软考-防火墙技术与原理

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

防火墙概念

根据网络的安全信任程度和需要保护的对象，人为地划分若干安全区域，常见安全区域有:公共外部网络，如Internet;

• 内联网(Intranet)，如某个公司或组织的专用网络，网络访问限制在组织内部；
• 外联网(Extranet)，内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；
• 军事缓冲区域，简称DMZ,该区域是个于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。

在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，可以隔离有害通信，进而阻断网络攻击。俗称为“防火墙”。

防火墙是一种在计算机网络中起到保护作用的安全措施，其作用是以一定的规则来过滤网络通信，从而阻止网络攻击或不安全流量进入或离开网络。防火墙通常是以硬件、软件、或两者的组合形式存在，它可以设置许多规则，例如限制哪些IP地址可以访问网络，哪些端口可以使用，允许哪些类型的数据传输等。这些规则可以根据特定的需求进行配置，以帮助保护网络不受未经授权的访问或恶意攻击。防火墙在网络安全中扮演着至关重要的角色。

防火墙工作原理

防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。
防火墙的安全策略有两种类型

• 白名单策略：只允许符合安全规则的包通过防火墙，其他通信包禁止
• 黑名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。

防火墙的功能主要有以下几个方面:

• 过滤非安全网络访问
• 限制网络访问
• 网络访问审计
• 网络带宽控制
• 协同防御

防火墙安全风险

采用防火墙安全措施的网络仍然存在以下网络安全风险

1. 网络安全旁路。
2. 防火墙功能缺陷，导致一些网络威胁无法阻断。主要安全缺陷如下

• 防火墙不能完全防止感染病毒的软件或文件传输。
• 防火墙不能防止基于数据驱动式的攻击。
• 防火墙不能完全防止后门攻击。

防火墙安全机制形成单点故障和特权威胁。
防火墙无法有效防范内部威胁。
防火墙效用受限于安全规则。特别是采用黑名单策略的防火墙。

防火墙类型可分为包过滤防火墙、代理防火墙、代防火墙、Web 应用防火墙、:数据库防火墙、工控防火墙。

包过滤

包过滤是在IP 层实现的防火墙技术，包过滤根据包的源IP 地址、目的IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

包过滤是防火墙的基本功能之一。多数现代的IP 路由软件或设备都支持包过滤功能，并默认转发所有的包。包过滤的控制依据是规则集，典型的过滤规则表示格式由”规则号、匹配条件、匹配操作”三部分组成，一般的包过滤防火墙都用源IP 地址、目的IP 地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。

思科访问控制

Cisco lOS 有两种访问规则形式，即标准IP 访问表和扩展IP 访问表，它们的区别主要是访问控制的条件不一样。标准IP 访问表只是根据IP 包的源地址进行，扩展IP 访问表同时匹配源地址和目的地址BW标准IP访问控制规则的格式如下

access-list list-numberfdeny I permit ) source[source-wildcard] [logl扩展IP 访问控制规则的格式是
access-list list-number(deny permit)protocol
source source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers[log log-input ]标准IP访问控制规则的list-number 规定为1-99,扩展IP 访问控制规则的list-number 规定为100~199；

deny 表示若经过Cisco lOs 过滤器的包条件不配，则禁止该包通过
permit 表示若经过Cisco los 过滤器的包条件匹配，则允许该包通过

source 表示来源的IP 地址
source-wildcard 表示发送数据包的主机IP 地址的通配符掩码，其中1代表“忽略”0代表需要匹配”any 代表任何来源的IP 包，host表示单个地址；

包过滤防火墙技术的优点:低负载、高通过率、对用户透明。
包过滤技术的弱点:不能在用户级别进行过滤，如不能识别不同的用户和防止IP 地址的盗用。如果攻击者把自己主机的IP 地址设成一个合法主机的IP 地址，就可以轻易通过包过滤器。

状态检测防火墙

状态检测防火墙是一种对网络流量进行检测的网络安全设备。它通过检测网络流量中的数据包内容和传输状态来判断是否允许数据包通过。

状态检测防火墙可以根据已知的网络协议和端口号来判断数据包的目的地和来源，同时还可以对数据包的传输状态进行判断，如连接的状态和数据包的大小等。

与传统的静态防火墙相比，状态检测防火墙具有更高的灵活性和可配置性。它可以识别和处理复杂的网络流量，同时也可以对新的网络攻击进行检测和防御

状态防火墙的处理包流程

状态防火墙的处理包流程通常分为以下几个步骤：

1.数据包的接收：防火墙首先会接收到网络数据包，然后根据配置规则对数据包进行进一步处理。

2.数据包的解析：防火墙会对数据包进行深度解析，包括协议类型、端口号、传输状态等方面的信息，并将其转换为相应的数据包格式。

3.状态检测：防火墙会对数据包的传输状态进行检测，如是否已经建立连接、是否是已知连接等等。如果数据包的状态符合预设规则，则防火墙会继续对数据包进行处理；如果不符合，防火墙将丢弃此数据包。

