- 防火墙概述 ※
- 防火墙类型与实现技术 ※
- 防火墙主要产品与技术指标 ※
- 防火墙体系结构类型 ※
- 防火墙技术应用 ※※
命题规则:上午选择题2分,下午案例高概率5-10分
作为一名信息安全工程师,配置防火墙应该是基本能力,这一张相对来说很重要
一、防火墙概述
防火墙实质上就是访问控制的一个产品
1.1 防火墙概念(引入)
注意,这里的防火墙不是windows系统自带的软件防火墙Windows Defender
根据网络的安全信任程度和需要保护的对象,人为地将企业网络划分若干安全区域,常见的安全区域有:
- 内联网(intranet),内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。
外联网(Extranet),内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;
- DMZ区(Demilitarized Zone)又称军事缓冲区,DMZ是一个逻辑区。从内网中划分出来(目前我看到的是介于内部网络和外部网络之间的网络段),常放置公共服务设备,向外提供信息服务。
有关DMZ,我看到的有两种情况,有在内网和外网中间,还有单独划分出来的区域。如下两图所示
- 外网(Internet),是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。
在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网路攻击。这种安全设备就叫做防火墙,一般安装在不同安全区域的边界,用于控制网络通信安全
1.2 防火墙工作原理
防火墙是由一些软、硬件组合而成的网络访问控制器,他根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其它外部网络相互隔离,限制网络互访,保护内部网络的安全。
防火墙的安全策略有两种类型:
(1)白名单策略:只允许符合安全规则的包通过防火墙,其它通信包禁止
(2)黑名单策略:禁止与安全规则相冲突的包通过防火墙,其它通信包都禁止
简单的防火墙可以用路由器、交换机实现,复杂的需要用一台计算机,甚至一组计算机实现。
防火墙的功能主要有以下几个方面
- 过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。
- 限制网络访问。防火墙只允许外部网络访问受保护网络的制定主机或网络服务,通常受保护网络中的Mail、FTP、WWW服务器等可让外部访问,而其他类型的访问则予以禁止。防火墙也可以用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网站
- 网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有通过它的访问,并提供网络使用情况的统计数据。
- 网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障
- 协同防御。防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全
1.3 防火墙安全风险
采用防火墙安全措施的网络仍然存在以下网络安全风险:
(1)网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力
(2)防火墙功能缺陷,导致一些网络威胁无法阻断。主要安全缺陷如下:
- 防火墙不能完全防止感染病毒的软件或文件传输
- 防火墙不能防止基于数据驱动式的攻击(比如缓冲区的溢出)
- 防火墙不能完全防止后门攻击
(3)防火墙安全机制形成单点故障和特权威胁
(4)防火墙无法有效防范内部威胁
(5)防火墙效用受限于安全规则。防火墙依赖于安全规则更新,特别是采用黑名单策略的防火墙,一旦安全规则更新不及时,极易导致防火墙的保护功能失效
1.4 防火墙技术演变
防火墙技术发展演变:(1)防火墙控制粒度不断细化(2)检查安全功能持续增强(3)产品分类更细化(4)智能化增强
二、防火墙类型与实现技术
防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等
2.1 包过滤
包过滤是在I P层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的只能包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter)
包过滤式防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。
在案例题里,大概率不会出思科防火墙的配置,但是选择题是有出题的可能性(21年就出了),后续会更新思科基本配置方法
Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,他们的区别主要是访问控制条件不一样。标准IP访问表只是根据IP包的源地址进行,扩展IP访问表同时匹配源地址和目的地址
图是直接截的b站王志强老师的
Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,他们的区别主要是访问控制条件不一样。标准IP访问表只是包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可以用在单台主机上。如下图是windows11 配置包过滤的地方。
包过滤防火墙技术的优点:低负载、高通过率、对用户透明
包过滤技术的弱点:不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址,就可以轻易通过包过滤器。
2.2 状态检查技术
基于状态的防火墙通过用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。
