-
防火墙概述
-
防火墙概念
- 不做特殊说明,认为防火墙只有ACL功能
- 安全区域:
- 公共外部网络:Internet
- 内联网
- 外联网(≠外网):常用作组织和合作伙伴之间进行通信
- 军事缓冲区域(DMZ):常防止公共服务设备,向外提供信息服务
- 防火墙安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成
-
防火墙工作原理
- 由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全
-
安全策略
- 白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止
- 黑名单策略:禁止与安全规则相冲突的包通过防火墙,其通信包都允许
- 防火墙功能
- 过滤非安全网络访问:将防火墙设置为只有预先被允许的服务和用户才能通过防火墙
- 限制网络访问:防火墙只允许外部网络访问受保护网络的指定主机或网络服务
- 网络访问审计:防火墙是外部网络与受保护网络之间的唯一网络通道依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据
- 网络带宽控制:防火墙可以控制网络带宽实现络质量服务(QoS)保障。
- 协同防御:防火墙和入侵检测系统通过交换信息实现联动
-
防火墙安全风险
- 防火墙缺陷
- 防火墙不能完全防止感染病毒的软件或文件传输:病毒种类太多,需依赖杀毒软件
- 防火墙不能防止基于数据驱动式的攻击:当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。(无法检测数据包内容)
- 防火墙不能完全防止后门攻击:防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制。例如httptunnel等。
- 网络安全旁路
- 防火墙安全机制形成单点故障和特权威胁
- 防火墙无法有效防范内部威胁
- 防火墙受限于安全规则
- 防火墙缺陷
-
-
防火墙类型与实现技术
-
包过滤
- IP层
- 根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向等包头信息判断是否允许包通过
- 包过滤规则
- 规则号
- 匹配条件:源IP地址、目的IP地址、源端口、目的端口、协议、通信方向、规则运算符
- 匹配操作:拒绝、转发、审计
- 华为防火墙:permit、deny
- Linux防火墙:accept、reject、drop
- 包过滤防火墙技术优点:低负载、高通过率、对用户透明
- 包过滤防火墙技术弱点:不能在用户级别进行过滤
-
状态检查技术
- 状态防火墙处理包流程:接受到数据包、检查数据包的有效性、查找会话表、查找策略表
-
应用服务代理
- 优点:
- 不允许外部主机直接访问内部主机
- 支持多种用户认证方案
- 可以分析数据包内部的应用命令
- 可以提供详细的审计记录
- 缺点:
- 速度比包过滤慢;
- 对用户不透明;
- 与特定应用协议相关联,代理服务器并不能支持所有的网络协议。
- 优点:
-
网络地址转换技术
- NAT 技术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网卫P地址和大量主机之间的矛盾。
- 实现网络地址转换的方式主要有:
- 静态 NAT(Static NAT):内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址(1对1)
- NAT池(pooledNAT):在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络(多对多)
- 端口NAT(PAT):把内部地址映射到外部网络的一个I地址的不同端口上(多对1)
-
Web防火墙技术(WAF)
- 技术原理:根据预先定义的过滤规则和安全防护规则,对所有访问 Web服务器的HTTP请求和服务器响应,进行 HTTP 协议和内容过滤,进而对 Web 服务器和 Web应用提供安全防护功能。
-
数据库防火墙技术
- 基于数据通信协议深度分析和虚拟补丁
-
工控防火墙技术
- 侧重于分析工控协议
-
下一代防火墙技术
-
防火墙共性关键技术
-
深度包检测(DPI)
- 是一种用于对包的数据内容及包头信息进行检查分析的技术方法。传统检查只针对包的头部信息,而DPI对包的数据内容进行检查,深入应用层分析。DPI运用模式(特征)匹配、协议异常检测等方法对包的数据内容进行分析
- DPI需要不断更新维护深度检测策略,以确保防火墙持续有效
-
操作系统
- 依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全。
-
网络协议分析
- 通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理。
-
-
-
防火墙主要产品与技术指标
-
防火墙主要技术指标
- 安全功能要求、性能要求、安全保障要求、环境适应性要求
-
-
防火墙防御体系结构类型
-
基于双宿主主机防火墙结构
- 最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。对从一块网卡上送来的包,经过一个安全检查模块检查后,如果是合法的,则转发到另一块网卡上,以实现网络的正常通信
- 最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。对从一块网卡上送来的包,经过一个安全检查模块检查后,如果是合法的,则转发到另一块网卡上,以实现网络的正常通信
-
基于代理型防火墙结构
- 由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构
- 配置规则
- 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。
- 任何外部网(或 Internet)的主机只能与内部网络的代理主机建立连接。
- 任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要有较全面的安全保护。
- 缺点
- 攻击者攻破代理主机,攻击者变成了内部合法用户,可以侦听到内部网络上的所有信息
- 由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构
-
基于屏蔽子网的防火墙结构
- 在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带
- 特点
- 应用代理位于被屏蔽子网中(边界网络 或 DMZ区),内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。
- 两个包过滤路由器的功能和配置是不同的。包过滤路由器 A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证。
- 优点:安全级别最高。
- 缺点:成本高,配置复杂。
- 在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带
-
-
防火墙技术应用
-
部署基本方法
- 第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域
- 第二步,在安全区域之间设置针对网络通信的访问控制点
- 第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略
- 第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
- 第五步,在防火墙上,配置实现对应的网络安全策略
- 第六步,测试验证边界安全策略是否正常执行
- 第七步,运行和维护防火墙
-