1. 防火墙基础概念
1.1 概念
- 防火墙 (Firewall) 一词来源于早期的欧式建筑,它是建筑物之间的一道矮墙,用来防止发生火灾时火势蔓延。在计算机网络中,防火墙通过对数据包的筛选和屏蔽,可以防止非法的访问进入内部或外部计算机网络。
- 因此,防火墙可以定义为:位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查和筛选的一台、多台计算机或路由器。
- 防火墙的功能和特性使得它在网络安全中得到广泛的应用,防火墙产品是目前市场上应用范围最广、最易于被客户接受的网络安全产品之一。从企业应用到家庭网络防护、甚至到个人计算机安全的防护,防火墙都在发挥着积极的作用。
1.2 防火墙的部署位置
- 可信网络与不可信网络之间
- 不同安全级别网络之间
- 两个需要隔离的区域之间
1.3 防火墙的基础作用
- 防火墙通常是运行在一台或多台计算机之上的一组特别的服务软件,用于对网络进行防护和通信控制。
- 但是在很多情况下防火墙以专门的硬件形式出现,这种硬件也被称为防火墙,它是安装了防火墙软件,并针对安全防护进行了专门设计的网络设备,本质上还是软件在进行控制。
- 内部网络与外部网络所有通信的数据包都必须经过防火墙,而防火墙只放行合法的数据包,因此它在内部网络和外部网络之间建立了一个屏障。只要安装一个简单的防火墙,就可以屏蔽掉大多数外部的探测与攻击。
- 控制:在不同安全域的网络连接点上建立一个安全控制点,对进出数据进行限制
- 隔离:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
- 记录:对进出数据进行检查,记录相关信息
1.4 防火墙技术原理
-
定义一个必经之点
-
挡住未经授权的访问流量
-
禁止具有脆弱性的服务带来危害
-
实施保护,以避免各种IP欺骗和路由攻击
1.5 防火墙策略
-
接受:允许通过。
-
拒绝:拒绝信息通过,通知发送信息的信息源。
-
丢弃:直接丢弃信息,不通知信息源。
1.6防火墙的规则
-
入站规则:被外网访问
-
出站规则:访问外网
-
连接安全规则:连接安全规则包括在两台计算机开始通信之前对它们进行身份验证,并确保在两台计算机之间发送的信息的安全性。
2. 防火墙的典型技术
2.1 静态包过滤防火墙
2.1.1 实现机制
- 依据数据包的基本标记来控制数据包
- 网络层地址(源地址、目的地址)
- 传输层地址(源端口、目的端口)
- 协议类型等
2.1.2 优点
- 技术逻辑简单、易于实现,处理速度快,过滤规则与应用层无关,无须修改主机上的应用程序
2.1.3 不足
- 无法实现对应用层信息过滤处理,并且对于网络服务多、结构复杂的网络,包过滤规则集合复杂,配置困难,不能防止地址欺骗,不能防止外部客户与内部主机直接连接,安全性较差,不提供用户认证功能
2.2 应用代理防火墙
2.2.1实现机制
- 网络之间的连接都要通过防火墙进行转发不允许会话双方直接通信,需要防火墙作为代理,将外网数据转发给内网主机设备。
2.2.2优势
-
提供NAT。避免内外网主机直接连接,可以隐藏内部网络结构,为内部地址管理提供灵活性,加强了控制,日志记录更详细,可以为用户提供透明的加密机制,适用面广。
-
网络地址转换(Network Address Translation,NAT)是在IP地址日益缺乏的情况下产生的一种网络技术。
-
他的主要目的是重用IP地址。
-
还可以使多台计算机共享一个Internet连接,从而很好地解决公共IP地址紧缺的问题。
2.2.3不足
-
对数据包全部进行转发,系统性能消耗极大,因此处理效率比静态包过滤防火墙低
-
并且由于需要为每个服务编写相应的代理程序,使得防火墙设备的灵活性不高,且可能会对部分应用不支持。
2.3 状态检测防火墙(动态包过滤防火墙)
2.3.1实现机制
- 创建状态表用于维护连接。
2.3.2优势
- 安全性高,可根据通信和应用程序状态确定是否允许包的通行
- 能够记录每个包的详细信息,安全性比较高
- 适应性好,对用户、应用程序透明
2.3.3不足
- 检测内容比包过滤技术多,对性能要求高
- 状态检测防火墙的配置复杂,对于用户水平要求较高
3. 防火墙企业部署
- 企业级应用的防火墙是一种专用的网络安全产,通常是一种软硬-体的专用设备。企业级防火墙通常有多个网络接口,能连接多个不同的网络,然后根据策略对网络件的通信数据进行过滤和记录,在实际生成环境中,应根据企业的安全要求和实际环境考虑部署方式。
- DMZ是英文demilitarized zone的缩写,即非军事区或隔离区,是一种网络区域,就是在不信任的外部网络和可信任的内部网络之间建立一个面向外部网络的物理或逻辑子网,该子网一般用来安放用于对外部网络的服务器主机(例如:web server、email server)。
4. 防火墙的部署方式
4.1 单防火墙(无DMZ) 部署方式
-
单防火墙系统(无DMZ)是最基本的防火墙部署方式,适用于无对外发布服务的企业,仅提供内部网络的基本防护。适用于家庭网络、小型办公网络和远程办
公网络的环境中 -
防止外部主机发起到内部受保护资源的连接,防止外部网络对内部网络的威胁。
-
过滤和限制从内部主机通往外部资源的流量
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0dFMnhmS-1646267897553)(image/image_4.png “”)]
4.2 单防火墙(DMZ) 部署方式
-
单防火墙(DMZ) 部署方式,通过提供一个或多个非军事化区(DMZ)。出于安全的考虑,可以将对外发布的服务器部署在DMZ区,即使DMZ区的服务器被攻击者控制,受防火墙策略的限制,攻击者也无法通过DMZ区中的服务器对内部网络中的计算机发起攻击。
-
可设置的DMZ数量依赖于使用的防火墙产品所能支持和扩展的DMZ端口的数量
-
所有流量都必须通过单防火墙,防火墙都需要根据设置的规则对流量进行控制,所以对防火墙性能要求较高
4.3 双防火墙部署方式
-
双防火墙部署方式,将两台或多台防火墙部署在网络不同安全级别的网络之间,为不同安全区域之间的流量提供了更细粒度的控制能力。例如双防火墙部署,使用两台防火墙作为外部防火墙和内部防火墙,在两台防火墙之间形成了一个非军事区网段,每个防火墙都是独立的控制点,分别独立控制不同安全区域之间的流量。
-
相比单防火墙部署,双(多)防火墙部署方式更加复杂,费用较高,但能提供更为安全的系统结构
-
当防火墙产品选自于不同厂商的防火墙产品时,能够提供基于异构的安全
5. 防火墙的局限性
- 防火墙虽然是最常用的网络安全设备,但网络安全面临的难题很多,防火墙只能解决其中一小部分问题,同时,防火墙依然存在很多局限和不足
- 防火墙难于管理和配置,易造成安全漏洞
- 防火墙防外不防内,不能防范恶意的知情者
- 防火墙只实现了粗粒度的访问控制
- 很难为用户在防火墙内外提供一致的安全策略
- 防火墙不能防范病毒和某些网络攻击
6. 防火墙基础功能
- 包过滤
- 审计和报警机制
- 远程管理
- 网络地址转换
- 代理
- MAC地址与IP地址绑定
- 流量控制(带宽管理)
- 统计分析
- 流量计费