一篇文章入门防火墙

在计算机网络的网关中设置类似防火墙设备的功能，从而对网络中通信流量进行策略控制，这种类型的防火墙即为网关型防火墙。网关型防火墙分为两类，一类是在Windows、Linux等通用操作系统上安装并运行FireWall-1软件的软件型网关防火墙，一类是使用专用设备的硬件型网关防火墙。个人防火墙主要监控所有到达个人计算机的通信流量，而网关型防火墙则需要监控来自多数不特定终端设备的通信流量，并在它们通过网关时实施策略控制。

硬件型防火墙

硬件型防火墙是指通过硬件设备实现的防火墙，外形同路由器形状类似，但网络接口类型一般只支持以太网

3. 防火墙的技术类型

1.包过滤技术

实现机制：依据数据包的基本标记来控制数据包

网络层地址：IP地址（源地址及目的地址）

传输层地址：端口（源端口及目的端口）

协议：协议类型

优点:

逻辑简单，功能容易实现，设备价格便宜
处理速度快
可以识别和丢弃带欺骗性源IP地址的包
过滤规则与应用层无关，无须修改主机上的应用程序，易于安装和使用

缺点：

过滤规则集合复杂，配置困难
无法满足对应用层信息进行过滤的安全要求
不能防止地址欺骗，及外部客户与内部主机直接连接
安全性较差，不提供用户认证功能

2.状态检测技术

在数据链路层和网络层之间对数据包进行检测。

创建状态表用于维护连接上下文。

优点

可应用会话信息决定过滤规则
具有记录有关通过的每个包的详细信息的能力
安全性较高

缺点

检查内容比包过滤检测技术多，所以对防火墙的性能提出了更高的要求
状态检测防火墙的配置非常复杂，对于用户的能力要求较高，使用起来不太方便

状态检查详解

状态监测机制

状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

会话机制

防护墙会将属于同一连接诶的所有报文作为一个整体的数据流（会话）来对待。

会话表：是用来记录TCP、 UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据

会话表项中的五元组信息：

会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。

通过会话中的五元组信息可以唯一确定通信双方的一条连接；
防火墙将要删除会话的时间称为会话的老化时间；
一条会话表示通信双方的一个连接，多条会话的集合叫做会话表。

防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中，一条会话的两个连续报文可能间隔时间很长。

例如：

用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文；

用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间

在以上的场景中，如果会话表项被删除，则对应的业务就会中断。长连接（Long Link）机制可以给部分连接设定超长的老化时间，有效解决这个问题

3. UTM---深度包检查技术----应用层统一威胁管理

把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。

把原来分散的设备进行统一管理，有利于节约资金和学习成本
统一有利于各设备之间协作。
设备负荷较大并且检查也是逐个功能模块来进行的，貌合神离，速度慢

4.代理网关技术----中间人技术---应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

代理技术只能针对特定的应用来实现，应用间不能通用。
技术复杂，速度慢
能防御应用层威胁，内容威胁

每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制。

分类

* 电路级代理

* 应用代理

电路级代理（NAT技术）

优点

* 能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等。

* 适用面广。

缺点

仅简单的在两个连接间转发数据，不能识别数据包的内容。

应用代理

工作在应用层；
使用代理技术，对应用层数据包进行检查；
对应用或内容进行过滤，例如：禁止FTP的 “put”命令；

优点

可以检查应用层内容，根据内容进行审核和过滤
提供良好的安全性

缺点

支持的应用数量有限
性能表现欠佳

5.自适应代理技术

自适应代理防火墙主要由自适应代理服务器与动态包过滤组成，它可以根据用户的配置信息，决定从应用层代理请求，还是从网络层转发包。

特点

一、根据用户定义安全规则动态“适应”传输中的分组流量。

1，高安全要求：在应用层进行检查。

2，明确会话安全细则：链路层数据包转发。

二、兼有高安全性和高效率。

arp抓包欺骗

代理服务器

代理服务器是应用网关型防火墙的一种。在Linux所使用的代理服务器中，有一款叫做Squid的免费软件。代理服务器的硬件设备有Blue Coat Systems公司开发的SG系列。

另外，还有一些应用了代理服务器功能的设备产品兼顾了网关型防毒功能和URL过滤功能等。什么是代理例如，HTTP代理对应的网关在从用户(客户端)处收到HTTP通信请求后，自身将代替客户端向HTTP服务器发送HTTP通信请求。从客户端的角度来看，网关即其通信终端。由此，在客户端与网关，网关与 HTTP服务器之间分别生成两个会话如果像这样网关成为客户端的代理，由代理和真正的服务器之间进行通信的话，就会实现以下情况。

