CIA条目	威胁的种类	对策使用的技术	对策实施的装置	说明
机密性	窃听、非法访问、窃取等	用户认证、加密	防火墙、VPN、DS/IPS第二个	信息的机密性是指只允许合法用户访问相关信息。确保信息的机密性保证信息不泄露，设立防止非法访问等对策
完整性	篡改、冒充等	数据认证、电子签名、加密	防火墙、VPN、IDS/IPS等	处理正确的信息，保证信息的完整和确切，防止信息被篡改
可用性	Do攻击等	过滤、冗余、策略	防火墙、带宽控制装置等等	确保合法用户能够访问授权的细腻，需要重视服务器和网络硬件的运维，避免系统出现宕机问题

防火墙是指为了防止火灾发生时，火势蔓延至建筑内其他区域而设置，由防火材质铸成的墙

防火墙这个装置原本用于防范外部网络，也就是拥有多个不特定用户的公共网络对内部网络(企业的Intranet)进行的DoS攻击或不法访问(Hacking,黑客行为),但现在也开始需要防范从内部网络向互联网泄露信息或将内部网络作为攻击跳板等行为。

1.2 防火墙是如何诞生的

现在的防火墙是作为专用设备出现在网络中的，但最初的防火墙则出现在1985年左右，采用分组过滤技术由思科公司的IOS软件实现，是路由器的一个功能。不久之后，DEC公司和AT&T的贝尔实验室开始了防火墙的相关研究工作。当时DEC公司的防火墙装置是将配有两个接口的计算机同外部网络(互联网)和内部网络(Intranet)进行连接，内部网络用户只有登录该计算机(网关)才能完成对外部互联网的访问。而当时AT&T贝尔实验室的防火墙装置则是属于第二代防火墙技术的电路层(Circuit Level)防火墙。该装置使用了配有两个接口的、DEC公司的VAX计算机，内部网络用户必须通过该计算机的电路中继，才能完成对互联网的访问。

随后，从1988年到1990年，DEC公司的防火墙装置不仅需要用户登录，还添加了限制非法通信的功能 (称为screend)。当时作为限制对象的网络服务有USENET新闻、FTP、Telnet、邮件等。在这之后，业内又逐步转向开发无需用户登录，单纯对网络服务进行控制的防火墙产品。该类型防火墙属于第三代防火墙，即应用层防火墙(也称为代理防火墙)。另外，这一时期的文献中也记录了一些类似于"确认连接建立"“允许输入响应”“在IP层面保持状态”等功能，这些功能在现在的状态防火墙(stateful firewall)中都保留了下来。

DEC公司的防火墙原本常用于大学或科研机构，但在1991年，DEC公司开始面向企业销售名为DEC SEAL(Screening External Access Link)的防火墙产品。

第四代防火墙即分组过滤防火墙的早期装置——Visas的研发工作开始于1992年。Visas也成为1994年由Check Point Software Technologies公司开发的商用防火墙产品Firewall-1的原型。

1996年，Global互联网Software Group公司开始研发第五代防火墙，即基于内核代理架构(kernel

proxy architecture)的防火墙。第二年，思科公司发售了首个基于内核代理技术的防火墙产品Cisco

Centri Firewall。Cisco Centri Firewall是在Windows NT上运行的软件，其中的诸多技术被后来思科公司的防火墙设备PIX Firewall继承(Cisco Centri Firewall在1998年停止销售)。到了2000年左右，随着宽带网络的普及，越来越多的企业开始使用VPN。

2004年，UTM(Unified Threat Management,统一威胁管理)产品发布，是一款将IDP/IPS(Deep

Inspection,深度检测)、反病毒、反垃圾邮件(anti-spam)、URL过滤等功能集成在一起的防火墙设备产品。UTM产品包括Juniper Networks公司的SSG系列和ISG系列、Fortinet公司的FortiGate系列、Check Point公司的UTM-1系列以及思科公司的ASA系列等。

2007年，Palo Alto Networks公司发布了新一代防火墙(NGFW,Next Generation Firewall),该防火墙

不再基于端口而是基于应用程序来执行相关的安全策略。新一代防火墙同样配备类似UTM的基于内容安全的功能，协同活动目录(Active Directory)或Web认证等完成用户识别，从而执行并非基于IP地址，而是基于用户名、群组名的安全策略。

