众元教育2020-0603班-传统防火墙技术分享

引入:为什么需要防火墙?

  • 随着网络技术的发展,越来越多安全威胁出现在我们面前,网络犯罪的递增、大量黑客网站的产生,促使人们思考网络的安全性问题。网络防火墙作为最受人注目的网络安全工具应运而生。
  • 防火墙是一个将网络分为多区域,给不同区域定义不同级别,默认拒绝低安全区域访问高安全区域的安全系统。

传统防火墙的功能

  • 传统防火墙的功能主要包括包过滤状态检测应用网关

包过滤

  • 类似于路由器、交换机的ACL,通过识别数据包的五元组(源目IP、源目端口、协议)来过滤掉威胁访问。

众元教育2020-0603班-传统防火墙技术分享_第1张图片

优点:

  • 对单个数据包检测速度快,性能高,可以用硬件实现原理;
  • 检查IP、TCP、UDP信息;

缺点:

  • 不能根据状态信息进行控制;
  • 前后报文无关联;
  • 不能处理网络层以上的报文信息;
  • ACL过多配置复杂,不能处理应用层的攻击;
  • 不能支持连接认证, 只对某些类型的攻击比较敏感;

状态检测

  • 通过识别数据流的状态,例如检测TCP报文中的SYN、FIN、ACK等检测数据流的处于什么状态。

众元教育2020-0603班-传统防火墙技术分享_第2张图片

工作过程

众元教育2020-0603班-传统防火墙技术分享_第3张图片

  • 数据流进入后会先查看是否有会话表检测自己的状态,有的话直接通过,没有再去匹配acl规则表。

  • 当首包通过后,就会生成一个状态表,来记录自己的状态。后面的报文可以通过查看这个状态表直接转发。

众元教育2020-0603班-传统防火墙技术分享_第4张图片

流与会话

流(Flow),是一个单方向的概念,根据报文所携带
的三元组或者五元组唯一标识。根据IP层协议的不同
,流分为四大类:

  • TCP流:通过五元组唯一标识
  • UDP流:通过五元组唯一标识
  • ICMP流:通过三元组 + ICMP type + ICMP code唯一标识
  • RAW IP流:不属于上述协议的,通过三元组标识话

会话(Session),以一个双向的概念,一个会话通常关联两个方向的流

  • 一个为会话发起方(Initiator),
  • 另外一个为会话响应方(Responder)。
  • 通过会话所属的任一方向的流特征都可以唯一确定该会话,以及方向。
    众元教育2020-0603班-传统防火墙技术分享_第5张图片
  • 对于TCP报文,三次握手+ALG后创建会话;
  • 对于UDP/ICMP/Raw IP 报文,首包创建会话;
    众元教育2020-0603班-传统防火墙技术分享_第6张图片

优点:

  • 知晓连接状态,比包过滤更加安全;

缺点:

  • 不能检测应用层协议内容,如URL过滤
  • 不能阻止应用层攻击,不能连接认证
  • 不是所有的协议都有状态:UDP ICMP
  • 不能支持多连接或多通道连接如FTP 等

应用网关

  • 给用户充当代理的功能,当用户发出请求包时,防火墙截获,
  • 检测请求包的每个应用以及端口也可以对url进行过滤,
  • 然后发送给用户一个认证界面,
  • 用户认证成功后就会允许这个用户的流量通过。
    众元教育2020-0603班-传统防火墙技术分享_第7张图片

ALG的作用

背景:

  • 在应用层协议中,有很多协议都包含多通道的信息。
  • 多通道的应用需要首先在控制通道中对后续数据通道的地址和端口进行协商,
  • 然后根据协商结果创建多个数据通道连接。

ALG是一种对应用层进行处理的技术:

  • ALG的状态检测是基于应用层协议的,
  • 能够监听每一个应用的每个连接所使用的端口,
  • 打开合适的通道允许会话中的数据穿过防火墙,
  • 在会话结束时关闭该通道,从而实现对动态端口应用的有效访问控制。
    众元教育2020-0603班-传统防火墙技术分享_第8张图片

优点:

  • 可以支持连接身份认证,能检测应用层数据;
  • 如:上网认证,URL过滤,关键字等行为管理。

缺点:

  • 用软件来处理,消耗系统资源;
  • 仅支持TCP应用(如http telnet https ftp);
  • 可能需要额外的客户端软件;

工作模式

  • 传统防火墙的工作模式主要有路由模式透明模式混合模式

如果防火墙以第三层对外连接(接口具有IP 地址),则认为防火墙工作在路由模式下;
如果防火墙通过第二层对外连接(接口无IP 地址),则防火墙工作在透明模式下;
如果防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址,某些接口无IP 地址),则防火墙工作在混合模式下。

路由模式

  • 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。
    众元教育2020-0603班-传统防火墙技术分享_第9张图片

  • 采用路由模式时,可以完成ACL 包过滤、NAT 转换等功能。

  • 然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。


透明模式

  • 如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
    众元教育2020-0603班-传统防火墙技术分享_第10张图片

  • 采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。

  • 与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。


混合模式

  • 如果防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。
    众元教育2020-0603班-传统防火墙技术分享_第11张图片

  • 混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址。


今天关于传统防火墙技术分享到此未完待续,欢迎大家在评论区留言讨论。爱好学习网络知识的小伙伴们,一键三连,关注 虫博士ovo 学习网络就此不再迷路,谢谢大家。

你可能感兴趣的:(笔记)