【网络安全】防火墙知识点全面图解（一）

本系列文章包含：

• 【网络安全】防火墙知识点全面图解（一）
• 【网络安全】防火墙知识点全面图解（二）
• 【网络安全】防火墙知识点全面图解（三）

---

1、什么是防火墙？

防火墙（Firewall）是防止火灾发生时，火势烧到其它区域，使用由防火材料砌的墙。

后来这个词语引入到了网络中，把从外向内的网络入侵行为看做是火灾，防止这种入侵的策略叫做 防火墙。后来，防火墙不但用于防范外网，例如：对企业内网的 DoS 攻击或非法访问等，也开始防范从内部网络向互联网泄露信息、把内部网络作为攻击跳板等行为。

硬件防火墙可以实现 CIA 的 机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）这三种类型的对应策略。小企业会在局域网和互联网的边界部署防火墙。

CIA条目	威胁种类	策略使用技术	策略实施设备	说明
机密性	窃听、非法访问、窃取等	用户认证、加密	防火墙、VPN、IDS/IPS 等	只允许合法用户访问相关信息。确保机密性，即保证信息不被泄露，设置防止非法访问等保护策略
完整性	篡改、冒充等	数据认证、电子签名、加密	防火墙、VPN、IDS/IPS 等	保证信息的完整，防止信息被篡改
可用性	DoS 攻击等	过滤、冗余、策略	防火墙、带宽控制设备等	确保用户能够正常访问信息。也就是服务器或网络设备的运维，避免系统出现宕机问题

2、防火墙有哪些类型？

防火墙可分为 软件防火墙 和 硬件防火墙。软件防火墙又可分为 个人防火墙 和 网关防火墙。

（1）个人防火墙

个人防火墙运行在 PC 上，用于监控 PC 和外网的通信信息。在 Windows 操作系统中集成了 Windows 防火墙。

杀毒软件产品厂家的个人防火墙一般包含在安全软件套件里。

功能	作用
确认连接请求	咨询用户是否阻止特定的连接请求
安全日志	根据需要生成安全日志，记录 PC 正常连接与错误连接的信息。在做故障分析时，日志起到了很大的作用
反病毒功能	阻止 PC 接收病毒和蠕虫通信
反间谍软件功能	阻止 PC 接收间谍软件或程序的通信
个人信息保护功能	设置保护策略，防止个人信息被窃取、浏览恶意网站以及钓鱼诈骗等

（2）网关防火墙

在网络中的网关上配置防火墙的功能，能对网络中的流量进行策略控制，这就是网关防火墙。

网关防火墙分为两种，一种是在 Windows 、Linux 等操作系统上安装并运行防火墙软件的软件网关防火墙，另一种是使用专用设备的硬件网关防火墙。

个人防火墙主要监控 PC 的通信流量，网关防火墙是监控 网络中所有终端的通信流量，在网关处进行策略控制。

个人防火墙	网关防火墙	区别
安装位置	用户的 PC 上	Windows 或 Linux 等服务器上
网络中的位置	终端	网关
安全监控对象	流入终端的流量	经过网关的流量
加密通信	在终端上解密后检查	不能检查
压缩文件检查	解压后检查	对解压方式、解压基本有限制
口令文件检查	输入口令后解压检查	不能检查

（3）硬件防火墙

通过硬件设备实现的防火墙叫做硬件防火墙，外形跟路由器相似，接口类型通常有千兆网口、万兆光口。

3、防火墙有哪些技术类型？

• 分组过滤型：没有防火墙设备时，可以由路由器实现。根据网络中的传输的 IP 分组头部和 TCP/IP 分组头部，获得源 IP 地址和端口号、目的 IP 地址和端口号，以这些信息作为过滤条件，决定是否转发这个分组。分组过滤会用到访问控制列表
• 应用网关型：不以分组为单位进行通信过滤，而是特定的应用程序会话。
• 电路层网关型：在传输层进行连接中继，也就是第四层代理，通过 SOCKS 协议实现。内网终端连接外部网络时，终端与网关建立 TCP 连接，网关和外部服务器建立新的 TCP 连接。使用电路层网关，不用设置安全认证端口和 NAT，就可以让私有地址的内网终端访问外部网络。
• 状态检测型：动态分组过滤的一种，通过检测 TCP 的连接状态阻挡来路不明的分组，简称 SPl。可以抵抗下面类型的攻击。
  • 伪装 IP 地址或端口，发送附带 TCP 的 RST 或 FIN 标志位的分组，随意中止正常通信的攻击。
  • 在允许通信的范围内发送附带 TCP 的 ACK 标志位的分组，从而入侵内部网络。
  • 在 FTP 通信时，无论是否建立控制连接，都会创建数据连接进而入侵内部网络。
• 新一代防火墙：根据上面的所有信息执行安全策略来进行防御，不仅根据端口号或协议号识别应用程序，还根据 IP 地址识别用户信息。