1.2.1包过滤防火墙----访问控制列表技术---三层技术

简单、速度慢
检查的颗粒度粗 --5 元组

1.2.2代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

代理技术只能针对特定的应用来实现，应用间不能通用。
技术复杂，速度慢
能防御应用层威胁，内容威胁

1.2.3状态防火墙---会话追踪技术---三层、四层

在包过滤（ ACL 表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。

会话表可以用 hash 来处理形成定长值，使用 CAM 芯片处理，达到交换机的处理速度。

首包机制
细颗粒度
速度快

1.2.4UTM---深度包检查技术----应用层

统一威胁管理

把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
把原来分散的设备进行统一管理，有利于节约资金和学习成本
统一有利于各设备之间协作。
设备负荷较大并且检查也是逐个功能模块来进行的，貌合神离，速度慢。

1.2.5下一代防火墙

2008 年 Palo Alto Networks 公司发布了下一代防火墙（ Next-Generation Firewall ），解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年Gartner（一家 IT 咨询公司）对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。

Gartner 把 NGFW 看做不同信任级别的网络之间的一个线速（ wire-speed ）实时防护设备，能够对流量执行深度检测，并阻断攻击。

1.3 防火墙如何分类

1.3.1 软件防火墙

（1）个人防火墙

（2）网关防火墙

在计算机网络的网关中设置类似防火墙设备的功能，从而对网络中通信流量进行策略控制，这种类型的防火墙即为网关型防火墙。

网关型防火墙分为两类，一类是在Windows、Linux等通用操作系统上安装并运行FireWall-1软件的软件型网关防火墙，一类是使用专用设备的硬件型网关防火墙。

个人防火墙主要监控所有到达个人计算机的通信流量，而网关型防火墙则需要监控来自多数不特定终端设备的通信流量，并在它们通过网关时实施策略控制

1.3.2硬件防火墙

硬件型防火墙是指通过硬件设备实现的防火墙，外形同路由器形状类似，但网络接口类型一般只支持以太网

1.4防火墙的技术类型

防火墙在网络边界判断进行的通信和不被与匈奴的通信，作为其判断的技术按下表逐步演进

防火墙技术类型	年代	说明
包过滤型	1988	属于第一代防火墙技术，在尚没有专用防火墙设备时，一般由路由器实现该功能参考网络上传送的IP分组首部以及TCP/UDP分组首部，获取发送源的IP地址和端口号，以及目的地的IP地址和端口号，并将这些信息作为过滤条件，决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制列表。访问控制列表也可以称为安全策略(简称策略)或安全规则(简称规则) 有关安全策略的详细信息
应用网关型	1989	属于第二代防火墙技术。不再以分组为单位进行通信过滤，而是由网络中既存的网关(防火墙)特定的应用程序会话
电路层网关型	1990	防火墙不再根据IP分组首部和TCP分组首部进行过滤，而是在传输层上进行连接中继(第四层代理),具体通过SOCKS协议实现当内网终端连接外部网络时，将会针对电路层网关建立TCP连接，从而在网关和外部网络服务器之间建立新的TCP连接通过使用电路层网关，无需在策略中设置安全认证端口信息和NAT,即可从拥有私有地址的内网终端连接至外部网络
状态检测型	1993	动态分组过滤的一种，通过检测TCP的连接状态阻挡来路不明的分组，英文缩写为SPI。使用状态分组检测能够有效抵抗下面这些类型的攻击 ●伪装IP地址或者端口，发送附带TCP的RST或FIN标志位的分组，随意中止正常通信的攻击 ●在允许通信的范围内发送附带TCP的ACK标志位的分组，从而入侵内部网络 ●在FTP通信时，无论是否建立控制连接，都会创建数据连接进而入侵内部网络
新一代防火墙	2007	不仅根据端口号或协议号识别应用程序，也不仅根据IP地址识别用户信息，而是根据上述所有信息执行安全策略来进行防御。例如，在传统的防火墙中会记录"允许进行10.1.1.1的IP地址到端口80的通信"这一安全策略，但在新一代防火墙中可能还会补充记录"允许名为yamada的账户与Facebook进行通信" 的内容网络路径上只要有防火墙，就会存在不少为了回避防火墙、查找开放端口而开发的端口扫描程序，这类应用程序无法通过基于端口的防火墙防御。另外， HTTP或者HTTPS 使用的80或者443端口也会被各种各样的应用程序使用。综上所述，以应用程序为单位进行通信控制非常重要，因此诞生了新一代防火墙技术

