防火墙概述
为了因对网络威胁,联网的机构或公司将自己的网络和公共网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为的划分若干区域,这些安全区域有:
- 公共外部网路,如internet
- 内联网(Intranet):如学校内网,访问限制在组织内部
- 外联网(Extranet):内联网的扩展延伸,常用作组织与合作伙伴之间进行通信
- 军事缓冲区域(DMZ):是介于内外网之间的网络断,用于放置公共服务措施
在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网络攻击。这种安全设备就被称之为防火墙。
防火墙是由一些软、硬件组合而成的网络访问控制器
- 它根据网络包提供的信息实现网络通信访问控制,安全策略主要分为白名单和黑名单
- 简单的防火墙可以用路由器、交换机实现,复杂的会用到一台甚至一组计算机。按照TCP/IP协议层次,访问控制可以作用于网路接口层、网络层、传输层、应用层,主要功能有以下几个方面
- 过滤非安全网络访问:将防火墙设置为只有被预先允许的服务和用户才能通过,禁止未授权用户访问
- 限制网络访问:防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的mail,http,FTP等可以让外部网络访问,其他类型的访问则予以禁止
- 网络访问审计:记录通过的访问并且提供网络使用情况的统计数据
- 网络带宽控制:控制带宽分配使用,实现部分网络质量服务(Qos)保障
- 协同访问:防火墙和入侵检测系统交换信息实现联动(梦幻联动?)
防火墙的安全风险
- 网络安全旁路:防火墙只能对通过它的网络通信包进行访问控制,而未经过的网络通信就无能为力
- 防火墙功能缺陷:导致一些网络威胁无法阻断
- 防火墙不能完全防止感染病毒的软件或文件传输(总会漏)
- 防火墙不能防止基于数据驱动的攻击。当表面无害的数据被复制过来发动攻击时,就会发生数据驱动攻击效果(一句话木马啥的)
- 防火墙不能完全防止后门攻击:粒度粗,基于网络屏蔽通道的后门能绕过控制,如http tunnel等
- 防火墙安全机制形成单点故障和特权威胁:一旦防火墙自身安全管理失控,会对网络造成单点故障和特权失控
- 无法有效防范内部威胁
- 受限于安全规则:更新不及时就会被攻破
防火墙的发展
- 主要以下几个方面
- 控制粒度细化:由ip包地址信息到ip包内容
- 检查安全功能持续增强:检测IP包越来越细,DPI应用
- 产品分类细化:主要是工业专用,web专用,数据库防火墙等
- 智能化增加:大数据,人工智能balabla
防火墙类型与关键技术
防火墙主要分为:包过滤防火墙、代理防火墙、下一代防火墙、web应用防火墙、数据库防火墙、工业防火墙。实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换(NAT)、协议分析、深度包检查等。
包过滤
- 是在IP层实现的技术。根据包的源IP地址、目的IP地址、源端口、目的端口和包的传递方向等包头信息判断是否允许通过。
- 目前包过滤是防火墙基本功能之一。控制依据是规则集,典型的过滤会则表示格式由“规律号、匹条件、匹配操作”三部分组成。
状态检查技术
- 利用TCP会话和UDP“伪”会话的状态信息进行的网络访问机制
- 防火墙会建立并维护绘画表,当由符合已定义安全策略的TCP连接或者UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙
应用服务代理
- 防火墙扮演受保护网络内部主机和外部网主机的网络通信连接“中间人”的角色
- 采用代理服务技术的防火墙简称为代理服务器,它能够提供在应用级的网络安全访问控制
- 代理服务技术的优点有
- 不允许外部主机直接访问内部主机
- 支持多种用户认证方案
- 可以分析数据包内部的应用命令
- 可以提供详细的审计记录
- 缺点是
- 速度比包过滤慢
- 对用户不透明
- 与特定应用协议相关联,代理服务器并不能支持所有网络协议
网络地址转换技术
- NAT,即Network Address Translation,该技术用于解决公开地址不足的问题,可以缓解少量因特网IP地址和大量主机之间的矛盾。
- 基于NAT技术的防火墙上配置有合法的公共IP地址集,内部用户访问外网是,防火墙会动态的从地址中集中选一个未分配的地址给用户
- 由静态NAT,NAT池,端口NAT(PAT)三种类型。
- 静态NAT中,内部网络每个主机都被永久映射到外部的合法地址
- NAT池则是动态分配
- PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上
