第8章 防火墙技术原理与应用
8.1 防火墙概述
防火墙是网络安全区域边界保护的重要技术,本节主要阐述防火墙的基本概念、防火墙工作原理、防火墙安全风险,并分析防火墙技术的发展趋势。
8.1.1 防火墙概念
为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分成若干安全区域,这些安全区域有:
- 公共外部网络,如Internet;
- 内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部;
- 外联网(Extranet),内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;
- 军事缓冲区域,简称DMZ,该区域介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。
8.1.2 防火墙工作原理
防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全。
防火墙的安全策略有两种类型:
(1)白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止;
(2)黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。
防火墙的功能主要有以下几个方面。
- 过滤非安全网络访问。
- 限制网络访问。
- 网络访问审计。
- 网络带宽控制。
- 协同防御。
8.1.3 防火墙安全风险
尽管防火墙有许多安全防范功能,但也有一些力不能及的地方。采用防火墙安全措施的网络仍然存在以下网络安全风险。
(1)网络安全旁路。
(2)防火墙功能缺陷。
- 防火墙不能完全防止感染病毒的软件或文件传输。
- 防火墙不能防止基于数据驱动式的攻击。
- 防火墙不能完全防止后门攻击。
(3)防火墙安全机制形成单点故障和特权威胁。
(4)防火墙无法有效防范内部威胁。
(5)防火墙效用受限于安全规则。
8.1.4 防火墙发展
防火墙作为网络安全的基础控制措施,其技术不断发展演变,主要表现为以下几个方面。
(1)防火墙控制粒度不断细化。控制规则从以前的IP包地址信息延伸到IP包的内容。
(2)检查安全功能持续增强。检测IP包的内容越来越细,DPI(Deep Packet Inspection)应用于防火墙。
(3)产品分类更细化。针对保护对象的定制安全需求,出现专用防火墙设备,如工控防火墙、Web防火墙、数据库/数据防火墙等。
(4)智能化增强。通过网络安全大数据和人工智能技术的应用,防火墙规则实现智能化更新。
8.2 防火墙类型与实现技术
按照防火墙的实现技术及保护对象,常见的防火墙类型可分为包过滤防火墙、代理防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等。
8.2.1 包过滤
包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤防火墙(Packet Filter)。
目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述规则条件。而匹配操作有拒绝、转发、审计三种。
8.2.2 状态检查技术
基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义的安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后状态表项检查,与这些会话相关联的包才允许通过防火墙。
状态防火墙处理包流程的主要步骤如下。
(1)接收到数据包。
(2)检查数据包的有效性,若无效,则丢掉数据包并审计。
(3)查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
(4)当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
8.2.3 应用服务代理
应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人”的角色,代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。
采用代理服务技术的防火墙简称为代理服务器,它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为FTP代理、Telnet代理、Http代理、Socket代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理服务。
应用服务代理技术的优点主要有:
- 不允许外部主机直接访问内部主机;
- 支持多种用户认证方案;
- 可以分析数据包内部的应用命令;
- 可以提供详细的审计记录。
应用服务代理技术的缺点是:
- 速度比包过滤慢;
- 对用户不透明;
- 与特定应用协议相关联,代理服务器并不能支持所有的网络协议。
8.2.4 网络地址转换技术
NAT是Network Address Translation的英文缩写,中文含义是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面,则能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高了内部网络的安全性。
实现网络地址转换的方式主要有:静态NAT(StaticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。
8.2.5 Web防火墙技术
Web应用防火墙是一种用于保护Web服务器和Web应用的网络安全机制。其技术原理是根据预先定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器响应,进行HTTP协议和内部过滤,进而对Web服务器和Web应用提供防护功能。Web应用防火墙的HTTP过滤的常见功能主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤。Web应用防火墙可抵御的典型攻击主要是SQL注入攻击、XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。目前,开源Web应用防火墙有ModSecurity、WebKnight、Shadow、Daemon等。
