防火牆概述
為了因對網絡威脅,聯網的機構或公司将自己的網絡和公共網絡進行隔離,其方法是根據網絡的安全信任程度和需要保護的對象,人為的劃分若幹區域,這些安全區域有:
- 公共外部網路,如internet
- 内聯網(Intranet):如學校内網,通路限制在組織内部
- 外聯網(Extranet):内聯網的擴充延伸,常用作組織與合作夥伴之間進行通信
- 軍事緩沖區域(DMZ):是介于内外網之間的網絡斷,用于放置公共服務措施
在安全區域劃分的基礎上,通過一種網絡安全裝置,控制安全區域間的通信,可以隔離有害通信,進而阻斷網絡攻擊。這種安全裝置就被稱之為防火牆。
防火牆是由一些軟、硬體組合而成的網絡通路控制器
- 它根據網絡包提供的資訊實作網絡通信通路控制,安全政策主要分為白名單和黑名單
- 簡單的防火牆可以用路由器、交換機實作,複雜的會用到一台甚至一組計算機。按照TCP/IP協定層次,通路控制可以作用于網路接口層、網絡層、傳輸層、應用層,主要功能有以下幾個方面
- 過濾非安全網絡通路:将防火牆設定為隻有被預先允許的服務和使用者才能通過,禁止未授權使用者通路
- 限制網絡通路:防火牆隻允許外部網絡通路受保護網絡的指定主機或網絡服務,通常受保護網絡中的mail,http,FTP等可以讓外部網絡通路,其他類型的通路則予以禁止
- 網絡通路審計:記錄通過的通路并且提供網絡使用情況的統計資料
- 網絡帶寬控制:控制帶寬配置設定使用,實作部分網絡品質服務(Qos)保障
- 協同通路:防火牆和入侵檢測系統交換資訊實作關聯(夢幻關聯?)
防火牆的安全風險
- 網絡安全旁路:防火牆隻能對通過它的網絡通信包進行通路控制,而未經過的網絡通信就無能為力
- 防火牆功能缺陷:導緻一些網絡威脅無法阻斷
- 防火牆不能完全防止感染病毒的軟體或檔案傳輸(總會漏)
- 防火牆不能防止基于資料驅動的攻擊。當表面無害的資料被複制過來發動攻擊時,就會發生資料驅動攻擊效果(一句話木馬啥的)
- 防火牆不能完全防止後門攻擊:粒度粗,基于網絡屏蔽通道的後門能繞過控制,如http tunnel等
- 防火牆安全機制形成單點故障和特權威脅:一旦防火牆自身安全管理失控,會對網絡造成單點故障和特權失控
- 無法有效防範内部威脅
- 受限于安全規則:更新不及時就會被攻破
防火牆的發展
- 主要以下幾個方面
- 控制粒度細化:由ip包位址資訊到ip包内容
- 檢查安全功能持續增強:檢測IP包越來越細,DPI應用
- 産品分類細化:主要是工業專用,web專用,資料庫防火牆等
- 智能化增加:大資料,人工智能balabla
防火牆類型與關鍵技術
防火牆主要分為:包過濾防火牆、代理防火牆、下一代防火牆、web應用防火牆、資料庫防火牆、工業防火牆。實作技術主要有包過濾、狀态檢測、應用服務代理、網絡位址轉換(NAT)、協定分析、深度包檢查等。
包過濾
- 是在IP層實作的技術。根據包的源IP位址、目的IP位址、源端口、目的端口和包的傳遞方向等標頭資訊判斷是否允許通過。
- 目前包過濾是防火牆基本功能之一。控制依據是規則集,典型的過濾會則表示格式由“規律号、匹條件、比對操作”三部分組成。
狀态檢查技術
- 利用TCP會話和UDP“僞”會話的狀态資訊進行的網絡通路機制
- 防火牆會建立并維護繪畫表,當由符合已定義安全政策的TCP連接配接或者UDP流時,防火牆會建立會話項,然後依據狀态表項檢查,與這些會話相關聯的包才允許通過防火牆
應用服務代理
- 防火牆扮演受保護網絡内部主機和外部網主機的網絡通信連接配接“中間人”的角色
- 采用代理服務技術的防火牆簡稱為代理伺服器,它能夠提供在應用級的網絡安全通路控制
- 代理服務技術的優點有
- 不允許外部主機直接通路内部主機
- 支援多種使用者認證方案
- 可以分析資料包内部的應用指令
- 可以提供詳細的審計記錄
- 缺點是
- 速度比包過濾慢
- 對使用者不透明
- 與特定應用協定相關聯,代理伺服器并不能支援所有網絡協定
網絡位址轉換技術
- NAT,即Network Address Translation,該技術用于解決公開位址不足的問題,可以緩解少量網際網路IP位址和大量主機之間的沖突。
- 基于NAT技術的防火牆上配置有合法的公共IP位址集,内部使用者通路外網是,防火牆會動态的從位址中集中選一個未配置設定的位址給使用者
- 由靜态NAT,NAT池,端口NAT(PAT)三種類型。
- 靜态NAT中,内部網絡每個主機都被永久映射到外部的合法位址
- NAT池則是動态配置設定
- PAT則是把内部位址映射到外部網絡的一個IP位址的不同端口上
WEB防火牆技術
