防火墙
一、什么是防火墙
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
二、防火墙的作用
- 过滤进出网络的数据包
- 管理进出网络的访问行为
- 封堵某些禁止的访问行为
- 记录通过防火墙的信息内容和活动
- 对网络攻击进行检测和告警
- 能过滤大部分的危险端口
- 设置严格的外向内的状态过滤规则
- 抵挡大部分的拒绝服务攻击
三、防火墙与OSI
- 基本防火墙:网络层、传输层
- 高级防火墙:数据链路层、会话层、应用层
四、防火墙历史
1、包过滤防火墙
也叫分组过滤防火墙。根据分组包的源、目的地址,端口号及协议类型、标志位确定是否允许分组包通过。
【优点】
● 高效、透明
【缺点】
● 不能防范部分的黑客IP欺骗类攻击
● 不能跟踪TCP连接的状态
● 不支持应用层协议
● 对管理员要求高
【判断依据】
● 数据包协议类型:TCP、UDP、ICMP、IGMP等
● 源、目的IP地址
● 源、目的端口:FTP、HTTP、DNS等
● IP选项:源路由选项等
● TCP选项:SYN、ACK、FIN、RST等
● 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等
● 数据包流向:in或out
● 数据包流经网络接口:eth0、eth1
包过滤防火墙应用实例:
2、应用网关防火墙
也叫应用代理防火墙。每个代理需要一个不同的应用进程,或一个后台运行的服务程序;对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
【优点】
● 安全性高
● 提供应用层的安全
● 可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强
【缺点】
● 性能差
● 伸缩性差
● 只支持有限的应用
● 不透明
● 难于配置
● 处理速度较慢
一个Telnet代理的例子:
3、状态检测防火墙
又称动态包过滤防火墙。对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过;记录下该连接的相关信息,生成状态表;对该连接的后续数据包,只要是符合状态表,就可以通过。目前的状态检测技术仅可用于TCP/IP网络。
状态检测防火墙处理示意图:
【优点】
● 连接状态可以简化规则的设置
● 提供了完整的对传输层的控制能力
● 使防火墙性能得到较大的提高,特别是大流量的处理能力
● 根据从所有层中提取的与状态相关信息来做出安全决策,使得安全性也得到进一步的提高
【缺点】
● 对应用层检测不够深入
4、传统火墙的弱点
传统的包过滤和状态检测防火墙弱点如下:
● 没有深度包检测来发现恶意代码
● 不进行包重组
● 恶意程序可以通过信任端口建立隧道穿过去
● 传统的部署方法仅仅是网络边缘,不能防御内部攻击分组过
5、深度检测防火墙
● 深度检测技术深入检查通过防火墙的每个数据包及其应用载荷
● 以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包
● 可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及蠕虫病毒
6、复合型防火墙
五、防火墙的分类
按照操作对象
● 主机防火墙
● 网络防火墙
按照实现方式
● 软件防火墙
● 硬件防火墙
按照过滤和检测方式
● 包过滤防火墙
● 状态防火墙
● 应用网关防火墙
● 地址转换防火墙
● 透明防火墙
● 混合防火墙
六、防火墙的安全规则配置
● 防火墙安全规则遵循从上到下匹配的原则,一旦有一条匹配,剩余的都不进行匹配
● 如果所有的规则都没有匹配到,数据包将被丢弃
● 安全过滤规则主要包含源、目的地址和端口,TCP标志位,应用时间以及一些高级过滤选项
七、防火墙的5大性能指标
● 吞吐量:在不丢包的情况下单位时间内通过的数据包数量
1、定义:在不丢包的情况下能够达到的最大每秒包转发数量
2、衡量标准:吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能
● 时延:数据包最后一个比特进入防火墙到第一比特从防火墙输出的时间间隔
1、定义:入口处输入帧的最后1个比特到达,至出口处输出帧的第一个比特输出所用的时间间隔
2、衡量标准:防火墙的时延能够体现它处理数据的速度
● 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
1、定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比
2、衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响
● 并发连接数:防火墙能够同时处理的点对点连接的最大数目
1、定义:指穿越防火墙的主机之间,或主机与防火墙之间,能同时建立的最大连接数。
2、衡量标准:并发连接数的测试主要用来测试防火墙建立和维持TCP连接的性能,同时也能通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力
● 新建连接数:在不丢包的情况下每秒可以建立的最大连接数
1、定义:指穿越防火墙的主机之间,或主机与防火墙之间,单位时间内建立的最大连接数。
2、衡量标准:新建连接数主要用来衡量防火墙单位时间内建立和维持TCP连接的能力
八、防火墙区域
防火墙拓扑位置
● 专用(内部)和公共(外部)网络之间
● 网络的出口和入口处
● 专用网络内部:关键的网段,如数据中心
防火墙区域
● Trust(内部)
● Untrust(外部,Internet)
● DMZ(Demilitarized Zone,非武装军事区)
九、防火墙的应用
【标准应用】
1、透明模式/桥模式
● 一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下
● 加装防火墙以实现安全区域隔离的要求
一般将网络分为内部网、DMZ区和外部网
2、路由/NAT模式
● 一般用于防火墙需要提供路由和NAT功能以便连接上网的情况下
● 同时提供安全过滤功能
一般将网络分为内部网、DMZ区和外部网
3、混合模式
实际应用中,一般网络情况为透明模式和路由模式的混合
【高级应用】
1、双机热备
2、多VLAN支持
3、动态路由协议
4、VPN
十、防火墙的局限性
● 不能防范不经过防火墙的攻击
● 对新出现的漏洞和攻击方式不能迅速提供有效的防御方法
● 紧急情况下无法做到迅速响应
● 无法防止内部的攻击
● 不能关闭需提供对外服务的端口
● 无法防止利用TCP/IP等协议漏洞的攻击
● 不能防止受病毒感染文件的传输
● 防火墙自身也可能存在安全漏洞
十一、统一威胁管理UTM
什么是UTM?