4、什么是代理服务器？

代理服务器 是应用网关防火墙的一种。假设客户端和 HTTP 服务器通信时， 客户端发送请求报文时，代理服务器会替代客户端向 HTTP 服务器发送请求；HTTP 服务器回复响应报文时，代理服务器会代替 HTTP 服务器向客户端回复。对于客户端来说，代理服务器就是 HTTP 服务器。客户端和代理服务器、代理服务器和 HTTP 服务器分别建立两个会话。

• 从客户端收到的请求报文、从服务器收到响应报文，代理服务器都会在应用层进行检查，如果有异常就放弃通信或发送出错信息。
• 由于代理服务器是会话的起点，对互联网的服务器来说，是看不到客户端的 IP 地址。

报文过滤防火墙是以 IP 或 TCP/UDP 为对象，判断是否允许通信。而应用网关防火墙是以应用程序为对象，也就是将 FTP 、HTTP 、Telnet 、DNS 等为对象进行判断。

5、防火墙有哪些接口模式？

防火墙有四种接口模式：

• L3 模式：也叫做 NAT 模式，和路由器接口一样，是拥有 IP 地址的接口。使用路由选择、NAT 以及连接 IPSec VPN 或 SSL VPN 时，必须使用 L3 模式接口。接口可配置静态 IP 地址，也可通过 PPPoE、DHCP 动态获取 IP 地址。
• L2 模式：也叫做透传模式或透明模式，和交换机一样，是进行交接的接口。进行 IP 地址分配时，需要使用 VLAN。
• L1 模式：也叫做虚拟线缆模式。把两个接口组成一组，流量在一个接口输入，在另一个接口输出。这个模式下无法进行路由和桥接
• TAP 模式：与交换机镜像端口连接的模式。对交换机的数据帧进行检测。由于不是串连，无法阻止非法通信

L1 ~ L3 模式是将防火墙进行串连，TAP 模式是防火墙进行旁挂。

6、防火墙能防范哪些威胁？

（1）窃听：通过窃听网络数据获取银行卡号、密码等重要信息。

（2）篡改：将网站主页、邮件等通信内容恶意修改。

（3）破坏：通过电脑病毒或DoS攻击等破坏系统的正常工作。

（4）冒充：冒充他人发送邮件，对接收方进行钓鱼、诈骗等行为。

（5）信息泄露：电脑或服务器上的重要信息或文档泄露。

（6）攻击跳板：作为病毒部署或DoS攻击的跳板。

（7）垃圾邮件：以营利为目的发送大量邮件。

7、有哪些人会威胁安全？

• 黑客（hacker）：是指精通计算机技术的人，并非特指网络攻击者。

• 破解者（cracker）：对网络进行非法访问、窃听信息、篡改等行为的人。

• 攻击者（attacker）：使用 DoS 等攻击系统，以造成系统宕机为目的的人。

• 妨碍者：发送大量垃圾邮件、在论坛粘贴大量广告、发布大量无意义信息的人。

• 普通用户：尽管不会主动攻击，但在病毒、蠕虫等感染电脑后，成为威胁网络安全的对象。

• 僵尸（bot）：作为攻击跳板的终端，被植入具有攻击程序的病毒，遭受感染的终端叫做僵尸，由大量僵尸程序组成的网络叫做僵尸网络。

8、防火墙有哪些功能？

防火墙常见的功能有：

• 会话管理
• 报文结构解析
• 安全区域
• 安全策略
• NAT
• VPN
• DoS 防御
• 报文攻击防御
• 内容扫描
• 监控和报告
• 报文抓包

9、什么是会话？

会话 是两个终端系统之间的逻辑连接，从开始到结束的通信过程。

• 在 TCP 中，客户端和服务器通信，使用 $3$ 次握手建立 $1$ 个 TCP 连接，客户端发送请求（request），服务器进行回应（response），直至结束的过程就是进行了 $1$ 个会话通信。
• 在 UDP 中，客户端和服务器的源端口和目的端口一致，之后的一系列通信都叫做会话。
• 在 ICMP 中，Echo request 和对应的 Echo reply 组成 $1$ 个会话。

数据流 是一组有序，有起点和终点的数据序列。一个会话有两个数据流（flow）：一个是 “客户端到服务器”（client to server），另一个是 “服务器到客户端”（server to client）。

10、什么是 TCP 连接管理？

在数据通信前，客户端发送一个 SYN 包作为建立连接的请求。如果服务器发来回应，则认为可以开始数据通信。如果未收到服务器的回应，就不会进行数据通信。在通信结束时，会使用 FIN 包进行断开连接的处理。

