1.防火墻是一個由軟件和硬件設備組合而成，在內部網和外部網之間、專用網與公共網之間構造的保護屏障，使內部網與外部網建立一個安全網關，保護內部網免受非法用戶的侵入

　　2.主要功能：建立集中監視點、隔絕內外網絡以保護內部網絡、強化網絡安全策略、有效記錄和審計內外網絡之間的活動、代理轉發、網絡地址轉換NAT、虛擬專用網VPN

　　3.缺陷：無法防范不經防火墻的攻擊，防火墻是一種被動安全策略執行設備對新攻擊無法防范，不能防止利用標準網絡協議中的缺陷進行的攻擊，不能防止利用服務器其系統漏洞進行的攻擊，不能防止數據驅動式攻擊，無法保證準許服務的安全性，不能防止本身的安全漏洞威脅，不能防止感染力病毒的軟件或文件的傳輸

　　4.分類：

　　(1)軟件防火墻、硬件防火墻、芯片級防火墻

　　(2)包過濾型：第一代靜態包過濾型防火墻、第二代動態包過濾型防火墻(缺點：過濾判別依據是網絡層和傳輸層的有限信息，規則是數目有限制，缺少上下文關聯信息，不能有效過濾UDP和PRC一類協議，缺少審計和報警機制，對安全管理人員素質要求高)

　　應用代理型：第一代應用網關型防火墻、第二代自適應代理型防火墻

　　(3)單以主機防火墻、路由集成式防火墻、分布式防火墻

　　(4)百兆防火墻、千兆防火墻

　　5.應用：企業網絡體系結構(包括邊界網絡、外圍網絡、內部網絡)、內部防火墻系統應用(把用戶分為完全信任用戶、部分信任用戶、不信任用戶)、外圍防火墻系統設計

　　6.SYN Flood攻擊原理：

　　TCP三次握手，第一次 客戶端發送一個帶有SYN標記的TCP報文連接到服務器端，正式開始TCP連接請求。在發送的報文中指定自己所用的端口號以及TCP鏈接初始序號等信息;第二次服務端收到后發送SYN+ACK接受;第三次客戶端發送ACK確認，連接建立

　　由于某些原因，客戶端不能收到服務器的確認數據報，造成半連接，服務器也進入等待。SYN Flood攻擊利用這一服務器漏洞發出大量半連接，使服務器用大量CPU重發使得其崩潰

　　7.防御SYN Flood攻擊：SYN網關、被動式SYN網關、SYN中繼

　　注：本文部分文字和圖片來源于網絡，如有侵權，請聯系刪除。版權歸原作者所有!

聲明：本站稿件版權均屬千鋒教育所有，未經許可不得擅自轉載。