4.流量匹配：防火墙会根据配置规则对数据包进行流量匹配，看是否符合流量控制、安全策略等相关规定。如果符合，防火墙将允许数据包通过，并将其转发到下一节点；否则，防火墙将阻止数据包的进一步传输。

5.日志记录：防火墙会对所有数据包进行日志记录，包括源地址、目的地址、协议类型、端口号、传输状态等相关信息，这些信息有利于网络管理员进行网络故障排查和安全管理。

总之，状态防火墙是一种高效的网络安全设备，它可以对网络流量进行深入的检测，提高网络的安全性和可靠性。

应用服务代理

应用服务代理防火墙是一种特殊的防火墙设备，它主要用于保护应用服务的安全。与传统的网络防火墙不同，应用服务代理防火墙能够识别更多的应用层协议，包括HTTP、SMTP、FTP等，能够对应用层数据进行深入的检测和过滤。

应用服务代理防火墙和传统防火墙相比，具有以下优点：

1.更加精细的控制：应用服务代理防火墙能够识别不同的应用层协议，可以对不同的应用进行精细的控制和管理，从而提高了防火墙的安全性。

2.更加灵活的配置：应用服务代理防火墙可以根据不同的应用服务进行灵活的配置，可以对不同的应用服务进行不同的过滤规则，以便更好地保护应用服务的安全。

3.更加准确的检测：应用服务代理防火墙可以对应用层数据进行深入的检测，可以检测应用服务中的漏洞和安全缺陷，从而提高了防火墙的检测准确性。

应用服务代理防火墙与传统防火墙相比，虽然具有更加精细的控制和更加灵活的配置，但是也存在一些局限性，如处理速度较慢、不适用于大规模网络等情况。因此，在实际应用中需要根据具体情况进行选择。

网络地址转换技术

NAT是Network Address Translation 的英文缩写，即“网络地址转换”。NAT 技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP 地址和大量主机之间的矛盾。同时NAT可以提高了内部网络的安全性。
实现网络地址转换的方式主要有:

• 静态NAT(StaticNAT)：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
• NAT 池(pooledNAT)：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。
• 端口NAT(PAT)：把内部地址映射到外部网络的一个IP 地址的不同端口上。

WEB防火墙技术

Web 应用防火墙是一种用于保护Web 服务器和Web 应用的网络安全机制。
Web 应用防火墙的HTTP 过滤的常见功能主要有允许 /禁止HTTP 请求类型、HTTP 协议头各个字段的长度限制.后缀名过滤、URL内容关键字过滤、Web 服务器返回内容过滤。
Web 应用防火墙可抵御的典型攻击主要是SQL 注入攻击、XSS 跨站脚本攻击、Web 应用扫描、Webshell.Cookie注入攻击、CSRF 攻击等。目前，开源Web 应用防火墙有ModSecurity、WebKlight、ShadowDaemon 等。

数据库防火墙

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。
虚拟补丁技术通过在数据库外部创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术

工控防火墙是一种用于保护工业设备及系统的网络安全机制。侧重于分析工控协议，主要包括Modbus TCP 协议EC 61850 协议、OPC 协议、Ethernet/IP 协议和DNP3 协议等。同时，工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求。

下一代防火墙技术

下一代防火墙具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统安全策略部署、智能化安全管理等新功能。如 :(1)应用识别和管控。(2)入侵防护IPS)。(3)数据防泄露。(4)恶意代码防护。(5)URL 分类与过滤。 (6) 带宽管理与QoS 优化。(7) 加密通信分析
防火墙共性关键技术:(1)深度包检测(2)操作系统(3)网络协议分析

防火墙主要产品

防火墙主要产品包括以下几种：

1. 硬件防火墙：这种防火墙是一种用于保护网络的物理设备，通常在网络边缘放置，通过过滤网络流量来保护网络。

2. 软件防火墙：这种防火墙是一种安装在主机或服务器上的软件，它能够监视和过滤进出主机的网络流量。

3. 云防火墙：云防火墙是一种在云平台上实现的防火墙，以提供一种更好的网络安全保护和管理方式。

4. 综合威胁管理（UTM）：UTM是一种综合的网络安全解决方案，它将多种安全功能集成在一起，包括防火墙、入侵检测、反病毒、虚拟专用网络（VPN）等。

5. 下一代防火墙（NGFW）：NGFW是一种新型的防火墙，它能够在传统防火墙的基础上增加更多的安全功能，如应用程序控制、威胁情报、行为分析等。

防火墙防御体系结构

防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。

基于双宿主主机防火墙机构双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。

基于代理型防火墙结构
代理型结构中由一台主机同外部网连接，该主机代理内部网和外部网的通信。同时，代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构。

