防火墙
- 隔离内外网的策略
在遭受入侵时,做内外网隔离的策略
静态包过滤防火墙:无法拒绝欺骗类攻击、拒绝式服务攻击;逐包匹配原则,效率低下
ACL,针对IP,双向做
Nat
起初,PAT+ACL,不安全,修改IP地址和端口号就可以突破(模仿别人)
发展,使用Established acl,允许tcp的rst和ack,拒绝其他(deny ip any any)
外网回内网的包:1、RST:释放连接2、ack 拒绝式服务攻击:发送大量的RST包
TCP的flag字段
自反ACL:允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址(把出去的源目IP倒置)
第二阶段
代理服务器:内网把包发给代理服务器,代理服务器从四层开始拆包,重新封装
优点:检查应用层 缺点:速度慢,效率低
堡垒机:装了代理软件,socks协议
第三阶段
状态防火墙,动态包过滤,匹配流
理念升级,把网络上的数据以流的形式对待。流在状态防火墙会形成会话表。
- 流的第一个包进入防火墙,防火墙先去匹配规则(路由规则、nat规则、策略),如果规则允许会到第二步,如果规则不允许,丢弃
- 会为流建立会话表,后续所有流的包直接匹配会话表进行转发。
会话表:流的预期表
超时机制:1)握手阶段超时时间一般60s,防止TCP半开攻击(对方不给你回SYN+ack,你就只能等着,存在一张表里)
DOS攻击(不给你握手),防御:在主机上建立一个cookie表记录与他握手的源地址
如果第X次(次数可调整)再来握手,检测cookie如果有记录就不处理,不回ack不把握手放防止在two-way timeout表,对于DDOS无效。
防火墙技术可以设置会话表的连接次数,可以防止DOS攻击
- 握手成功一般会话表的超时时间为60min。
FTP的问题(要求防火墙主动把传输端口打开,与防火墙出去了就不让回来产生矛盾。)
请求和传输分为两个端口实现,传输由服务器主动发出,防火墙的会话表是没有这个状态的,导致FTP传输无法成功。
端口检测技术,检查21号端口的传输的数据的数据部分(应用层)查看传输的协商端口,然后在防火墙上开放此端口。
这种技术会使得防火墙性能下降。
UDP的问题,没有FLAG字段,所以检测的元素会变少,防御效果会减弱。而且udp是无连接的,只能通过源目IP、端口去判断。
UDP对防火墙来讲也会创建虚连接会话表。
ICMP的问题,没有端口,防御能力继续下降。 一般防火墙会默认禁止ICMP回报。
总结状态防火墙,检查三四层,不拆应用层的包,对TCP防御效果最好,缺点就是以上各种问题
针对应用层的攻击,会话表无法查看应用层的内容,无法防止基于应用的攻击。
深度包检测技术(提取应用层入侵数据关键字)、深度流检测技术 ——>入侵检测IDS
IPS入侵防御
网络边界设备过多,有路由器、防火墙(防三四层)、IPS、应用代理(管理流量、上网行为)、WAF(web过滤)、防毒墙、漏洞检测、负责均衡设备。
整合 UTM,多功能防火墙:
问题:多次拆包,多次检测;应用层性能低
NGAF(深信服叫法),属于下一代防火墙
防火墙安全策略
划区域(name if 名字),根据区域准则,划分等级
高安全等级到低安全等级,outbount流量
低安全等级到高安全等级,inbount流量