●从客户端收到的请求或从服务器端得到的响应会在应用层进行检查，如果发生异常则放弃通信或者发送出错信息。 ●由于网关是会话的起点，因此可以对互联网上的外部服务器隐藏客户端的IP地址。

分组过滤型的防火墙以所有使用IP或TCP/UDP的通信为对象，判断是否允许通信。而应用网关型的防火墙仅以通过网关的应用程序为对象，具体而言就是将FTP、HTTP、Telnet、DNS等作为处理对象的应用程序来进行判断。

与在传输层进行数据检查的分组过滤型不同，应用网关型防火墙在应用层进行数据检查，因此处理速度相对较慢

4. 防火墙的安全区域

防火墙不仅只是一个“入口的屏障”，而应该是多个网络的接入控制点。所有进出内网的数据流都应该首先经过防火墙，形成一个信息进出的关口。防火墙作为企业网络的重要组成部分，连接着企业网络管理层网络、市场部网络与服务器网络。防火墙一般部署在企业网络出口，与Internet连接。

安全区域（Security Zone）：

它是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。

在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙 规定的“策略”进行访问。默认安全区域华为防火墙产品默认提供了Trust、DMZ和Untrust三个可配置的安全区域。

Trust区域网络的受信任程度高；通常用来定义内部用户所在的网络。

DMZ区域网络的受信任程度中等；通常用来定义内部服务器所在的网络。

Untrust区域网络的受信任程度低；通常用来定义Internet等不安全的网络。

Local安全区域

防火墙上提供的Local区域，代表防火墙本身。凡是由防火墙 主动发出的报文均可认为是从Local区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收。 Local区域中不能添加任何接口，但防火墙上所有业务接口本身都属于Local区域。由于Local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与Local区域之间的安全策略。例如 Telnet登录、网页登录、接入SNMP网管等。

区域优先级说明 Local 100 设备本身，包括设备的各接口本身。 Trust 85 通常用于定义内网终端用户所在区域。 DMZ 50 通常用于定义内网服务器所在区域。 Untrust 5 通常用于定义Internet等不安全的网络。安全区域、受信任程度与优先级不同的网络受信任程度不同，在防火墙上用安全区域表示网络后，如何来判断一个安全区域的受信任程度呢？在华为防火墙上，每个安全区域都有一个唯一的优先级，用1至100的数字表示，数字越大，则代表该区域内的网络越可信。默认安全区域受信任程度：Local > Trust > DMZ > Untrust；用户可以根据实际组网需要，自行创建安全区域并定义其优先级。

5. 安全策略

防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受“不信任”网络的攻击，但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行匹配。

安全域间是用来描述流量的传输通道，它是两个“区域”之间的唯一“道路”。

希望对经过这条通道的流量进行检测，就必须在通道上设立“关卡”，如防火墙安全策略。

任意两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图；
安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）。

对于防火墙流量有俩种

穿过防火墙的
到达防火墙或从防火墙出发的

安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。

6.防火墙的接口模式

防火墙功能设备网络接口模式的种

7.防火墙抵御的攻击

DDoS攻击

DDoS攻击是指攻击者通过控制大量僵尸主机，向攻击目标发送大量攻击报文，导致被攻击目标所在网络的链路拥塞，系统资源耗尽，从而无法向正常用户提供服务。

有些恶意竞争对手会使用DDoS攻击，对正常合法企业造成较大经济损失。如在购物节期间对网上购物平台发动的DDoS攻击。

单包攻击

单包攻击不像DDoS攻击通过使网络拥塞，或消耗系统资源的方式进行攻击，而是通过发送有缺陷的报文,使主机或服务器在处理这类报文时系统崩溃,或发送特殊控制报文、扫描类报文探测网络结构，为真正的攻击做准备。

用户行为不受控

70%的信息安全事件是由于内部员工误操作或安全意识不够引起的。

在加强员工安全意识的同时，企业也需要在技术层面管控员工访问外网的行为，不仅可以通过 iMaster-NCE管控用户的访问权限，还可以通过防火墙的内容过滤功能管控用户的上网行为。

企业也需要在技术层面管控员工访问外网的行为，比如不允许访问黄赌毒网站，防止对企业带来不良影响；上班时间不能访问语音娱乐网站，提高工作效率；又比如通过技术手段防范员工无意泄露个人或公司重要信息的行为。

内容安全过滤： URL（Uniform Resource Locator）

过滤可以对员工访问的URL进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的； DNS过滤在域名解析阶段进行控制，防止员工随意访问非法或恶意的网站，带来病毒、木马和蠕虫等威胁攻击；文件过滤通过阻断特定类型的文件传输，可以降低内部网络执行恶意代码和感染病毒的风险，还可以防止员工将公司机密文件泄漏到互联网；

