第八章 防火墙技术原理与应用
1、防火墙概述
防火墙概念:联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括:
- 公共外部网络:如Internet;
- 内联网:如某个公司或组织的专用网络,网络访问限制在组织内部;
- 外联网:内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;
- 军事缓冲区域,简称DMZ:常放置公共服务设备,向外提供信息服务。
防火墙:通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网络攻击。一般安装在不同的安全区域边界处。
工作原理:防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包。一般用来将内部网络与因特网或者其他外部网络互相隔离。
防火墙根据网络包所提供的信息实现网络通信访问控制,录个网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许。
防火墙的安全策略有两种类型:
- 白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止。
- 黑名单策略:禁止与安全规则 相冲突的包通过防火墙,其他通信包都允许。
防火墙的功能:过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御。
防火墙安全风险:
- 网络安全旁路:防火墙对未经过它的网络通信无能为力,例如从内部直接拨号访问外网;
- 防火墙功能缺陷,导致一些网络威胁无法阻断;
- 防火墙安全机制形成单点故障和特权威胁。一旦防火墙自身的安全管理失效,就会对网络照成单点故障和网络安全特权失控。
- 防火墙无法有效防范内部威胁
- 防火墙效用受限于安全规则。
防火墙发展:防火墙控制粒度不断细化,检查安全功能持续增强,产品分类更细化,智能化增强。
2、防火墙类型与实现技术
包过滤:在IP层实现的防火墙技术,根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否运行包通过。
- 优点:低负载、高通过率、对用户透明
- 缺点:不能在用户级别进行过滤(仿照IP)
包过滤的控制依据:是规则集。
- 典型的过滤规则:规则号、匹配条件、匹配操作
- 一般的包过滤防火墙:源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP/TCP/ICMP)、通信方向、规则运算符
- 匹配操作:拒绝、转发、审计
- 实例:该规则的作用在于只允许内、外网的通信邮件,其他的通信都禁止:
状态检查技术:利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。首先建立并维护一张会话表,有符合安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。处理包的流程: - 接收到数据包
- 检查数据包的有效性,无效:则丢掉数据包并审计
- 查找会话表:找到,进一步检查数据包的序列号和会话状态,有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
- 当会话表中没有新到的数据包信息时,则查找策略表,符合,则增加会话条目到会话表中,并进行地址转换和路由 ,转发该数据包。否则,丢到该数据包并审计。
应用服务代理:扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人”的角色,代理防火墙代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。
代理服务器:采用代理服务技术的防火墙,能够提供在应用级的网络安全访问控制。通常由一组按应用分类的代理服务器程序和身份验证服务程序构成。每个代理服务程序用到一个指定的网络端口。
- 受保护的内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求;
- 外网的用户只能看到代理服务器,从而隐藏了受保护网络的内部结构及用户的计算机信息。
网络地址转换技术NAT(重要):为了解决公开地址不足而出现的,能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,实现方法:
- 静态NAT:内部网络中的每个主机都被永久映射成外部网络中的某个合法地址;
- NAT池:在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络;
- 端口NAT(PAT):把内部地址映射到外部网络的一个IP地址的不同端口上。
Web防火墙技术:基于保护Web服务器和Web应用的网络安全机制,对HTTP协议和内容进行过滤。
Web应用防火墙的HTTP过滤的常见功能主要有
- 允许/禁止HTTP请求类型
- HTTP协议头各个字段的长度限制
- 后缀名过滤
- URL内容关键字过滤
- Web服务器返回内容过滤
数据库防火墙技术:用于保护数据库服务器的网络安全机制。技术原理是:基于数据通信协议深度分析和虚拟补丁,根据安全规则控制。
- 数据库通信 协议深度分析:可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SQL语句”等信息;
- 虚拟补丁技术:在数据库外部创建一个安全屏蔽层,监控所有数据库活动,从而不用打数据库厂商的补丁,也不需要停止服务,可以保护数据库安全。
工控防火墙技术:工业控制系统专用防火墙,用于保护工业设备及系统的网络安全机制。通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,侧重于分析工控协议。
下一代防火墙 技术:下一代防火墙还具有应用识别和控制、可应对安全威胁演变、监测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理。
防火墙共性关键技术:
- 深度包检测(DPI):用于对包的数据内容及包头信息进行检查分析的技术方法,深入应用层分析。运用模式(特征)匹配、协议异常检测对包数据内容进行分析。面临问题:模式规则维护管理复杂性、自身安全性、隐私保护、性能等一系列挑战和问题。隐私保护技术使得DPI的检测能力受到限制,加密数据的搜索匹配成为DPI的技术难点,DPI还会影响网络传输速度。可以利用硬件提高模式匹配算法性能,如利用GPU加速模式匹配模式。
- 操作系统:操作系统的安全性直接影响防火墙的安全
- 网络协议分析:防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检测及后续包的处理。
3、防火墙主要产品与技术指标
防火墙主要产品:
- 产品形态有硬件实体模式和软件模式
- 商业产品的主要形态为物理硬件实体
防火墙主要技术指标
- 安全功能要求
- 性能要求
- 安全保障要求(基本相同)
- 环境适应性要求
防火墙性能指标
- 最大吞吐量:检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率;
- 最大连接速率:TCP新建连接速率、HTTP请求速率、SQL请求速率;
- 最大规则数:检查在添加大数量访问规则的情况下,防火墙性能变化状况;
- 并发连接数:防火墙在单位时间内所能建立的最大TCP连接数,每秒的连接数。
防火墙安全保证指标:用于测评防火墙的安全保障程度。
环境适应性指标:用于评估防火墙的部署和正常运行所需要的条件。
防火墙自身安全指标:身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力。
4、防火墙防御体系结构
基于双宿主主机防火墙结构:是最基本的防火墙结构,至少具有两个网络接口卡的主机系统。将一个内部网络和外部网络分别连接在不同的网卡上,使内外网不能直接通信。对发送过来的IP包进行安全检查,合法则转发到另一块网卡上,不合法则阻止通信。内外网络直接的IP数据流完全在双宿主主机的控制之中。
基于代理型防火墙结构:由一台主机同外部网连接,该主机代理内部网和外部网的通信。在这种结构中,代理主机位于内部网络,过滤路由器 可按如下规则配置:
- 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接;
- 任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接;
- 任何外部系统对内部网络的操作都必须经过代理主机,代理主机本身要有较全面的安全保护。
- 优点:代理型结构比双宿主结构提供更好的安全保护,同时操作也更加简便。
- 缺点:只要攻击者设法攻破了代理主机,那整个内部网络与代理主机之间就没有任何障碍了。
基于屏蔽子网的防火墙结构:屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机和内部网。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息。
5、防火墙技术应用
防火墙应用场景类型:上网保护、网站保护、数据保护、网络边界 保护、终端保护、网络安全应急响应。
防火墙部署基本方法:
扫一扫
8057
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
