防火墙的前世今生

防火墙:将内网区域与外部不安全网络区域隔离开来。
在遭受入侵时,做内外网隔离的策略叫做防火墙。
早期使用PAT+ACL实现防火墙功能。但不够牢固,在修改源IP并在转换表存在时访问特定端口即可穿透。
发展阶段1(包过滤)~-1989年: //静态包过滤技术
1.Established ACL利用TCP的flag字段。只接受ACK和RST包
2.封掉低端口,放开高端口
3.自反ACL
因为这些策略基于包过滤,逐包匹配原则。所以对路由器性能占用较高,影响网络性能,且无法阻止欺骗式攻击,容易收到拒绝服务攻击.
发展阶段2(代理服务器):
所有流量都需要访问代理服务器(堡垒机),不能直接访问到内网。直接保护了内网,由代理服务器访问内网服务器。主要通过SOCKS协议实现代理。
缺点:效率低下,较之包过滤更慢。
发展阶段3(状态防火墙): //动态包过滤技术
对流量以流的方式对待,检测流的第一个包生成状态,存储在会话表,之后根据会话表做过滤。
TCP状态检测:
防火墙的前世今生_第1张图片
过程:1)流的第一个包进入防火墙,防火墙先去匹配规则 ,如果规则允许则到第二步,如果规则不允许,则直接丢弃。(路由,nat,策略规则)
2)为流建立会话表,后续所有流的包都直接匹配会话表进行转发。
防火墙的前世今生_第2张图片
超时机制:
1)握手阶段超时时间一般60s,防止TCP半开攻击。可以缓解DOS攻击。
DOS攻击的防御:建立一个Cookie表记录与他握手的源地址。在Cookie表中有的源IP在未对前N(可调整)次tcp做出回应的情况下再次TCP连接时,不处理此次连接。不会回复ACK,不把握手放在two-way timeout表。对于DDOS无效。
防火墙技术可以设置会话表连接次数,也可以防止DOS攻击。
2)握手成功一般会话表的超时时间为60min。
FTP的问题:
FTP客户端访问服务器的21号端口,服务器使用随机端口主动向客户端发送流量。
解决方案:端口检测机制:检查21号端口的传输的数据部分(应用层)查看传输的协商端口,然后防火墙开放此端口。
这种技术会使得防火墙性能下降。
UDP的问题:
没有flag字段,所以检查的元素会变少。防御效果会减弱。而且是无连接的,只能通过源目IP,端口去判断。
解决方案:防火墙会创建虚链接会话。
ICMP问题:
没有端口,防御能力继续下降。一般防火墙会默认静止ICMP回包。
针对应用层的攻击:
会话表无法查看应用层的内容,无法防止基于应用的攻击。

深度包检测技术、深度流检测技术 入侵检测IDS
IPS 入侵防御。 应用IDS做出反应的独立设备。
网络边界设备过多:1.路由器2.防火墙3.IPS4.应用代理(管理流量、上网行为)5.WAF(专用WEB防火墙)、防毒墙、漏洞检测、负载均衡设备
UTM:多功能防火墙
将不同的防火墙设备集成堆叠于一个设备。在流量进入后依次通过每个防火墙模块。
防火墙的前世今生_第3张图片
缺点:只是物理集成,在流量的处理上还是依次通过。而且因为物理集成,同一家厂商的限制下,性能未必有多防火墙串起来的机构性能高。
下一代防火墙NGAF
下一代防火墙采用分离式引擎,一次性并行扫描处理.
下一代防火墙主要优点在于用户可视、应用可视和双向防护。
下一代防火墙在UTM的基础上,实现了并行处理数据,并增加了可视化功能,同时实现了双向防护。充分的解决了之前的安全设备主要对外不对内的问题。
沙盒技术:在发现可疑应用后,在沙盒程序的保护下,继续运行可疑应用,一旦发现病毒属性,沙盒就执行回滚机制。将病毒的痕迹和动作抹去。恢复系统到正常状态。

你可能感兴趣的:(CCIE)