基于屏蔽子网的防火墙结构
屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。
基于屏蔽子网的防火墙结构的特点如下

• 应用代理位牙被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网不能直接进入内部网络
• 两个包过滤路由器的功能和配置是不同的。包过滤路由器A 的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证。

优点：安全级别高
缺点：成本高，配置复杂

防火墙应用场景类型
1、上网保护；2、网站保护；3、数据保护；4、网络边界护；5、终端保护；6、网络安全应急响应

防火墙部署基本方法
防火墙部署的基本过程包含以下几个步骤:

• 第一步，根据组织或公司的安全策略要求，将网络划分成若干安全区域；
• 第二步，在安全区域之间设置针对网络通信的访问控制点；
• 第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略；
• 第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构；
• 第五步，在防火墙上，配置实现对应的网络安全策略；
• 第六步，测试验证边界安全策略是否正常执行；
• 第七步，运行和维护防火墙。

IPtables防火墙

IPtables是Linux系统中最常用的防火墙程序之一。它使用规则集来控制网络流量，可以允许或拒绝特定的数据包或连接请求。IPtables可以根据源IP地址、目的IP地址、源端口、目的端口和协议类型等匹配条件来过滤数据包。它可以用于保护服务器免受网络攻击，也可以用于限制特定用户或应用程序的网络访问权限。IPtables的配置文件通常位于/etc/sysconfig/iptables或/etc/iptables/rules.v4文件中。

IPtables有四个表，分别是：

1. filter 表：这是默认的表，用于过滤数据包，并决定是否允许其通过防火墙。这个表主要用于限制特定IP地址或协议类型的网络访问。

2. nat 表：该表主要用于网络地址转换，它允许你将一个IP地址翻译为另一个IP地址。这个表通常用于将局域网内部的私有IP地址映射到公共网络上的公共IP地址。

3. mangle 表：该表主要用于修改数据包的头部信息或TOS字段。你可以使用这个表来实现QoS（Quality of Service）功能，以确保重要的数据包优先传输。

4. raw 表：该表用于禁止特定的协议进行连接跟踪，通常用于网络流量分析或网络监控。它不会进行任何的处理，只会简单地通过或丢弃数据包。

IPtables中的四个链，可以分为两类，分别是预定义链和用户自定义链。

1. 预定义链：

• INPUT 链：用于入站流量的过滤和处理。
• OUTPUT 链：用于出站流量的过滤和处理。
• FORWARD 链：用于转发流量的过滤和处理。

2. 用户自定义链：

• PREROUTING 链：用于流量进入路由之前的处理，通常用于NAT网络地址转换。
• POSTROUTING 链：用于流量离开路由之后的处理，通常用于NAT网络地址转换。

用户可以创建自定义链来处理具有特定需求的流量，例如：

• LOGGING 链：用于记录特定流量的详细信息，以帮助网络分析和调试。
• DMZ 链：用于处理与公共网络连接的特定设备流量，以保护内部网络的安全性。

用户自定义链必须在预定义链之前被调用。用户自定义链可以由其他用户自定义链或预定义链调用。

IPtables规则

IPtables规则用于过滤和处理网络流量。每一个规则包含多个部分：

1. 表名称：规则所在的表，如filter、nat、mangle等。

2. 链名称：规则所在的链，如INPUT、OUTPUT、FORWARD等。

3. 匹配条件：规则所要匹配的流量条件，如源IP地址、目标IP地址、协议类型、端口号等。

4. 动作：符合匹配条件的流量应该执行的动作，如ACCEPT接受流量、DROP丢弃流量、REJECT拒绝流量等。

IPtables规则

语法格式如下：

iptables -t <table> <chain> <options>

其中，<table>表示规则所在的表，<chain>表示规则所在的链，<options>表示规则中所包含的条件和动作选项。

例如，下面的规则将会拒绝来自IP地址为192.168.1.100的主机的所有TCP协议的连接请求：

iptables -A INPUT -s 192.168.1.100 -p tcp -j DROP

其中，-A表示将规则加入到链的末尾，-s表示源IP地址，-p表示协议类型，-j DROP表示拒绝该流量。

除了上述一些基本的规则选项外，IPtables还支持一些高级的规则选项，例如限制流量速率、连接追踪等，可以根据需要进行配置。