之前在沒學網路的時候,認為防火牆真的是可以防火的牆。10多年前還有不少人問,防火牆多少錢乙個平方。
但現在大家都知道,防火牆是用來防黑客的,是內部網路和外部網路的分界,是用來保護內部伺服器和網路的,是一種資訊保安防護系統。
防火牆有幾個最重要的特徵:
1. 部署在內部網路和外部網路之間。這個和建築上的防火牆真的很類似,也是叫firewall的原因。
2. 提供基於狀態的安全防護。這個描述很專業,也最恰當的描述了防火牆的本質。最開始的防火牆是基於路由器的訪問控制列表acl實現的包過濾防火牆,之後逐步發展和演進為基於狀態的防火牆。所謂的狀態淺顯的講就是說防火牆會維護乙個源ip,目的ip,源埠,目的埠,協議的五元組的連線狀態,只有在防火牆上建立起來連線會話狀態的報文才會會放行,否則一律丟棄。這是一種很強的防禦能力。
防火牆一般情況下是乙個安全加固的產品,沒有防火牆業務也可以跑起來。就像是小區沒有門禁和保安其實也不影響小區的正常使用,但也意味著壞人可以隨意的進出,安全風險很大。所以一般上一些規模的使用者都會考慮部署防火牆。
在vpc網路中,有乙個企業級的產品叫nat閘道器,這個nat閘道器中有兩個重要的功能乙個是snat,乙個是dnat。snat其實就是乙個基於狀態的安全防護功能,可以當乙個簡易的防火牆使用。
當部署完nat閘道器後,外部裝置3如果想主動訪問內部伺服器1的話,在nat閘道器上會把外部裝置3的訪問請求拒絕掉,把報文丟棄。因為外部裝置3的公網ip 3.3.3.3在nat閘道器的snat狀態表中不存在。
但內部伺服器1可以主動訪問外部裝置2,當內部伺服器1對外訪問的第乙個報文到達nat閘道器時,nat閘道器會記錄下會話狀態。假設內部伺服器1通過80埠訪問外部伺服器2的80埠,此時nat會把五元組資訊記錄下來並保持狀態資訊。之後如果外部伺服器2以80埠,訪問內部伺服器1的80埠,此時nat閘道器會接受訪問請求,並將報文**到內部伺服器。但如果外部伺服器2以8080埠訪問內部伺服器1的80埠時,此時這個訪問請求也會被丟棄,因為在snat狀態表中沒有對應五元組的狀態連線資訊。
上面的描述就是典型的基於狀態的安全防護功能,不允許外部的使用者或裝置主動訪問內部的伺服器。只允許內部伺服器主動訪問外部伺服器後並建立起連線狀態後,外部伺服器才能和內部伺服器通訊。
所以nat閘道器在使用中是可以當乙個功能簡單的防火牆使用的,可以把後端的伺服器隱藏到nat閘道器後面,不會被黑客掃瞄到,也不會輕易的被黑客攻擊。
不可不知的健康知識
健康最重要 晚上9 11點為免疫系統 淋巴 排毒時間,此段時間應安靜或聽 晚間11 凌晨1點,肝的排毒,需在熟睡中進行。凌晨1 3點,膽的排毒,亦同。凌晨3 5點,肺的排毒。此即為何咳嗽的人在這段時間咳得最劇烈,因排毒動作已走到肺 不應用止咳藥,以免抑制廢積物的排除。凌晨5 7點,大腸的排毒,應上廁...
不可不知的sudo命令
在linux運維工作中,每個人都應該各司其職。比如說運維經理掌握了root使用者,普通的運維人員一般人手乙個普通登入使用者。root使用者不簡單啊,建立使用者,日常重啟伺服器工作,以及一些其他的日常工作都是root使用者來完成的!很厲害吧!雖然運維經理是乙個super man,但是人家畢竟是經理嘛!...
不可不知的sudo命令
在linux運維工作中,每個人都應該各司其職。比如說運維經理掌握了root使用者,普通的運維人員一般人手乙個普通登入使用者。root使用者不簡單啊,建立使用者,日常重啟伺服器工作,以及一些其他的日常工作都是root使用者來完成的!很厲害吧!雖然運維經理是乙個super man,但是人家畢竟是經理嘛!...