1.5代理服务器

代理服务器是应用网关型防火墙的一种。

在Linux所使用的代理服务器中，有一款叫做Squid的免费软件。代理服务器的硬件设备有Blue CoatSystems公司开发的SG系列。

另外，还有一些应用了代理服务器功能的设备产品兼顾了网关型防毒功能和URL过滤功能等。

1.5.1什么是代理

例如，HTTP代理对应的网关在从用户(客户端)处收到HTTP通信请求后，自身将代替客户端向HTTP服务器发送HTTP通信请求。从客户端的角度来看，网关即其通信终端。由此，在客户端与网关，网关与HTTP服务器之间分别生成两个会话如果像这样网关成为客户端的代理，由代理和真正的服务器之间进行通信的话，就会实现以下情况。

●从客户端收到的请求或从服务器端得到的响应会在应用层进行检查，如果发生异常则放弃通信或者发送出错信息。

●由于网关是会话的起点，因此可以对互联网上的外部服务器隐藏客户端的IP地址

分组过滤型的防火墙以所有使用IP或TCP/UDP的通信为对象，判断是否允许通信。而应用网关型的防火墙仅以通过网关的应用程序为对象，具体而言就是将FTP、HTTP、Telnet、DNS等作为处理对象的应用程序来进行判断。

与在传输层进行数据检查的分组过滤型不同，应用网关型防火墙在应用层进行数据检查，因此处理速度相对较慢。

1.6防火墙的接口模式*

（接口的方式类似于三层交换机）

接口模式	说明
L3模式	也称为NAT模式，是与路由器一样拥有ip地址的接口。再进行路由选择、NAT以及连接诶IPSec-VPN时，必须使用L3模式的接口可以通过网络管理人员输入静态配置ip地址，也可以通过PPPoE、DHCP客户端动态分配来获取接口的IP地址，在L3模式下进行路由时，需要使用虚拟路由器
L2模式	也称为传统模式，或者透明模式，是与交换机接口一样拥有同样的MAC地址、可以进行桥接的接口，进行IP地址分配时需要使用VLAN
L1模式	也称为虚拟线缆模式。把两对接口组成一组，流量在其中一方的接口上输入并在另一块接口处输出。该模式下无法进行路由和桥接
TAP模式	与交换机镜像端口（SPAN）相连接的模式。通过对交换机转发的数据帧进行复制并且收集，可以将通信内容可视化并且检测恶意软件。由于不是内联结构，因此该模式无法阻止那些没有必要的通信过程

其他接口：

与路由器和交换机一样，部分的防火墙同样可以设置环回接口、Vlan接口（子接口）和汇聚接口（IEEE 802.3ad）等。

1.7防火墙抵御的攻击

1.7.1DDos攻击

DDoS攻击是指攻击者通过控制大量僵尸主机，向攻击目标发送大量攻击报文，导致被攻击目标所

在网络的链路拥塞，系统资源耗尽，从而无法向正常用户提供服务。

有些恶意竞争对手会使用DDoS攻击，对正常合法企业造成较大经济损失。如在购物节期间对网上

购物平台发动的DDoS攻击。

1.7.2单包攻击

单包攻击不像DDoS攻击通过使网络拥塞，或消耗系统资源的方式进行攻击，而是通过发送有缺陷的报文，使主机或服务器在处理这类报文时系统崩溃，或发送特殊控制报文、扫描类报文探测网络结构，为真正的攻击做准备。

1.7.3用户行为不受控

70%的信息安全事件是由于内部员工误操作或安全意识不够引起的。在加强员工安全意识的同时，企业也需要在技术层面管控员工访问外网的行为，不仅可以通过iMaster-NCE管控用户的访问权限，还可以通过防火墙的内容过滤功能管控用户的上网行为。

企业也需要在技术层面管控员工访问外网的行为，比如不允许访问黄赌毒网站，防止对企业带来不良影响；上班时间不能访问语音娱乐网站，提高工作效率；又比如通过技术手段防范员工无意泄露个人或公司重要信息的行为。

