了解防火墙的发展进程及基本原理------一堵了不起的墙

1.防火墙:在遭受到入侵时，做内外网的隔离策略叫做防火墙,网络之中我们一般把外网看作不安全区域，非法用户容易从外网入侵到内网，而内网一般我们看作相对安全的区域。
2.防火墙的分类:

防火墙的功能:1.访问控制;2.地址转化(做上网代理);3.带宽管理;4.入侵检测和防御攻击;5.用户认证。
3.防火墙的进化史：
与人类的进化史相似，防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中，网络技术的不断发展，新需求的不断提出，推动着防火墙向前发展演进。最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史。在这二十多年间，防火墙的发展过程大致可以划分为下面三个时期： 1989-1994年;1995-2004年;2005年以后;
现在我们来根据防火墙的技术划分来了解了解防火墙的进化史:

3.1包过滤防火墙（静态包过滤技术，包过滤防火墙的持续时间大概在1989年）
包过滤防火墙的基础: 包过滤能够通过报文源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流，从而针对不同的数据流制定不同的规则。


包过滤防火墙的实现原理:对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 实现包过滤的核心技术:访问控制列表。
包过滤防火墙：最早之前是在路由器上做安全的策略ACL+ PAT +静态的NAT（达到防火墙的效果）让内网的终端可上公网,原始的防火墙存在着种种的问题，下面我们来具体分析分析:
问题一、包防火墙存在的问题:黑客可以通过伪造IP地址（被放行的IP地址），伪造端口号来破解ACL和NAT（NAT技术在出去的时候会在设备上产生一张映射表）的阻挡。
问题一的应对策略:利用TCP通信过程来做防御手段，TCP会话的建立必须经过握手阶段，而握手阶段存在三种数据包:SYN(同步请求包)，ACK(应答包)，RST(复位包，收到此包会直接断开会话)，安全起见，一般会话是由安全区域发起的，那麽对于外网发给内网的包只能是ACK和RST，在防火墙设备上进行数据包的抓取是这两种包就放行不是就丢弃（前提是黑客无法对TCP的FLAG字段进行操作，因为TCP握手阶段的三种包都包含在FLAG字段之中，但是这是不可能的，黑客肯定能造包并且对FLAG字段进行操作）。
问题二、容易遭受到拒绝式服务攻击(DDOS)，黑客通过大量的发送RST和ACK报文不断骚扰你内网服务器，使你无法应答正确的连接，而且这种方式只能针对于TCP会话，对于UDP就无能为力了。
问题二的应对策略: ESTABLISHED ACL（自反ACL）—出去的时候形成一条自反的ACL列表，挂在入向口上，类似与NAT技术
问题三、如果你访问的是一个Web网页，自反ACL可以防御黑客的攻击嘛？答案是NO，因为你首先需要去DNS服务器做地址解析，而黑客可以中途造一个回程的DNS包来骚扰攻击你。
对于上述三个问题我们可以简单的总结为:
TCP会话建立阶段FLAG字段的过滤
TCP — RST释放连接（无论连接到什么程度，一个RST包将你清空）;
TCP — FIN四次断开 一个断开包一个ACK;
DOS — 拒绝式服务攻击 （不断的骚扰你）;
包过滤防火墙的逐包过滤问题:数据流来到包过滤防火墙上，防火墙根据过滤系统制定好的过滤规则，逐包的来进行所有规则的匹配，匹配成功则允许数据包通过，匹配失败则直接丢弃该数据包。这里我们可以发现，一旦数据流量过大，那麽包过滤防火墙的负荷增大，工作效率会直线下降。
包过滤防火墙的缺点:对于欺骗类的攻击无法防止、容易受到拒绝式服务攻击，并且逐包匹配的话一旦流量数过大，那麽检测效率将大大的降低，至关重要的是它得以进行正常工作的一切依据都在于过滤规则的实施，但是偏又不能满足建立精细规则的要求（规则数量和防火墙性能成反比），而且它只能工作于网络层和传输层，并不能判断高级协议里的数据是否有害。
3.2代理服务器技术—SOCKS协议，大概在1990年左右出现，其原理是把所有的数据包都拦下来，全部交给代理服务器，由代理服务器把所有包的封装去掉，进行应用层数据的检查，再重新封装，应用层没问题才转发到内网之中。（实验的设备是堡垒机<类似于主机的东西，靠里边的软件来做检查>）。
优点:检查了应用层数据。
缺点:工作的效率比包过滤防火墙都低；
3.3状态防火墙（动态包过滤技术,一次检查后期的所有流都放行的技术）
状态防火墙的原理:

状态防火墙将内网定义为信任区域，将外网定义为非信任区域。
对于TCP报文------开启状态检测机制时，首包（SYN报文）建立会话表项。对除SYN报文外的其他报文，如果没有对应会话表项（设备没有收到SYN报文或者会话表项已老化），则予以丢弃，也不会建立会话表项；关闭状态检测机制时，任何格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。
对于UDP报文------UDP是基于无连接的通信，任何UDP格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。
对于ICMP报文------开启状态检测机制时，没有对应会话的ICMP应答报文将被丢弃;关闭状态检测机制时，没有对应会话的应答报文以首包形式处理
1.不检查数据区
2.建立连接状态表
3.前后报文相关
4.应用层控制很弱
这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。

