一、什么是防火墙?
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,用来隔离非授权用户并过滤网络中有害的流量或数据包。防火墙其实是一种隔离技术。
在计算机中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
二、防火墙的功能
①防火墙是网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
②防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
③对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
④防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
⑤支持虚拟专用网
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
三、防火墙分类
以发展历程来分:
第一代: 包过滤防火墙
介绍:第一代防火墙是1989年产生的,仅能实现简单的访问控制。包过滤防火墙认为数据包之间是割裂的个体,网络更容易受到入侵。
技术:属于三层技术, 使用ACL( 访问控制列表技术 ),与nat结合使用
优点:简单、速度快
缺点:但是检测的颗粒粗
第二代: 代理防火墙
介绍:在应用层代理内部网络和外部网络之间的通信。
技术:应用层,中间人技术(代理技术)
优点:安全较高,能防御应用层威胁,内容威胁
缺点:技术复杂,速度慢,只能对特定的应用提供代理支持,应用剑不能通用。
中间的就是代理防火墙,下面是代理防火墙的两条安全策略:
在规则2当中,目的端口也没有设定为任意端口,因为我们无法确定PC访问WEB到底用的哪个端口,要想使得WEB服务器的回应报文顺利通过防火墙到达PC,只能将规则2当中的目的端口设定为任意端口。
任意端口其实也就是所有端口,这样会有很大的安全隐患,外部的恶意报文者伪装成WEB服务器,就可以畅通无阻的穿过防火墙,PC将会面临严重的安全风险。
造成安全隐患的原因就是防火墙不知道PC访问WEB服务器的源端口到底是哪个?为了保证通信,不得以放行了在入方向的任意端口,第三代防火墙–状态检测防火墙就解决了这个问题。
第三代: 状态检测防火墙 (发展史上的里程碑)
介绍:通过跟踪网络连接的过程,以流量为单位,确定连接是否可靠。目前最常见的防火墙。在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。状态监测防火墙认为报文与报文之间是存在联系的,从而寻求数据包之间的“合作发展”,最后实现高效率、高安全、可持续发展
技术:会话追踪技术,首包机制
优点:颗粒度细,速度快(会话表可以用hash来处理形成定长值,使用CAM芯片处理,采用二元匹配机制,达到交换机的处理速度)
工作原理:当WEB服务器回应PC的报文到达防火墙后,防火墙会把报文中的信息与会话中的信息进行比对。如果发现报文当中的信息与会话当中的信息相匹配,并且该报文符合HTTP协议规定的规范,则认为这个报文属于PC访问WEB服务器行为的后续回应报文,直接允许这个报文通过。如果是首包,报文中的信息与会话中的信息是不匹配的,会再去看ACL表,通过ACL表以后就产生了会话表,第二个包访问就先访问会话表,如果与会话表中的信息匹配并符合HTTP协议的规范,则之间进入下一步。
运行模式:状态检测"机制,是以流量为单位 来对报文进行检测和转发,即:对一条流量的第一个报文(首包)进行包过滤规则检查,第一次来的包(防火墙可以区分是去的,还是回的),并将判断结果作为该条流量的"状态"记录进会话表项,建立两个缓存的session(一个去包缓存、一个回包缓存),后续属于同一数据流的数据包匹配缓存表后放行
会话表:会话表当中包含PC发出的报文信息如地址和端口等
第四代: 统一威胁管理 (简称 UTM)
介绍:人们给状态监测防火墙上集成了VPN、防病毒、邮件过滤关键字过滤等功能,目的是想实现对网络统一地、全方位地保护,渐渐形成了第四代防火墙:UTM(统一威胁管理)。即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
技术:将网关、IDS、IPS等设备进行串行连接,UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
功能:FW、IDS、IPS、AV
**特点:**把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。
优点:整合所带来的成本降低、降低信息安全工作强度、降低技术复杂度
第五代: 下一代防火墙 (简称 NG)
介绍:下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。
技术:工作范围在2-7层
功能:FW、IDS、IPS、AV、WAF
优点:
与UTM相比增加的web应用防护功能,功能更全
UTM是串行处理机制,NGFW是并行处理机制,效率更高
NGFW的性能更强,管理更高效
注意:
我们现在常见的防火墙都是第五代防火墙。
第五代防火墙的名字就叫“下一代防火墙”,没有指代之意。
拓展:
入侵检测系统(IDS):网络摄像头
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
入侵防御系统(IPS):抵制2~7层已知威胁
部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
防病毒网关(AV):基于网络侧识别病毒文件
判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网络进入到内网环境
和防火墙的区别:
Web应用防火墙(WAF):保护Web应用
判断信息:HTTP协议数据的request和response
工作范围:应用层(7层)
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
特征识别:通过正则表达式的特征库进行特征识别
算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等
以存在形式来分:
软件防火墙(iptables,)
软件防火墙也称为个人防火墙,它是最常用的防火墙,通常作为计算机系统上的程序运行。它是可定制的,允许用户控制其功能。软件防火墙单独使用软件系统来完成防火墙功能,将软件部署在系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能。与基于硬件的防火墙不同,软件防火墙只能保护安装它的系统。
硬件防火墙
硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
软件防火墙与硬件防护墙的区别
软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。
软件防火墙性能比硬件防火墙低、成本低
防火墙如何处理双通道协议
ftp、VOIP等协议,通道是随机协商出来的,因此防火墙不能设置策略,也难以形成会话表
使用ASPF(针对引用层的包过滤)技术, ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过 检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据 通道的报文,相当于自动创建了一条精细的“安全策略”。
server-map是一种映射关系,当数据连接匹配了动态Server-map表项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发。
Server map:为特殊应用能够安全顺利通过防火墙,而产生的一种动态、特殊的会话表项
防火墙如何处理nat 地址转换
nat server会产生正反的server-map表项,还是一样的,它只起到地址转换的作用,帮助外网主机进行目的地址转换,同时可以通过正向server-map表项帮助内网服务器进行地址转换
chibohandong