● 指由硬件、软件和网络技术组成的具有专门用途的设备
● 主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台
功能模块
防火墙、IPS、防病毒网关、VPN网关、内容过滤、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件等
启明星辰天清汉马USG一体化安全网关:
十二、产品介绍-天清汉马防火墙的功能特点
1、完善的防火墙特性
● 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制
● 支持流量管理、连接数控制、IP+MAC绑定、用户认证等
2、多样化的应用过滤
● 基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能,同时提供Java Applet、Cookie、Script和Object的内容过滤功能
● 基于黑名单、白名单、邮件主题、附件名称、邮件大小和SMTP命令的邮件过滤功能
3、安全丰富的VPN使组网变得简单
● 多VPN支持:GRE、IPSec、L2TP、SSL VPN
● 丰富的应用:专用的VPN客户端、USBKEY、动态口令卡、图形认证码
● 灵活的部署:Hub-Spoken、Full-Mesh、DVPN/网关—网关的SSL VPN
4、完善的P2P、IM、流媒体、网络游戏和股票软件控制能力
● P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
● IM控制:基于黑白名单的IM登录控制、文件传输阻止;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype
● 流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
● 网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
● 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断
5、强大的日志报表功能
● 记录内容丰富:可对防火墙日志、带宽使用日志、Wwb访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
● 日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
● 报表贴近需求:根据用户具体需求,定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件
6、方便的集中管理功能
● 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示
7、可软件升级支持UTM
● 采用高性能的硬件配置,具备向UTM升级的硬件基础设施保证
● 经授权后可软件升级,设备无需下线、无需返厂直接升级为UTM
● 升级后具备完整UTM功能,相关功能特征库授权后可实时在线更新
十三、NAT、路由、访问策略
在NAT中,假如最大端口数不是65535,而是2,下图中的问号“?”应该是多少呢?
由于“内网源地址+内网源端口”条目(此处称内网条目)肯定是唯一的,此时NAT端口无论填写1还是2,数据包在返回到本设备时,都无法找到对应的内网条目。怎么办?
我们把内网条目看成一条信息,称为源信息,由于内网条目都是唯一的,可以说源信息的信息量是很大的,把“NAT地址+NAT端口”看成目的信息,可以看出目的信息的信息量很小。源信息(此处称为信息A)在转换成目的信息(此处称为信息B)后,由于信息量不对等,会出现信息丢失,所以信息B就转换不回信息A了。
为了解决这个问题,可以增加B信息的信息量,即加一个因素,只要因素本身的信息量大,无疑就会加大信息A转换回信息B的可能性了;如果不行,信息B中可以再增加一个信息因素,这样就使得B信息的信息量增加,与信息A的信息量越来越接近,提高信息B转换回信息A的可行性。
这里我们将利用数据包中的目的地址这个信息因子,B信息将变成“NAT地址+NAT端口+目的地址”,如下图所示:
本例中,内网地址在做映射的时候,NAT端口号究竟填1还是2才能使数据包在回来时找到相应的内网条目呢?
为了使信息量尽可能对等,需要研究各信息因素的特点和规律,以及各因素组合后的规律。
具体请参考《华为防火墙NAT地址复用技术》
地址的双向转换情况(天融信:内网通过公网访问内网服务器时)
十四、登录防火墙
可以从防火墙的指定区域或接口,通过某种登录工具和接口地址来访问防火墙。如下图所示:
某个配置实例界面如下:
TOPSEC防火墙:
天清汉马防火墙: