防火墙基础知识

早期防火墙特点（1989年）

第一代防火墙包过滤（缺乏灵活性,每包需要都进行检查，策略过多会导致性能急剧下降（基于ACL）

路由器的安全规则定义在接口上，而防火墙的安全规则定义在区域之间

路由器的特点：
1、保证互联互通
2、按照最长匹配算法逐包转发
3、路由协议是核心特性

防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备，防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性

数据流分两个方向：
入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向
出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向

第二代、代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持（处理速度慢，对数据包深度检测）

深度优先规则:把指定数据包范围最小的语句排在最前面，以通配符来实现，端口也是以小为主

应用程序代理防火墙接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分

 优点： 
1、指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。
2、通过限制某些协议的传出请求，来减少网络中不必要的服务。
3、大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 
缺点：
1、必须在一定范围内定制用户的系统，这取决于所用的应用程序 
2、 一些应用程序可能根本不支持代理连接

第三代、状态检测防火墙:状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃（增加了VPN，WAF，转发效率比较高，安全强度稍差与代理防火墙）

4、透明防火墙:一般在公司的内网已经确定好,在分割的时候,不想改变网段，增加包过滤方式，把防火墙的路由模式改成透明模式，这样防火墙纯粹属于一个二层的防火墙  这样就实现了一个过滤的功能

5、混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式
注：提出混合模式的概念，主要是为了解决防火墙在透明模式下无法使用双机热备份功能，双机热备份所依赖的vrrp需要在接口上配置IP地址，而透明模式无法实现这一点
目前很多新型防火墙已经支持透明模式下的双机热备

WAF工作原理:采用与IPS相同的方式进行特征的匹配，由于攻击者利用web服务器可以识别编码的特点经常在输入端将攻击包通过编码格式进行伪造，所以WAF在进行特征匹配前先会将数据中的编码信息转换为通用语言方便正则引擎匹配特征

传统网络边界架构只是在事中堆叠防御的(处于被动式防御)
防火墙——>IPS——>防毒墙——>WAF（设备数量居多、价格昂贵，维护起来麻烦，无法联动，安全设备功能单一，各司其职）
UTM/NGFW——>WAF（UTM性能可以抗的主么，HA（单次解析，多模匹配算法，软硬件双冗余架构））

2009年，Gartner对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性：

融合安全,并不是指的是UTM那种融合，把多个防御技术做个简单的整合，解决了多个功能同时运行时性能下降的问题

将客户的业务安全全流程进行保护，从客户的业务生命周期出发，分析各个环节存在的风险，并将每个环节存在的风险对应的技术手段进行融合

入侵防护功能:IPS包含21类漏洞类型，7000+规则特征，保证每周都有更新漏洞特征,

0day重要漏洞威胁深信服专家会在24小时响应更新提供应对的办法
WAF防护包含11类Web攻击类型，3000+规则特征（webshell挂马、SQL攻击）

网页防篡改：
1、网站管理后台登录二次认证（在防火墙上配置网站后台管理页面，来实现管理员登录网站时管理页面弹出一个提示页面需要通过邮箱认证码二次认证）
2、客户端安全插件控制网站文件的写权限（在网站服务器上安装插件通过控制底层驱动文件，对网站目录锁死，不容许写操作，通过设置白名单写操作）
邮件钓鱼防范：邮件安全内容检测，识别撞库攻击，邮件杀毒，附件类型过滤
多种手段进行攻击，进行持续性攻击
模块联动：模块联动机制封死攻击源IP地址，提高攻击成本
3、威胁情报预警，指定
融合安全
1、本地安全 + 云端
2、特征 + 行为
3、模块融合:失陷主机、实时漏洞/威胁预警+ 防御、AF+防篡改。黑链发现等

地域控制—攻击者地图

事前事中防御是被动式防护，将原先的防护60分提高至90分，毕竟都是被动式防御
失陷主机防御检测（云端）
快速响应（APP微信）

沙箱原理：通过创造一个虚拟环境，将未知流量导入运行，通过监测服务器的进程操作、文件变化、外联行为、注册表变化、CPU/内存异常等常见的攻击运行方式判定是否为攻击流量，同时在虚拟环境下预装多种合作的杀毒软件进行辅助判定

IPS判断标准:
1、特征库的数量针对攻击防御能力，识别准确率
2、特征库更新频率
3、引擎对数据的检查速度，决定IPS处理能力

WAF评判标准（NSS LABS/OWASP第三方认证机构进行测试）
1、规则库的数量，决定了防御能力
2、对各种编码格式的识别能力决定防御能力
3、引擎对数据的检查速度

AF基础版与IPS对比优势
1、失陷主机发现:行为检测机制，可以发现入侵之后的异常（IPS只能通过特征检测，不可以通过行为检测）
2、云端支持:通过沙盒技术联动，发现未知的威胁
3、引擎优势:

WAF与AF高级版对比优势
1、网页动态防篡改
2、全程保护
3、规则库的数量，决定了防御能力
4、对各种编码格式的识别能力决定防御能力
5、引擎对数据的检查速度

需求发展到位了！（事前：无认知；事中：无效；事后：无发现手段和处理能力
技术发展到位了！（行为检测、机械学习、大数据关联分析！）

本文转自 周小玉 51CTO博客，原文链接：http://blog.51cto.com/maguangjie/1744613，如需转载请自行联系原作者