SYN 包和 FIN 包是通过 TCP 头部的控制字段来管理 TCP 连接。一个连接的建立与断开，正常过程至少需要来回发送 $7$ 个包才能完成。建立一个 TCP 连接需要发送 $3$ 个包，这个过程叫作 三次握手。断开一个 TCP 连接需要发送 $4$ 个包，这个过程也称作 四次挥手。创建一个 TCP 连接，会产生一个 $32$ 位随机序列号，因为每一个新的连接使用一个新的随机序列号。

• SYN 检查：TCP 会话开始时，客户端会发送一个 SYN 消息。如果没有会话信息，或尚未建立会话，即非 SYN 消息的 TCP 数据段到达防火墙，防火墙会当做非法消息而丢弃。

• ACK 检查：通过对 SYN-ACK 的 ACK 消息检查，确认进行中的 $3$ 次握手是否是非法尝试，防范 SYN Flood 攻击。

• 重复数据段检查：防火墙收到重复数据段，也就是序列号相同的 TCP 数据段，可以选择接收或者丢弃。

• 窗口检查：防火墙可以检测 TCP 头部的序列号和滑动窗口大小，拦截超过滑动窗口容量数据的序列号。

• 数据段重组：防火墙可以验证 TCP 数据段序列号是否完整。

11、防火墙如何建立会话？

• 防火墙收到报文后，首先检查会话表，确认是否有相同的会话。如果有相同会话，那么会禁止会话建立，确保会话都是唯一的。

• 如果是不同会话，那么检查报文，通常是查看路由表或 MAC 地址表来确定转发路径。如果可以转发，就确定对应的转发出接口和目的网段。如果不能转发，就丢弃这个数据。

• 报文检查目的地址是否需要进行 NAT 。如果需要，就先完成 NAT ，然后转发到相应出接口和目的网段。

• 对报文和目的信息进行安全策略检查，源信息是源接口、源区域和源地址，目的信息是目的接口、目的区域和目的地址。如果有匹配的安全策略，就根据策略进行处理，允许通信就进行转发，拒绝通信就进行丢弃。如果没有匹配的安全策略，就根据默认拒绝的策略丢弃数据。

• 当报文被允许通信时，防火墙的会话表中就会生成相应的会话信息。

12、什么是会话生存时间？

自动生成的会话表信息，是有一定的 生存时间。会话建立后，一段时间内一直没有进行通信，防火墙会删除生存时间到期的会话表项。如果长期保留会话表项，这些会话信息可能会被恶意攻击。同时，会话表是会占用防火墙资源，防火墙的会话表项的数量也是有限的，长期保留闲置的会话，会影响新会话的生成。

会话时间可以根据协议的不同，分别进行设置。

TCP 的话，会话的超时时间通常是 $30$ 分钟到 $1$ 小时，UDP 是 $30$ 秒。比如，Telnet 连接在防火墙上建立会话后，如果在 $1$ 个小时内没有任何数据通信，防火墙会自动删除这个会话表项。客户端无法再次使用这个 Telnet 会话了。

13、会话如何正常终止？

客户端完成数据传输后，发送 FIN 消息，即使用 FIN 标志位的 TCP 数据段。

服务器收到 FIN 消息后，在回复消息中，使用 FIN 和 ACK 标志位，并将 ACK 编号设置为 “接收的 Seq 编号 + 1”。

客户端相同处理方式，在回复消息中，使用 ACK 标志位，并将 ACK 编号设置为 “接收的 Seq 编号 + 1”。

如果客户端或服务器在连接过程发生故障，只有一方是侦听状态，这叫做 半侦听 或 半关闭。如果通信恢复，接收到故障前的数据段，那么会回复 RST 消息，强制终止 TCP 连接。

当防火墙收到 FIN 或 RST 消息时，会启动一个 $30$ 秒的定时器。即使 FIN → FIN-ACK → ACK 的终止过程没完成，防火墙也会强制删除会话表项。

14、什么是 UDP 数据流？

UDP 不需要像 TCP 一样 $3$ 次握手，客户端和服务器直接使用应用程序的 UDP 数据进行交互。

UDP 数据流 是指 源 IP 地址、源端口号、目的 IP 地址 和 目的端口号 这 $4$ 个参数都相同的一系列 UDP 数据。

DNS 和 SNMP 这类应用程序，只需要 $1$ 个 UDP 数据，就能构成 $1$ 个数据流。

音频和视频使用的 RTP ，就需要多个 UDP 数据，来构成 $1$ 个数据流。

15、没有端口号的协议如何生成会话？

像 ICMP 这类没有端口号的协议，是直接根据 IP 头部的 协议号 来生成会话。

防火墙通过识别 ICMP 不同的请求消息和对应的响应消息，来判断这些消息序列是否属于同一个会话。

16、两台防火墙，如何管理会话？

通常两台防火墙会使用主备方式的冗余结构，对主防火墙和备防火墙的会话信息进行 同步。主防火墙负责建立用户通信的会话，并把会话信息记录到会话表中，同时将信息转发到备防火墙。