内容安全过滤：

URL（Uniform Resource Locator）过滤可以对员工访问的URL进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的；

DNS过滤在域名解析阶段进行控制，防止员工随意访问非法或恶意的网站，带来病毒、木马和蠕虫等威胁攻击；

文件过滤通过阻断特定类型的文件传输，可以降低内部网络执行恶意代码和感染病毒的风险，还可以防止员工将公司机密文件泄漏到互联网；

内容过滤包括文件内容过滤和应用内容过滤。文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。管理员可以控制对哪些应用传输的文件以及哪种类型的文件进行文件内容过滤。应用内容过滤是对应用协议中包含的关键字进行过滤。针对不同应用，设备过滤的内容不同；

邮件过滤：通过检查发件人和收件人的邮箱地址、附件大小和附件个数来实现过滤；

应用行为控制功能用来对用户的HTTP行为和FTP行为（如上传、下载）进行精确的控制。

1.7.4外部网络入侵行为

只要企业内网与外部网络有连接就有可能受到外部攻击者的入侵，如病毒、SQL注入和DDoS攻击等。

入侵类型	描述
病毒	一种可感染或附着在应用程序或文件中的恶意代码，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。病毒能够自我复制，但需要通过打开受感染的文件，启用宏等手动操作才能激活。
SQL注入	SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过破坏SQL语句的原始逻辑，进而执行攻击者所希望的操作。SQL注入漏洞属于高危型Web漏洞。
DDoS攻击	DDoS攻击通过发出海量数据包，造成目标设备负载过高，最终导致网络带宽或是设备资源耗尽。

企业内部网络主机感染病毒后，攻击者会利用被感染主机入侵其他终端设备，扩大攻击成果，最终造成内网大量主机感染病毒。

1.7.5威胁安全的人

名称	说明
进攻者	以造成系统宕机为目的、对系统实战Dos等攻击的人
妨碍者	发送大量垃圾邮件、在BBS中粘贴大量的广告、散步诽谤为目的的言论或者发布大量无意义信息的人
普通用户	尽管不会有主动的攻击行为，但是普通用户会在不知情的情况下使用了被病毒、蠕虫等感染的个人计算机，从而成为威胁网络安全的对象
僵尸（bot）	作为跳板的终端，经常被植入带有攻击程序的病毒，遭受感染的终端成为“僵尸”，由大量僵尸程序组成的网络成为“僵尸网络”
黑客（harcker）	经常会听到“被黑客入侵“的说法，但是实际上黑客是指那些对计算机技术了如指掌的人，而非特指网络攻击者
破解者（cracker）	对网络进行非法访问、窃取信息、篡改的人

1.8 防火墙的安全区域

（多区域之间数据管控的安全屏障）

1.8.1防火墙不仅只是一个“入口的屏障”，而应该是多个网络的接入控制端，所有进出内网的数据流都应该首先绕过防火墙，形成了一个信息进出的关口。

防火墙作为企业网络的重要组成部分，连接诶这企业管理层网络、市场部网络与服务器网络。防火墙一般部署在企业网络出口，与internet连接

1.8.2安全区域：

它是一个或者多个接口的集合，是区别路由器的主要特征。

防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查

在每一个被防火墙分割的网络内部中，所有的计算机之间被认可“可信任的”，它们的通信不受防火墙的干涉。

1.8.3默认安全区域

华为防火墙产品默认提供了TRrust、DMZ、UNtrust三个可配置的安全区域。

trust区域网络的受信任程度最高

DMZ（服务器区域）：中等

untrust区域网络的受信任程度最低

1.8.4Local安全区域

放流量的起始地，目的地是防火墙是才和local有关

防火墙上提供的Local区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收。Local区域中不能添加任何接口，但防火墙上所有业务接口本身都属于Local区域。由于Local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与Local区域之间的安全策略

例如：Telnet登录、网页登录、接入SNMP网管等。

1.8.5安全区域、受信任程度与优先级

1.9防火墙的功能

1.9.1会话管理

会话与数据流

会话（session）是指两个系统之间通信的逻辑连接从开始到结束的过程

(1)在TCP中某个服务器与客户端成对进行通信时。会完成3次握手来确定建立了1个TCP连接，在从连接建立开始至结束的时间里，客户端发送请求（request）和服务器（response）进行应答这一交互过程即可以被称为进行了一个会话

