滤

网络层控制,传输层只能针对使用静态 TCP 的应用程序;

状态监控包过滤

网络层、传输层控制;

应用层监控和控制

的状态化包过滤

网络层、传输层、会话层、表示层、应用层控制;

网络入侵检测系统

识别网络中的攻击;

应用层网关

非实时且需要对数据进行深度解析的应用;

Stateless Packet Filtering:无状态包过滤;

图片1(6).jpg

特点:

依赖静态的策略来允许和拒绝数据包;

对静 3-4 层的流量(动态 TCP 应用除外)访问控制效果非常出色;

透明且占用资源小;

通常使用限制的访问控制技术;

古老的防火墙技术,使用访问控制列表 ACL;

缺点:

不支持动态 TCP 应用(语音流量、FTP);

不能抵御探测攻击;

产品:

Cisco PIX 系列产品;

Sateful Packet Filtering:状态化包过滤;

图片1(7).jpg

特点:

自动记录流量特征,为穿越 TCP 和 UDP 流维护状态化表项(连接表);

为每个 TCP 和 UDP 流维护状态化表项(Sateful session flow table);

数据包进入设备首先查询状态化表项,如果属于出项流量的返回数据包,即使被 ACL 拒绝也可以进入设备;

状态化表项维护:TCP 源目端口、源 IP、序列号、Flag 位;

可靠的 3-4 层访问控制;

透明且占用资源小;

通常使用限制的访问控制技术;

缺点:

不能洞察 5-7 层流量;

不支持加密的动态应用;

Sateful Packet Filtering with Application Inspection Control:应用层监控和控制的状态化包过滤;

图片1(7).jpg

特点:

可靠的 3-7 层访问控制;

透明、占用资源中等;

通常使用限制的访问控制技术;

实现针对应用层服务的深度检测、定义策略、匹配关键字等功能;

缺点:

应用层监控和控制影响性能;

对应用层监控和控制的能力有限;

产品:

Cisco ASA 系列产品;

Cisco Firepower FPR-ASA 系列产品;

Network Intrusion Prevention Systems:网络入侵检测系统;

图片1(8).jpg

特点:

通过强大的特征数据库匹配网络攻击行为,并执行防御措施;

基于宽容机制,未匹配上特征即放行;

一种网络设备硬件版的杀毒软件;

缺点:

需要周期性维护特征数据库;

存在误报误杀的可能;

产品:

Cisco IPS 系列产品;

Cisco Firepower NGIPS 系列产品

Network Behavior Analysis:网络行为分析;

图片1(9).jpg

特点:

网络行为分析自动学习网络流量模型建立基线;

探测和防御异常行为抵御未知攻击;

一种高可视化的安全分析平台;

缺点:

在不稳定的网络环境易报错;

自动学习时间越长越精准,反之易报错;

产品:

Cisco Stealthwatch 系列产品;

Application Layer Gateways(Proxies):应用层网关(代理服务器);

图片1(11).jpg

特点:

可靠的 3-7 层访问控制;

自动对协议进行规范化处理;

能够采用宽容和限制的访问控制技术;

软件防火墙的主流技术,经常为 Web 流量使用代理服务器(网页缓存);

局限性:

不能广泛的支持所有应用;

不适合对实时流量采取这种技术;

不透明;

产品:

Cisco WSA 系列产品

Cisco ESA 系列产品

免费试听

https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

思科CCIE安全Security培训考试理论课程学习,可联系WOLFLAB网络技术实验室

CCNA、CCNP、CCIE安全循环开班!

返回目录
在线咨询