17、会话管理有什么防御功能？

防火墙可以通过 限制会话数量，能够防范 DoS 攻击，还能控制防火墙的负载，提高防火墙的性能。

防火墙可以以 TCP SYN 、UDP 、ICMP 等协议为单位，通过指定源与目的的组合方式，来限制这类会话的数目。

18、如何防范非法报文？

为了防止非法报文的流入和流出，防火墙会对报文的头部和数据进行解析。常见的有：IP 头部解析、TCP 头部解析、UDP 头部解析。

（1）IP 头部解析

数据帧和 IPv4 头部的解析内容如下：

• 以太网类型与 IP 版本：以太网数据帧头部的类型字段为 0x0800 时表示 IPv4 ，同时 IPv4 头部的版本也是 $4$ 。类型字段为 0x86DD 时表示 IPv6 ，IP 头部的版本也是 $6$。
• IP 头部：确认数据是否完整，并检查报文长度与实际长度是否一致。
• IP 协议号、TTL：检查字段值，如果值为 $0$ 就丢弃报文。
• 源地址、目的地址：确认是否存在 LAND attack。
• 数据总长度：确认是否存在 ping of death 攻击。
• 标志位、分片偏移：丢弃无法进行分片的报文。
• 可选项：丢弃无用可选项的报文。

（2）TCP 头部解析

TCP 头部的解析内容如下：

• TCP 头部：确认各个字段是否完整、是否有被中途截断。
• 数据偏移：确认数据偏移字段的值是否是 $5$ 以下，TCP 头部长度最小是 $5$ 字符 = $20$ 字节。
• 校验和：确认校验和是否错误。
• 端口号：确认源端口号和目的端口号是否为 $0$。
• 控制位：检查 SYN、ACK 等字段是否存在组合不正确的情况。

（3）UDP 头部解析

UDP 头部的解析内容如下：

• UDP 头部：确认各个字段是否完整、是否有被中途截断。
• 校验和：确认校验和是否错误。

19、什么是安全区域？

防火墙有 安全区域（Security Zone，简称区域）的概念。防火墙的物理接口和逻辑接口会分配到不同的区域中，也就是将防火墙的网段分别划分到不同的区域中。一个网络接口只能属于一个区域。

在同一个区域内，可以自由进行通信，但是跨区域通信，必须符合安全策略才行。当然，防火墙也可以设置安全策略，根据源或目的地址等条件，判断在同一区域内能否允许通信。

• 信任区域（Trust Zone），也叫做 内部区域，所属接口是 G1/1、tunnel1、Loopback1，是指公司内部网络区域，表示可以信赖的区域。通常区域内是可以自由通信。

• 不信任区域（Untrust Zone），也叫做 外部区域，所属接口是 G1/2，是指公司外部网络区域，比如互联网。与信任区域相对，是不可信任的区域，通常只会拦截通信，不允许所有通信。也可以设置安全策略，允许从信任区域到不信任区域的通信。

• DMZ 区域（DeMilitarized Zone），所属接口是 G1/4，是对外公开的服务器使用的区域，与信任区域是分开的。

  • 为了防止攻击，从外部网络访问内部网络的通信会被防火墙拦截，但是内部网络中有对外公开的服务器，比如 Web 服务器，对于 Web 请求就不能一刀切的拦截。但如果把服务器放在内部网络中，一旦从外部网络恶意入侵，就会导致内网的重要数据泄露。因此，我们把需要对外公开的服务器放在 DMZ 中，这样即使服务器遭到入侵，DMZ 区域也无法直接访问内部网络。

• 自定义区域（Custom Zone），这里说的是上图 Sales Zone，所属接口是 G1/3，只有销售部门员工才能访问的区域，是人为划分和定义的自定义区域。当然，也能根据具体内容、安全策略描述和管理目的自定义其它区域。

20、什么是安全策略？

防火墙的主要功能是访问控制，也就是判断特定源和特定目的之间是否允许进行特定的通信。访问控制是通过规则来实现，每一条规则都指定了源、目的和通信内容等信息。这些访问控制规则的集合，在路由器中，叫做 访问控制列表，而在防火墙中，叫做 安全策略 或 安全规则。