WEB防火墙技术
- 技术原理是根据预先定义的过滤规则和安全防护规则,对所有访问web服务器的HTTP请求和服务器响应进行HTTP协议和内容过滤。
- 用于保护web服务器和web应用
数据库安全防火墙技术
- 用于保护数据库服务器,技术原理基于数据通信协议深度分析和虚拟补丁
- 数据通信协议深度分析是通过获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、sql语句“等信息,根据这些信息和安全规则进行监控
- 虚拟补丁技术则是通过在数据库外部创建一个安全屏障层,监控所有数据库活动,进而阻止可疑会话、操作程序或隔离用户
工控防火墙技术
- 工业控制系统专用防火墙简称工控防火墙,是一种用于保护工业设备和系统的网络安全机制。
下一代防火墙技术
- 集成了传统防火墙的包过滤,状态检测,NAT等功能外,还具有各种杂七巴拉的新功能
- 应用识别和管控:不依赖端口,对数据包深度内容的分析来识别对应用层协议和应用程序的精准识别
- 入侵防护(IPS):根据漏洞特征进行攻击检测和防护,如SQL注入攻击
- 数据防泄漏:对传输文件和内容进行识别过滤,可准确识别常见文件的真实类型
- 恶意代码防护:基于信誉的恶意检测技术,构建web信誉库,将含有恶意代码的网站资源列入web信誉库
- URL分类和过滤:构建url分类库
- 带宽管理和QoS优化:通过智能化识别业务应用,有效管理带宽,确保关键业务和关键用户的带宽
- 加密通信分析:通过中间人代理和重定向等技术,对加密的网络流量进行检测分析
防火墙的共性关键技术
- 深度包检测(DPI,deep packet inspection)
- 传统检查只针对包的头部信息,而DPI对包的数据内容进行检查,深入应用层分析。
- 运用模式匹配,协议异常检测等方法对包内容进行分析
- 但隐私保护问题使得DPI检测能力受到限制,加密数据的搜索匹配已经成为DPI的技术难点
- 操作系统
- 防火墙运行依赖于OS,现有的主要有windows,linux,设备定制系统等
- 网络协议分析
- 防火墙通过获取网络中的包,利用协议分析技术对包信息进行提取,进而实施安全策略检查和后续包的处理
主要产品与技术指标
这里直接讲技术指标
安全指标
- 网络接口:指防火墙能保护的网络类型,如以太网、千兆以太网、ATM等
- 协议支持:除了支持IP协议外,还支持各种杂七巴拉的协议
- 路由支持:静态路由,动态路由,策略路由
- 设备虚拟化:虚拟系统、虚拟化部署
- 加密支持:防火墙能支持的加密算法
- 认证支持:防火墙能支持的认证类型,如数字证书等
- 访问控制:包过滤,NAT,状态检测,动态开放端口,MAC/IP绑定
- 流量管理:带宽管理、连接数控制、会话管理
- 应用层控制:用户管控,负载均衡等
- 攻击防护:拒绝服务攻击防护、web攻击防护,数据库攻击防护等等
- 管理功能:能支持的管理方式:如基于SNMP管理,管理的通信协议等
- 审计和报表:防火墙能够支持的审计方式和分析处理的表达形式,如远程审计,本地审计等
性能指标
- 最大吞吐量:在只有一一条默认允许规则和不丢包情况下达到的最大吞吐速率
- 最大连接速率:TCP连接速率、HTTP请求速率,SQL请求速率
- 最大规则数:在添加大数量访问规则的情况下,防火墙性能的变化状况
- 并发连接数:单位时间内所能建立的最大TCP连接数
防御体系结构类型
基于双宿主主机防火墙结构
- 双宿主主机结构是最基本的防火墙结构,实质上至少具有两个网卡的主机系统。
- 一般是把内外部网络分别接在不同网卡上,使之不能直接通信。
- 所以中间通信要经过一个安全模块,如图所示
基于代理型的主机结构
- 由一台主机同外部连接,该主机代理内部网和外部网的通。同时代理型结构还通过路由器过滤,两者共同构建一个网络安全边界防御架构
- 可以按照如下规则进行配置
- 允许其他内部主机为某些类型的服务请求与外部网络直连
- 任何外部网的主机都只能与内部代理主机连接
- 任何外部系统对内部网的操作都必须经过代理主机
- 主要缺点是攻破代理主机后,内网和代理主机间就没有障碍了,随便监听
基于屏蔽子网的防火墙结构
- 屏蔽子网结构就是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。攻击者技术攻破主机,也不能侦听到内部网络的信息,不能直接操作,特点如下
- 应用代理位于被屏蔽子网中,内部网络向外部公开的服务器也被屏蔽到子网中,所以外网只能访问屏蔽子网,不能直接进入内部网络
- 两个包过滤u路由器功能配置不同,A用于过滤外网访问,B用于过滤被屏蔽子网对内网访问,都必须经过应用代理服务器的检查认证
- 优点:安全级别最高
- 缺点:贵,配置复杂