初识安全设备-防火墙

1. 什么是防火墙？

在网络中，为了隔离（非授权用户）并且过滤（对受保护网络有害的流量或者数据包）的设备

防火墙的功能，是在路由交换的功能基础之上，还要有隔离和过滤的功能

防火墙的作用：隔离非授权的用户，根据防火墙设定好的过滤规则进行放行

2.防火墙区域的划分

Untrust（非受信区）：不受信任的区域，通常是在内网以外的网络

Trust（受信区）：受信任的区域，通常是内网

Local（本地区）：通常认为是防火墙自身，防火墙转发的数据包都是从Local区发出

DMZ（非军事化区）：作为Untrust和Trust的缓冲区，一般这里有应用的服务器

3.防火墙的一个分类及工作原理

软件防火墙：软件防火墙是安装在本地系统/计算机上的防火墙，依照配置规则控制计算机进出的流量，不需要物理设置。如linux的iptables，还有Windows自带的防火墙

硬件防火墙：硬件防火墙是一种物理设备，可以在不影响服务器性能的情况下，设置监控、观察、控制基础架构中的流量，与服务器独立分开来如以下几种

包过滤防火墙

原理：通过ACL实现防火墙的过滤功能，因为ACL主要是检查五元组，且ACL是单向的规则，如果以某个出的目的端口来设置会导致将回包抛弃

优点：简单、速度快

缺点：检查的颗粒度粗

可以使用ACL+NAT一起使用进行优化，因为在NAT中，必须要经过NAT映射后才会生成NAT表，必须要NAT表中有数据才能够回包，也就是说没有出过内网进行的数据包不能直接回放。

代理防火墙

代理：代理技术是一门中间人技术，只让这一台中间人设备作为跳板来进行区域间通信，所有区域内设备要和区域外进行通信时，都需要先将数据发给代理，再由代理进行转发，代理需要在7层（应用层）中实现；代理使用socket实现，socket介于7-4层之间，完成对数据从7层到4层的封装和传递，且不同的应用需要使用不同的代理技术

代理防火墙在包过滤防火墙的基础上加上了代理技术，可以做出只针对一台设备的细颗粒度ACL，降低包过滤防火墙的检查颗粒度，只能针对具体应用（因为代理技术的限制）

优点：可以防御来自应用层的威胁

缺点：技术复杂，速度较慢，通用性低，只能针对于应用进行防御，应用之间不能通用

状态防火墙

三层、四层防火墙，使用会话追踪技术（追踪TCP的状态），某个状态下收到的回包应该是确认的包，而不是任意的包，根据当前TCP状态检测收到的包是否是正确的包

状态防火墙除了可以使用软件（iptables等）实现，还可以使用硬件实现（hash算法），在包过滤（ACL）的基础上新增了一个会话表（记录状态），数据包需要查看会话表来实现匹配（匹配状态）

会话表的最快匹配：使用哈希算法对状态进行处理，处理后可以获得唯一的hash值，检查状态就是对hash值进行匹配（定长匹配），CAM芯片处理定长匹配的速度很快（没有中断机制，专用的定长匹配芯片，每个周期处理一个匹配），此时的状态匹配速度可达到交换机级别（MAC也是定长值）

CAM芯片：2元芯片，匹配或不匹配（交换机）

TCAM芯片：3元芯片，匹配、不匹配、不关注（路由器）

状态防火墙在执行时，遵循首包原则：第一个包需要经过ACL，后续数据包查看数据表

具体过程：1、数据包进入，访问会话表，如果有则放行，如果无则访问ACL

                  2、根据ACL信息确认是否放行，如果放行，则将会话信息写入会话表

 

优点：速度快，颗粒度细

缺点：对于授权用户没有限制

UTM（统一威胁管理）

• 防御体系：
• aV：防毒墙
• IPS：攻击检测
• WAF：web应用防火墙
• AC：网络行为管理
• 状态防火墙

UTM将以上所说的防御体系，在状态防火墙的基础上进行了整合统一

UTM使用深度包检查技术（杀毒墙针对数据包，需要将数据包中内容读取出来），进行应用层的防御

优点：将原本分散的设备进行统一管理，有利于节约硬件成本和学习成本；有利于各个设备之间的协作

缺点：功能繁杂，设备负荷大；串行处理，效率低速度慢

下一代防火墙（NGFW）

一直沿用至今的最新代防火墙

下一代防火墙解决了多个功能同时访问性能下降的问题，且在UTM的基础之上，还可以基于用户、应用和内容来进行管控

• NGFW是不同信任级别网络之间的线速网络设备，线速指经过防火墙时，传输速度不会变化，依旧是稳定高速
• NGFW：新环境下传统防火墙的替代，兼容传统防火墙所有功能，包括包过滤，状态检测，NAT，VPN等
• NGFW除了防火墙的功能以外，还要支持IPS，且要和防火墙功能深度融合
• NGFW利用应用感知能力，基于应用实施精细化安全管控策略和层次化的带宽管理
• NGFW可以利用其它IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略（AC）

4. 防火墙如何处理双通道协议？

应用层网关(Application layer gateways)是被设计能识别指定IP协议的防火墙，也被叫做ALG Firewall。它不是简单地察看包头信息来决定数据包是否可以通过，而是更深层的分析数据包负载内的数据，也就是应用层的数据。H.323和SP协议都在负载中放了重要的控制信息，例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。通过分析哪一个端口需要打开，防火墙动态地打开那些被应用的端口，而所有别的端口依然安全地保持关闭状态。如果一个NAT被应用来屏蔽内部IP地址，这时ALG就需要一个代理，一些防火墙生产厂商把代理结合到ALG上越过NAT。普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据中的字段却无能为力，在许多应用层协议中，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转换。ALG（Application Level Gateway，应用层网关）NAT穿透技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确性。
 

5.防火墙如何处理双通道协议？

双通道协议指控制层流量和数据层流量不在同一个端口，比如FTP的主动模式，登录使用21端口，然后沟通一个随机端口进行数据传输，在状态防火墙中，无法得知协议沟通得到的端口，所以无法放行数据层的流量。这就需要另一个协议ASPF（应用层报文过滤）登场，该协议可以读取指定协议的协商端口的报文，并将协商出的端口加入server-map表，用来放行流量，相当于创建了一条临时的安全策略。