8.2.6 数据库防火墙技术
数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁。其中,数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SQL语句”等信息,然后依据这些信息及安全规则监控数据库风险行为,阻断违规SQL操作、阻断或允许合法的SQL操作执行。
虚拟补丁技术通过在数据库外部创建一个安全屏障层,监控所有数据库活动,进而阻止可疑会话、操作程序或隔离用户,防止数据库漏洞被利用,从而不用打数据库厂商的补丁,也不需要停止服务,可以保护数据库安全。
工控防火墙技术
工控防火墙系统专用防火墙简称为工控防火墙,是一种用于保护工业设备及系统的网络安全机制。其技术原理主要是通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,实现工控网络的安全隔离和工控现场操作的安全保护。
8.2.8 下一代防火墙技术
相对于传统防火墙而言,下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。
(1)应用识别和管控。
(2)入侵防护(IPS)。
(3)数据防泄露。
(4)恶意代码防护。
(5)URL分类与过滤。
(6)带宽管理与QoS优化。
(7)加密通信分析。
8.2.9 防火墙共性关键技术
防火墙涉及多种技术,其中关键技术主要有以下几种。
1. 深度包检测
深度包检测(Deep Packet Inspection,DPI),是一种用于对包的数据内容及包头信息进行检查分析的技术方法。
2. 操作系统
防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全。
3. 网络协议分析
防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理。
8.3 防火墙主要产品与技术指标
防火墙是主流的网络安全产品,按照应用场景,防火墙的产品类型有网络防火墙、Web应用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙。
8.3.2 防火墙主要技术指标
一般来说,防火墙评价指标可以分成四类,即安全功能要求、性能要求、安全保障要求、环境适应性要求。
1. 防火墙安全功能指标
功能指标项主要有:网络接口、协议支持、路由支持、设备虚拟化、加密支持、认证支持、访问控制、流量管理、应用层控制、攻击防护、管理指标、审计和报表。
2. 防火墙性能指标
评估防火墙性能的指标涉及防火墙所采用的技术,根据现有防火墙产品,防火墙在性能方面的指标主要包括如下几个方面:
- 最大吞吐量
- 最大连接速率
- 最大规则数
- 并发连接数
3. 防火墙安全保障指标
防火墙安全保障指标用于测评防火墙的安全保障程度,主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定。
4. 环境适应性指标
环境适应性指标用于评估防火墙的部署和正常运行所需要的条件,主要包括网络环境、物理环境。
5. 防火墙自身安全指标
评价防火墙的安全功能指标主要有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等。
8.4 防火墙防御体系结构类型
防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。
8.4.1 基于双宿主主机防火墙结构
双宿主主机结构是最基本的防火墙结构。这种结构实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。对从一块网卡上送来的IP包,经过一个安全检查模块检查后,如果是合法的,则转发到另一块网卡上,以实现网络的正常通信;如果不合法,则阻止通信。这样,内、外网络直接的IP数据流安全在双宿主主机的控制之中。
8.4.2 基于代理型防火墙结构
代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构。
8.4.3 基于屏蔽子网的防火墙结构
屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。基于屏蔽子网的防火墙结构的特点如下:
- 应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。
- 两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问都必须经过应用服务器的检查和认证。
- 优点:安全级别最高。
- 缺点:成本高,配置复杂。
8.5 防火墙技术应用
8.5.1 防火墙应用场景类型
防火墙是网络安全保障的重要基础性技术,目前已经广泛应用于网络信息系统保护,常见的应用场景主要如下。
1. 上网保护
2. 网站保护
3. 数据保护
4. 网络边界保护
5. 终端保护
6. 网络安全应急响应
8.5.2 防火墙部署基本方法
防火墙部署需根据受保护的网络环境和安全策略进行,如网络物理结构或逻辑区域。防火墙部署的基本过程包含以下几个步骤:
第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域;
第二步,在安全区域之间设置针对网络通信的访问控制点;
第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略;
第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构;
第五步,在防火墙上,配置实现对应的网络安全策略;
第六步,测试验证边界安全策略是否正常执行;
第七步,运行和维护防火墙。