状态防火墙处理包流程的主要步骤如下
(1)接收到数据包
(2)检查数据包的有效性,若无效,则丢掉数据包并审计
(3)查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计
(4)当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
2.3 应用服务代理
应用服务代理防火墙扮演着受保护网络的内部网络主机和外部网络主机的网络通信连接“中间人”角色,代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络主机
采用代理服务技术的防火墙简称为代理服务器,它能提供应用级的网络安全访问控制。代理服务器按照所代理的服务可分为FTP代理、Telnet代理、Http代理、Socket代理、邮件代理等。如下是windows11设置代理服务器的方式
代理服务技术也是常用的防火墙技术,安全管理员为了对内部网络用户进行应用级上的访问控制,常安装代理服务器。受保护的内部用户对外部网络访问时,首先要通过代理服务器的认可,才能向外提出请求,而外网的用户只能看到代理服务器,从而隐藏了受保护网络的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性。
代理服务器的优点:
- 不允许外部主机直接访问内部主机
- 支持多种用户认证方案
- 可以分析数据包内部的应用命令
- 可以提供详细的审计记录
应用服务代理技术的缺点是
- 速度比包过滤慢
- 对用户不透明
- 与特定应用协议相关联,代理服务器并不能支持所有的网络协议
2.4 网络地址转换技术
NAT是Network Address Translation 的英文缩写,中文含义是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面,则能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高了内部网络的安全性。
实现网络地址转换的方式主要有:
- 静态NAT(static NAT):在内部网路中的每个主机都被永久映射成外部网络中的某个合法地址
- NAT池(pooledNAT):在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络
- 端口NAT(PAT):把内部地址映射道外部网络的一个IP地址的不同端口上。
2.5 Web防火墙技术
Web应用防火墙(又称为WAF)是一种用于保护Web服务器和Web应用的网络安全机制。其技术原理是根据预定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器的响应,进行HTTP协议和内容的过滤,进而对Web服务器和Web应用提供安全防护功能。
web防火墙的HTTP过滤的常见功能主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤。WAF可以抵御的典型攻击主要是SQL注入攻击、XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。目前Web应用防火墙有ModSecurtiy、WebKlight、ShadowDaemon等
2.6 数据库防火墙技术
数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要基于数据通信协议深度分析和虚拟补丁,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁。
-
数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“原地址、目的地址、源端口、目的端口、SQL语句”等信息,根据这些信息及安全规则监控数据库风险行为,阻断违规SQL操作、阻断或允许合法的SQL执行
-
虚拟补丁技术通过在数据库外创建一个安全屏障层,监控所有数据库活动,进而阻止可疑会话、操作程序或隔离用户,防止数据库漏洞被利用,从而不用打数据库厂商的补丁,也不需要停止服务,就可保护数据库安全。
2.7 工控防火墙技术
工业控制系统专用防火墙系统简称为工控防火墙,是一种用于保护工业设备系统的网络安全机制。其技术原理主要通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,实现工控网络的安全隔离和工控现场操作的安全保护。
工控防火墙侧重于分析工控协议,主要包括Modbus TCP协议、IEC 61850协议、OPC协议、Ethenet/IP协议和DNP3协议等。同时工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求
2.8 下一代防火墙技术
相对于传统网络防火墙,下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。如:(1)应用识别和管控(2)入侵防护(IPS);(3)数据泄露;(4)恶意代码防护;(5)URL分类与过滤;(6)带宽管理与QoS优化;(7)加密通信分析
2.9 防火墙共性关键技术
防火墙涉及多种技术,其中关键技术主要有以下几种
- 深度包检测
深度包检测(Deep Packet Inspection,DPI),是一种用于对包的数据内容及包头信息进行检查分析的技术方法。
- 操作系统
防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全。目前,防火墙的操作系统主要有Linux、Windows、设备定制的操作系统等。操作系统的安全增强是防火墙的重要保障。
- 网络协议分析
防火墙通通过网络中的包,然后利用协议分析技术对信息进行提取,进而实施安全策略检查及后续包的处理