(2)在UDP中，客户端和服务端之间只需要发送源的端口和目的的端口的配置一致，随后的一锡类通信均可以成为会话

(3)在ICMP中，例如echo和对应的echo reply的组合的会话。

1.9.2TCP会话管理

一个TCP的连接需要通过3次握手来确认建立。

最初由客户端发送SYN消息，即发送首部中SYN比特信息设置为“1”的TCP数据段。SYN读作/sin/,表示同步的意思，取自Synchronization这个单词的前三个字母。SYN相当于一个开始信号，与打电话时先拨号码的行为类似。

当服务器收到来自客户端的SYN消息后，将返回表示确认的ACK消息，同时也会发送一个SYN消息至客户端。

ACK表示确认的意思，取自Acknowledgement这个单词的前三个字母。TCP连接使用端口号表示不同的网络服务(应用程序)。例如，HTTP使用80号端口，TELNET使用23号端口。提供HTTP服务的服务器必须接收和处理客户端发送至80号端口的TCP数据段。能够处理分组的状态一般表示为listen状态(listen意为“侦听”,也称为listening)

SYN检查

TCP会话开始时客户端必会发送一个SYN消息。如果是没有附带会话信息(或尚未建立会话),即非SYN消息的TCP数据段到达防火墙，防火墙就会将其视作非法而整个丢弃。但也可以根据不同的情形(双活冗余或会话超时等)关闭(OFF)防火墙的这个功能，使不带有会话信息的、非SYN消息的TCP数据段也能够通过防火墙。

ACK检查

在根据SYN Cookie(参考表5-27)信息防范SYN Flood攻击时，通过对SYN-ACK的ACK消息进行检查，能够确认进行中的3次握手是否为非法尝试。

同一数据段检查

终端再次发送TCP数据段时，对于和之前收到的TCP数据段含有相同序列号或数据的TCP数据段，可以指定防火墙的处理方式，即指定是使用新接收到的重复数据段还是丢弃该重复数据段。

窗口检查

检查TCP首部内的序列号和滑动窗口大小(Window Size),拦截超过滑动窗口容量数据的序列号。

数据段重组

即使各数据段的顺序出现变化，TCP数据段也能根据序列号调整为正确顺序。在防火墙进行这一工作，可以验证TCP数据段序列号是否完整。

1.9.3UDP数据流的管理

在UDP中没有像TCP这样的3次握手过程，客户端和服务器之间直接使用带有应用程序分组的UDP分组进行交互。

UDP数据流是指发送源IP地址、发送源端口号、目的地IP地址和目的地端口号这4个参数都相同的一系列UDP分组

DNS和SNMP这种管理类应用程序一般只需1个UDP分组便能完成1个数据流程。

进行音频和视频数据交互的RTP(Real Time Protocol),则需要通过多个由流数据(streamingdata)构成的UDP分组来完成1个数据流。

1.9.4管理ICMP和IP数据流

在进行ICMP和TCP/UDP以外的IP通信时，由于不存在端口号这个概念，因此需要直接根据IP首部的协议号来生成会话信息。

如ICMP中的Echo消息对应Echo Reply消息那样，防火墙需要自动识别不同的请求消息和与之对应响应消息，并综合判断这些消息序列是否属于同一个会话

1.10状态检查详解

1.10.1状态监测机制

状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

1.10.2会话机制

防护墙会将属于同一连接诶的所有报文作为一个整体的数据流（会话）来对待。

会话表：是用来记录TCP、UDP、ICMP等协议连接状态

会话表项中的五元组信息：

会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。

通过会话中的五元组信息可以唯一确定通信双方的一条连接；
防火墙将要删除会话的时间称为会话的老化时间；
一条会话表示通信双方的一个连接，多条会话的集合叫做会话表。

防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中，一条会话的两个连续报文可能间隔时间很长。

例如：

用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文；
用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间

在以上的场景中，如果会话表项被删除，则对应的业务就会中断。长连接（Long Link）机制可以给部分连接设定超长的老化时间，有效解决这个问题

1.11安全策略

防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受“不信任”网络的攻击，但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。

安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行匹配。

1.11.1安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。

防火墙入门指南：了解防火墙的基础知识

1、防火墙（四层设备）

1.1防火墙是什么