- 技術原理是根據預先定義的過濾規則和安全防護規則,對所有通路web伺服器的HTTP請求和伺服器響應進行HTTP協定和内容過濾。
- 用于保護web伺服器和web應用
資料庫安全防火牆技術
- 用于保護資料庫伺服器,技術原理基于資料通信協定深度分析和虛拟更新檔
- 資料通信協定深度分析是通過擷取通路資料庫伺服器的應用程式資料包的“源位址、目标位址、源端口、目标端口、sql語句“等資訊,根據這些資訊和安全規則進行監控
- 虛拟更新檔技術則是通過在資料庫外部建立一個安全屏障層,監控所有資料庫活動,進而阻止可疑會話、操作程式或隔離使用者
工控防火牆技術
- 工業控制系統專用防火牆簡稱工控防火牆,是一種用于保護工業裝置和系統的網絡安全機制。
下一代防火牆技術
- 內建了傳統防火牆的包過濾,狀态檢測,NAT等功能外,還具有各種雜七巴拉的新功能
- 應用識别和管控:不依賴端口,對資料包深度内容的分析來識别對應用層協定和應用程式的精準識别
- 入侵防護(IPS):根據漏洞特征進行攻擊檢測和防護,如SQL注入攻擊
- 資料防洩漏:對傳輸檔案和内容進行識别過濾,可準确識别常見檔案的真實類型
- 惡意代碼防護:基于信譽的惡意檢測技術,建構web信譽庫,将含有惡意代碼的網站資源列入web信譽庫
- URL分類和過濾:建構url分類庫
- 帶寬管理和QoS優化:通過智能化識别業務應用,有效管理帶寬,確定關鍵業務和關鍵使用者的帶寬
- 加密通信分析:通過中間人代理和重定向等技術,對加密的網絡流量進行檢測分析
防火牆的共性關鍵技術
- 深度包檢測(DPI,deep packet inspection)
- 傳統檢查隻針對包的頭部資訊,而DPI對包的資料内容進行檢查,深入應用層分析。
- 運用模式比對,協定異常檢測等方法對包内容進行分析
- 但隐私保護問題使得DPI檢測能力受到限制,加密資料的搜尋比對已經成為DPI的技術難點
- 作業系統
- 防火牆運作依賴于OS,現有的主要有windows,linux,裝置定制系統等
- 網絡協定分析
- 防火牆通過擷取網絡中的包,利用協定分析技術對包資訊進行提取,進而實施安全政策檢查和後續包的處理
主要産品與技術名額
這裡直接講技術名額
安全名額
- 網絡接口:指防火牆能保護的網絡類型,如以太網、千兆以太網、ATM等
- 協定支援:除了支援IP協定外,還支援各種雜七巴拉的協定
- 路由支援:靜态路由,動态路由,政策路由
- 裝置虛拟化:虛拟系統、虛拟化部署
- 加密支援:防火牆能支援的加密算法
- 認證支援:防火牆能支援的認證類型,如數字證書等
- 通路控制:包過濾,NAT,狀态檢測,動态開放端口,MAC/IP綁定
- 流量管理:帶寬管理、連接配接數控制、會話管理
- 應用層控制:使用者管控,負載均衡等
- 攻擊防護:拒絕服務攻擊防護、web攻擊防護,資料庫攻擊防護等等
- 管理功能:能支援的管理方式:如基于SNMP管理,管理的通信協定等
- 審計和報表:防火牆能夠支援的審計方式和分析處理的表達形式,如遠端審計,本地審計等
性能名額
- 最大吞吐量:在隻有一一條預設允許規則和不丢包情況下達到的最大吞吐速率
- 最大連接配接速率:TCP連接配接速率、HTTP請求速率,SQL請求速率
- 最大規則數:在添加大數量通路規則的情況下,防火牆性能的變化狀況
- 并發連接配接數:機關時間内所能建立的最大TCP連接配接數
防禦體系結構類型
基于雙宿主主機防火牆結構
- 雙宿主主機結構是最基本的防火牆結構,實質上至少具有兩個網卡的主機系統。
- 一般是把内外部網絡分别接在不同網卡上,使之不能直接通信。
- 是以中間通信要經過一個安全子產品,如圖所示
基于代理型的主機結構
- 由一台主機同外部連接配接,該主機代理内部網和外部網的通。同時代理型結構還通過路由器過濾,兩者共同建構一個網絡安全邊界防禦架構
-
第八章:防火牆技術原理與應用 - 可以按照如下規則進行配置
- 允許其他内部主機為某些類型的服務請求與外部網絡直連
- 任何外部網的主機都隻能與内部代理主機連接配接
- 任何外部系統對内部網的操作都必須經過代理主機
- 主要缺點是攻破代理主機後,内網和代理主機間就沒有障礙了,随便監聽
基于屏蔽子網的防火牆結構
- 屏蔽子網結構就是在代理型結構中增加一層周邊網絡的安全機制,使内部網絡和外部網絡有兩層隔離帶。攻擊者技術攻破主機,也不能偵聽到内部網絡的資訊,不能直接操作,特點如下
- 應用代理位于被屏蔽子網中,内部網絡向外部公開的伺服器也被屏蔽到子網中,是以外網隻能通路屏蔽子網,不能直接進入内部網絡
- 兩個包過濾u路由器功能配置不同,A用于過濾外網通路,B用于過濾被屏蔽子網對内網通路,都必須經過應用代理伺服器的檢查認證
- 優點:安全級别最高
- 缺點:貴,配置複雜