三、防火墙主要产品与技术指标
3.1 防火墙主要产品
稍微看一下
防火墙是广泛应用的网络安全产品,其产品形态有硬件实体和软件模式。商业产品的主要形态为物理硬件实体,安全功能软件集成到硬件实体中。开源防火墙产品主要以软件模式存在,如IPtables。目前,防火墙的主要产品如下
- 网络防火墙:部署在不同安全域之间,解析和过滤经过防火墙的数据流,具备网络层访问控制及过滤功能的网络安全产品。
- web应用防火墙:根据预先定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器响应进行HTTP协议和内容过滤,并对Web服务器和Web应用提供安全防护的网络安全产品。
- 数据库防火墙:基于数据库协议分析与控制技术,可实现对数据库的访问行为控制操作和危险操作阻断的网络安全产品
- 主机防火墙:特点是部署在终端计算机上,监测和控制网络级数据流和应用程序访问的网络安全产品。
- 工控防火墙:部署在工业控制环境,基于工控协议深度分析与控制技术,对工业控制系统、设备以及控制域之间的边界进行保护,并满足特定工业环境和功能需求的网络安全产品
- 下一代防火墙:部署在不同安全域之间,解析和过滤经过 防火墙的数据流,集成应用识别和管控、恶意代码、入侵防护、事件关联等多种安全功能,同时具备网络层和应用层访问控制及过滤功能的网络安全产品
- 家庭防火墙:防火墙功能模块集成在智能路由器中,具有IP地址控制、MAC地址限制、不良信息过滤控制、防止蹭网、智能家居保护等功能的网络安全产品
3.2 防火墙主要技术指标
防火墙评价指标可分为四类,即安全功能要求、性能要求、安全保障要求、环境适应性要求。
- 防火墙安全功能指标
- 防火墙性能指标
- 防火墙安全保障指标用于测评防火墙的安全保障程度,主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定。
- 环境适应性指标用于评估防火墙墙的部署和正常运行所需要的条件,包括网络环境、物理环境
- 防火墙自身安全指标主要有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等
四、防火墙防御体系结构类型
防火墙防御结构主要有基于双宿主主机防火墙、基于代理主机防火墙、基于屏蔽子网的防火墙
- 双宿主主机结构式最基本的防火墙结构。这种系统实质上式字少具有两个网络接口卡的主机系统
-
代理型结构中有一台主机同外部网络连接,该主机代理内部网络和外部网络的通信。同时,代理结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构
-
屏蔽子网架构是在代理结构中增加一层周边网络的安全机制,使内部网络有两层隔离带。基于拍片子王防火墙结构的特点如下;
(1)应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在屏蔽子网中,外部网络只能访问屏蔽子网,不能直接进入内部网络
(2)两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对屏蔽子网的访问。把偶哦率路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证
(3)优点:安全级别最高;缺点:成本高,配置复杂。
五、防火墙技术应用
5.1 防火墙应用场景类型
- 上网保护:利用防火墙的访问控制及内容过滤功能,保护内网和上网计算机安全,防止互联网黑客直接攻击内部网络,过滤恶意网络流量,切断不良信息访问
- 网站保护:通过web应用防火墙代理互联网客户端对web服务器的所有技术请求,清洗异常流量,有效控制政务网站应用的各类安全威胁。
- 数据保护:受保护的数据区域边界部署防火墙,对数据库服务器或数据存储设备的所有请求和响应进行安全检查,过滤恶意操作,防止数据遭到威胁
- 网络边界保护:在安全域之间部署防火墙,利用防火墙进行访问控制,限制不同安全域之间的网络通信
- 终端保护:在终端设备安装防火墙,利用防火墙阻断不良网址,防止终端设备受到侵害
- 网络安全应急响应:利用防火墙,对恶意攻击源及网络通信进行阻断,过滤恶意流量,防止网络安全事件影响扩大
5.2 防火墙部署基本方法
防火墙部署根据受保护的网络环境和安全策略进行,如
第一步,根据组织或公司的安全策略要求,将网络划分为若干安全区域
第二步,在安全区域之间设置针对网络通信的访问控制点;
第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略
第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
五步,在防火墙上,配置实现对应的网络安全策略
第六步,测试验证边界安全策略是否正常执行
第七步,运行和维护防火墙
5.3 IPtables防火墙应用参考
重点重点,大题可能会要写iptables指令,后续会更新iptables专题
IPtables是Linux系统自带的防火墙,支持数据包过滤、数据包转发、地址转换、基于MAC地址过滤、基于状态的过滤、包速率限制等安全功能。IPtables可用于构建Linux主机防火墙,也可以用于待见网络防火墙。IPtables常见配置如下
#1.删除所有存在的规则
iptables -F
#2.设置默认链策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#3.阻止特定的ip地址
#ip = "x.x.x.x"
iptables -A INPUT -s ip -j DROP
#4.Allow ALL incoming SSH
#iptables -A -INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
本章在教材《信息安全工程师教程(第2版)》中是非常重要的一章