内容过滤包括文件内容过滤和应用内容过滤。文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。管理员可以控制对哪些应用传输的文件以及哪种类型的文件进行文件内容过滤。应用内容过滤是对应用协议中包含的关键字进行过滤。针对不同应用，设备过滤的内容不同；

邮件过滤：通过检查发件人和收件人的邮箱地址、附件大小和附件个数来实现过滤；

应用行为控制功能用来对用户的HTTP行为和FTP行为（如上传、下载）进行精确的控制。

威胁安全的人

8.防火墙的功能

会话管理

会话与数据流会话(session)是指两个系统之间通信的逻辑连接从开始到结束的过程。

在TCP中某个服务器与客户端成对进行通信时，会完成3次握手来确认建立1个TCP连接，在从连接建立开始至连接结束的时间里，客户端发送请求(request)和服务器进行应答(response)这一交互过程即可称为进行了1个会话。在UDP中，客户端与服务器之间只要发送源的端口和目的地端口的配对一致，随后的一系列通信均可以称为会话。在ICMP中，例如Echo和对应的Echo reply的组合就可以称为会话。

一个会话存在“客户端→服务器”(c2s或clientto server)和“服务器→客户端”(s2c或server to client)两个 数据流(flow)。

数据流是指发往通信对方的多个分组序列。

TCP会话管理

一个TCP的连接需要通过3次握手来确认建立。

最初由客户端发送SYN消息，即发送首部中SYN比特信息设置为“1”的TCP数据段。

SYN读作/sin/,表示同步的意思，取自Synchronization这个单词的前三个字母。SYN相当于一个开始信号，与打电话时先拨号码的行为类似。

当服务器收到来自客户端的SYN消息后，将返回表示确认的ACK消息，同时也会发送一个SYN消息至客户端。

ACK表示确认的意思，取自Acknowledgement这个单词的前三个字母。TCP连接使用端口号表示不同的网络服务(应用程序)。例如，HTTP使用80号端口，TELNET使用23号端口。提供HTTP服务的服务器必须接收和处理客户端发送至80号端口的TCP数据段。能够处理分组的状态一般表示为listen状态(listen 意为“侦听”,也称为listening)。

SYN检查

TCP会话开始时客户端必会发送一个SYN消息。如果是没有附带会话信息(或尚未建立会话),即非 SYN消息的TCP数据段到达防火墙，防火墙就会将其视作非法而整个丢弃。但也可以根据不同的情形(双活冗余或会话超时等)关闭(OFF)防火墙的这个功能，使不带有会话信息的、非SYN消息的TCP 数据段也能够通过防火墙。

ACK检查

在根据SYN Cookie(参考表5-27)信息防范SYN Flood攻击时，通过对SYN-ACK的ACK消息进行检查，能够确认进行中的3次握手是否为非法尝试。

同一数据段检查

终端再次发送TCP数据段时，对于和之前收到的TCP数据段含有相同序列号或数据的TCP数据段，可以指定防火墙的处理方式，即指定是使用新接收到的重复数据段还是丢弃该重复数据段。

窗口检查

检查TCP首部内的序列号和滑动窗口大小(Window Size),拦截超过滑动窗口容量数据的序列号。

数据段重组

即使各数据段的顺序出现变化，TCP数据段也能根据序列号调整为正确顺序。在防火墙进行这一工作，可以验证TCP数据段序列号是否完整。

UDP数据流的管理

在UDP中没有像TCP这样的3次握手过程，客户端和服务器之间直接使用带有应用程序分组的UDP分组进行交互。 UDP数据流是指发送源IP地址、发送源端口号、目的地IP地址和目的地端口号这4个参数都相同的一系列 UDP分组

DNS和SNMP这种管理类应用程序一般只需1个UDP分组便能完成1个数据流程。进行音频和视频数据交互的RTP(Real Time Protocol),则需要通过多个由流数据(streamingdata)构成的 UDP分组来完成1个数据流。

管理ICMP和IP数据流

在进行ICMP和TCP/UDP以外的IP通信时，由于不存在端口号这个概念，因此需要直接根据IP首部的协议号来生成会话信息。

如ICMP中的Echo消息对应Echo Reply消息那样，防火墙需要自动识别不同的请求消息和与之对应响应消息，并综合判断这些消息序列是否属于同一个会话

赛sir

关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
一篇文章入门防火墙

出现了路由器访问控制列表无法抵御的攻击和非法访问等一系列威胁，因此出现了针对这些威胁的防范策略需求.所有需要一个确保信息安全的设备进行限制——防火墙是一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。遵循。
复制链接

扫一扫