理念上的升级：把网络上的数据以流的形式对待，流在状态防火墙会形成—会话表（流表；CISCO叫连接表）。
1）流的第一个包进入防火墙，防火墙先去匹配规则，如果规则允许会到第二步，如果规则不允许，丢弃（路由规则、NAT的规则、策略等）。
2）规则允许，会为流建立会话表，后续所有流的包直接匹配会话表进行转发。
**状态防火墙的会话表（动态的，边走边修改的）可以理解为为流建立的包的预期表。**会话是状态检测防火墙的基础，每一个通过防火墙的数据流都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值，通过建立动态的会话表提供域间转发数据流更高的安全性。如图所示:

会话预期表的超时机制:
1）握手阶段会话表超时时间一般60s，防止TCP的半开攻击(TCP的三次握手会在内存中开辟一张表存储握手信息，塞满这张表，满了就丢)。
DOS攻击的防御（主机上就可以做）：建立一个cookie表，cookie表中记录与他握手的源地址（握手完成cookie就释放了）。如果后续第X（可调整）次再来握手，检测cookie如果有记录就不处理，不回ACK就不会把握手放至在two-way timeout表之中。（事不过三呀），但是对于DDOS是没用的。
状态型防火墙可以设置会话表的连接次数来防止DDOS攻击。
2）握手成功一般会话表的超时时间为60min。
一旦会话表建立起来，数据直接匹配会话表(CISCO叫BEST-PATH最优路径)。
状态型防火墙下FTP存在的问题------请求和传输分为两个端口号实现，传输由服务器主动发出，防火墙的会话表是没有这个状态的，导致FTP传输无法成功。
解决方案：端口检测技术<防火墙上默认是打开的>。（检查21号端口的传输数据的数据部分（应用层的）查看FTP传输协商的端口号，然后防火墙上主动开启此端口），但是这种技术会使得防火墙的性能下降(默认检查 网络层和传输层)，因为他拆应用层的包了，相当于代理的功能。
状态型防火墙下UDP的问题------UDP没有Flag字段，所以检查的元素会变少，那麽防御效果就会减弱。而且UDP是无连接的，只能通过源目IP、端口去判断。
解决方案：UDP对于防火墙来讲也会创建虚连接表（创建会话表）。
状态型防火墙下ICMP的问题------ICMP没有端口，防御能力会继续下降，只能检查源目IP和协议（没什么检查的）,并且ICMP是无连接的，就存在着黑客可能会绕过防火墙利用ICMP打隧道的问题。
解决方案:一般防火墙会默认禁止ICMP回包。
状态型防火墙的简单总结：优点->状态型防火墙主要检查的还是三层和四层，不检查应用层，效率较高，对于TCP的防御是较好的。缺点->会话表无法查看到应用层的内容，无法防止基于应用层的攻击。
状态型防火墙的转发机制图:

基于上图我们可以发现第一次创建完会话表保障了安全，后期根据会话表进行转发提高了防火墙的工作效率。
随着对安全要求的提高迎来了两种技术：
深度包检测技术（DPI）: 深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，另外识别各种应用及其内容，深入到应用层，提取数据包的关键点的特征因素判断是否具有攻击字段。
深度流检测技术（DFI）: 一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。
DPI技术与DFI技术的区别与应用场景:
DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但是无法判断该流量是否采用H.323(一套在分组网上提供实时音频、视频和数据通信的标准)或其他协议。 如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。
随着两种技术的到来带来了很多新的产品，例如:
1>入侵检测 IDS—预警功能，无防御能力，依靠特征库（原理与360杀毒软件类似）。
2>IPS（入侵防御）单独的设备，单独处理应用层的数据。
企业一般为了企业内网的安全，会在企业的网络边界上架设各种安全设备，这就导致企业网络边界的设备数量过多，有路由器（接口丰富，承接各种各样的接口）+ 防火墙+ IPS+应用代理（管理流量、上网行为） + WAF（web application fireward）+ 防毒墙（过滤病毒）+ 漏洞检测设备+负载均衡设备等一系列的设备，安全的确得到了保障但是网络的转发效率却极具的下降。
3.4新设备的诞生—UTM
UTM:多功能防火墙（整合了上述所有设备的模块功能;多设备叠加=多功能假集成=貌合神离）。
优点:企业网络边界设备的数量大大减少。
缺点:数据包还是得一个模块一个模块的过，网络的传输效率没有任何改善。
如下图所示是UTM设备的缺点:

3.5下一代防火墙（SANGFOR公司称之为 NGAF）:
沙盒技术(拦截可疑数据流，在沙盒中先组装令其运行一遍，可疑的数据直接干掉，安全的数据放行，转发进入企业内网)的应用。
下一代防火墙的应用场景:

总结:对于防火墙的学习，我认为我们还得着重于对状态型防火墙的基本原理学习，以及清楚掌握状态型防火墙会话表是如何形成、如何工作的;另外，对于DPI技术与DFI技术要清楚掌握应用于何种情况与他们之间的区别是什么。