前言
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
技术意义的防火墙,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外。
所以,防火墙是可信和不可信网络之间的一道屏障,通常用在LAN和WAN之间。
它通常放置在转发路径中,目的是让所有数据包都必须由防火墙检查,然后根据策略来决定是丢弃或允许这些数据包通过。
点击免费领取:
CSDN大礼包:《黑课&网络安全入门&进阶学习资源包》https://mp.weixin.qq.com/s/70xGFST24GKf0vOhM4U2Kg
如上图,LAN有一台主机和一台交换机SW1。在右侧,有一台路由器R1连接到运营商的路由器ISP1。防火墙位于两者之间,这样就可以保证LAN的安全。
今天,就想简单和你说说防火墙的基础技术点,延展开来,细细讲讲。
防火墙的类型
你知道多少?
防火墙从诞生开始,已经历了四个发展阶段:
基于路由器的防火墙 → 用户化的防火墙工具套 → 建立在通用操作系统上的防火墙 → 具有安全操作系统的防火墙
现阶段常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
而一般来说,防火墙一般分为四类:
01 网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
02 应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,你使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
03 数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。
基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。
04 Linux 防火墙
Linux 防火墙在企业应用中非常有用,举例如下:
中小企业与网吧里有iptables 作为企业的NAT路由器,可以用来代替传统路由器,而节约成本。
IDC机房一般没有硬件防火墙,IDC机房的服务器可以用Linux 防火墙代替硬件防火墙。
将iptables 作为企业NAT 路由器时,可以使用iptables 的扩展模块屏蔽P2P 流量,还可以禁止非法网页。
iptables 可以用于外网IP 向内网IP 映射。
iptables 可以轻松防止轻量级DOS 攻击,比如ping 攻击及SYN 洪水攻击。
综述,Iptables 有两种应用模式:主机防火墙,NAT路由器。
关于防火墙
这3个技术点得抓住
要知道,在这一过程中,路由器是可选的,主要是取决于所连的WAN。
例如,如果你的 ISP 提供电缆,那么你可能有一个带有以太网连接的电缆调制解调器,也可以直接连接到你的防火墙。
当它是无线连接时,你可能需要那里的路由器进行连接。
如果你需要配置(高级)路由,如 BGP,你就需要路由器。
大多数防火墙支持一些基本路由选项:静态路由、默认路由,有时还支持 RIP、OSPF 或 EIGRP 等路由协议。
01 状态过滤
防火墙,如路由器,可以使用访问控制列表来检查源、目地址/端口号。
然而,大多数路由器不会在过滤上花太多时间……当它们收到数据包时,就检查数据包的源目信息是否与访问控制列表中的条目匹配,如果匹配,它们会允许或丢弃该数据包。
无论他们收到一个数据包还是数千个数据包,每个数据包都会单独处理,不进行跟踪之前是否检查过的数据包,这称为无状态过滤。
与之相反的就是,有状态过滤。防火墙会跟踪所有入向和出向的连接。例如:
局域网里有台电脑,作为邮箱客户端,通过互联网去访问邮箱服务器,邮箱客户端起初会进行TCP三次握手,经过防火墙,就知道它们的源目信息,防火墙会跟踪这些信息,当邮箱服务器要进行响应客户端的请求时,防火墙就会自动允许这部分的流量通过防火墙,最终到达客户端。
又比如,一个 Web 服务器位于防火墙后面,它是一个繁忙的服务器,平均每秒从不同的 IP 地址接受 20 个新的 TCP 连接。
防火墙会跟踪所有连接,一旦发现每秒请求超过 10 个新 TCP 连接的源 IP 地址,它将丢弃来自该源 IP 地址的所有流量,防止 DoS(拒绝服务)。
02 数据包检测
大多数防火墙支持进行数据包(深度)检查。简单的访问控制列表仅能检查源、目标地址/端口,即 OSI 模型的第 3 层和第 4 层。
数据包深度检查意味着防火墙可以检查 OSI 模型的第 7 层。这就意味着防火墙查看应用程序数据甚至负载:
上面你看到网络(IP)和传输层(TCP)被标记为红色,应用层被标记为绿色。这个示例是来自捕获web浏览器请求页面的数据包。
03 安全区
默认情况下,路由器将允许并转发它们收到的所有数据包,前提是需要匹配它们的路由表中的路由。
如果你想进行限制,你必须配置一些ACL。如果设备有很多接口或很多条ACL需要配置,这会成为网工的噩梦。这是一个例子:
上面的路由器有两个入站方向ACL来阻止来自主机的一些流量。
此外,还有两个ACL,来防止来自 Internet 的流量进入我们的网络。
我们还可以复用一些ACL,但记得将ACL应用到四个接口。
接下来有个更好的解决方案,防火墙可以结合安全区域来工作。这是一个例子:
上面我们有两个安全区域:
inside:LAN区域
outside:WAN区域
接口已分配到正确的安全区域,这些区域有两个简单的规则:
允许从“高”安全级域到“低”安全级别的流量。
拒绝从“低”安全级别到“高”安全级别的流量。
LAN是我们信任的网络,所以具有很高的安全级别。WAN 不受信任,因此它的安全级别较低。
这意味着来自从LAN去往WAN的流量将被允许。从 WAN 到 LAN 的流量将被拒绝。由于防火墙是有状态的,它会跟踪传出连接并允许其返回的流量。
如果想例外,你也可以允许从 WAN 到 LAN 的流量,这就需要通过访问控制列表来完成了。
大多数公司将拥有一台或多台服务器,这些服务器大部分是需要从 Internet来访问。
如邮件服务器。为了安全,我们没有将它们放在内部(LAN),而是放在称为DMZ(非军事区)的第三个区域。看看下面的图片:
DMZ 安全区域的安全级别介于 INSIDE 和 OUTSIDE 之间。这意味着:
允许从 INSIDE 到 OUTSIDE 的流量。
允许从 INSIDE 到 DMZ 的流量。
允许从 DMZ 到 OUTSIDE 的流量。
从 DMZ 到 INSIDE 的流量被拒绝。
从外部到 DMZ 的流量被拒绝。
从外部到内部的流量被拒绝。
为确保来自 OUTSIDE 的流量能够到达 DMZ 中的服务器,我们将使用一个访问列表,该列表只允许流量流向 DMZ 中服务器使用的 IP 地址(和端口号)。
此设置非常安全,如果你在 DMZ 中的其中一台服务器遭到黑客攻击,你的 INSIDE 网络仍然是安全的。
点击免费领取:CSDN大礼包:《黑课&网络安全入门&进阶学习资源包》
最后,总结一下:
防火墙使用状态过滤来跟踪所有入站和出站连接,他们还能够(主要看防火墙型号)检查 OSI 模型的第 7 层、应用程序的有效负载。
防火墙还使用安全区域,允许来自高安全级别的流量进入较低安全级别。
从低安全级别到高安全级别的流量将被拒绝,可以使用访问控制列表进行特例处理。
拿下思科/华为认证之后,身为普通的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
IE大佬年薪可达30w+
如何入门学习网络安全【黑客】
【----帮助网安学习,以下所有学习资料文末免费领!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
CTF比赛视频+题库+答案汇总
实战训练营
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
这份完整版的网安学习资料已经上传,朋友们如果需要可以点击链接免费领取【保证100%免费】
点击免费领取:CSDN大礼包:《黑课&网络安全入门&进阶学习资源包》