信息安全-防火墙技术原理与应用
一、防火墙概述
1.1 防火墙概念
为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离
方法:根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括:
- 公共外部网络,如Internet(外网)
- 内联网(Intranet) ,如某个公司或组织的专用网络,网络访问限制在组织内部
- 外联网(Extranet) ,内联网的扩展延伸,常用作组织与合作伙伴之间进行通信
- 军事缓冲区域,简称DMZ, 该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。
防火墙:在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网络攻击
- 安装位置:一般安装在不同的安全区域边界处,用于网络通信安全控制
- 组成:专用硬件或软件系统
1.2 防火墙工作原理
防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全
防火墙根据网络包所提供的信息实现网络通信访问控制,如果网络通信包符合网络访问控制策略,
就允许该网络通信包通过防火墙,否则不允许
防火墙安全策略类型
- 白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止(默认禁止)
- 黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许(默认允许)
防火墙功能
- 过滤非安全网络访问:将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险
- 限制网络访问:防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、 www服务器等可让外部网访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址
- 网络访问审计:防火墙是外部网络与受保护网络之间的唯一网络通道, 可以记录所有通过它的访问,并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证
- 网络带宽控制:防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障
- 协同防御:防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全
1.3 防火墙安全风险
采用防火墙安全措施的网络仍存在以下网络安全风险:
- 网络安全旁路,防火墙只能对通过它的网络通信包进行访问控制,对未经过它的网络通信无能为力,例如从内部直接拨号访问外网
- 防火墙功能缺陷,导致一些网络威胁无法阻断
主要安全缺陷包括
- 防火墙不能完全防止感染病毒的软件或文件传输
- 防火墙不能防止基于数据驱动式的攻击
- 防火墙不能完全防止后门攻击
- 防火墙安全机制形成单点故障和特权威胁,一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控
- 防火墙无法有效防范内部威胁,处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制
- 防火墙效用受限于安全规则,防火墙依赖于安全规则更新
1.4 防火墙发展
- 防火墙控制粒度不断细化:控制规则从以前的IP包地址信息延伸到IP包的内容
- 检查安全功能持续增强:检测IP包内容越来越细,DPI (Deep Packet Inspection) 应用于防火墙
- 产品分类更细化:针对保护对象的定制安全需求,出现专用防火墙设备。如工控防火墙、Web防火墙、数据库/数据防火墙等
- 智能化增强:通过网络安全大数据和人工智能技术的应用,防火墙规则实现智能化更新
二、防火墙类型与实现技术
2.1 包过滤
在IP层实现的防火墙技术(网络层+传输层),根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过
包过滤防火墙技术优点:低负载、高通过率、对用户透明
包过滤技术的弱点:不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器
包过滤的控制依据:规则集
典型的过滤规则表示格式:由“规则号、匹配条件、匹配操作”三部分组成,一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号,协议类型(UDP/TCP/ICMP)、通信方向、规则运算符来描述过滤规则条件
匹配操作:拒绝、转发(允许)、审计三种
该规则的作用:只允许内、外网的邮件通信,其他的通信都禁止
| 规则编号 | 通信方向 | 协议类型 | 源IP | 目标IP | 源端口 | 目标端口 | 操作 |
| A | in | TCP | 外部 | 内部 | ≥1024 | 25 | 允许 |
| B | out | TCP | 内部 | 外部 | 25 | ≥1024 | 允许 |
| C | out | TCP | 内部 | 外部 | ≥1024 | 25 | 允许 |
| D | in | TCP | 外部 | 内部 | 25 | ≥1024 | 允许 |
| E | either | any | any | any | any | any | 拒绝 |
Cisco设备ACL配置
Cisco IOS访问规则形式
- 标准IP访问表
- 扩展IP访问表
区别:主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行
标准IP访问控制规则格式:access-list list-number {deny I permit} source [source-wildcard] [log]
扩展IP访问控制规则格式:
access-list list-number {deny l permit} protocol
source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [log | log-input]
- list-number:标准IP访问控制规则规定为1~99,扩展IP访问控制规则规定为100~199
- deny:表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过
- permit:表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过
- source:表示来源的IP地址
- source-wildcard:表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any 代表任何来源的IP包
- destination:表示目的IP地址
- destination-wildcard:表示接收数据包的主机IP地址的通配符掩码
- protocol:表示协议选项,如IP、ICMP、UDP、TCP等
- log:表示记录符合规则条件的网络包
2.2 状态检查技术
基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制
采用该技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙
处理包流程步骤
- 接收到数据包
- 检查数据包的有效性,若无效,则丢掉数据包并审计
- 查找会话表,若找到,则进- - 步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计
- 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包,否则,丢掉该数据包并审计
2.3 应用服务代理
应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机网络通信连接“中间人”的角色
代理防火墙代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机
代理服务器:采用代理服务技术的防火墙,它能够提供在应用级的网络安全访问控制
代理服务器分类:按照所代理的服务可分为FTP、Telnet、 Http、Socket、 邮件代理等
代理服务器构成:一组按应用分类的代理服务程序和身份验证服务程序。每个代理服务程序用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理服务。
受保护的内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求,而外
网的用户只能看到代理服务器,从而隐藏了受保护网络的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性
应用服务代理技术优点
- 不允许外部主机直接访问内部主机
- 支持多种用户认证方案
- 可以分析数据包内部的应用命令
- 可以提供详细的审计记录
应用服务代理技术缺点
- 速度比包过滤慢
- 对用户不透明
- 与特定应用协议相关联,代理服务器并不能支持所有的网络协议
2.4 网络地址转换技术(NAT)
NAT(Network Address Translation):主要是为了解决公开地址不足而出现的,它可以缓解少量因特网IP地址和大量主机之间的矛盾。NAT技术用在网络安全应用方面,能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高了内部网络的安全性
实现网络地址转换方式
- 静态NAT:内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
- NAT池:在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络
- 端口NAT (PAT) :把内部地址映射到外部网络的一个IP地址的不同端口上
2.5 Web防火墙技术
是一种基于保护Web服务器和Web应用的网络安全机制
技术原理:根据预先定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器响应,进行HTTP协议和内容过滤,进而对Web服务器和Web应用提供安全防护功能
Web应用防火墙的HTTP过滤的常见功能:主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤
Web应用防火墙可抵御的典型攻击:主要是SQL注入攻击、XSS跨站脚本攻击、Web 应用扫描、Webshell、 Cookie注 入攻击、CSRF攻击等
2.6 数据库防火墙技术
是一种用于保护数据库服务器的网络安全机制
技术原理:主要是基于数据通信协议深度分析和虚拟补丁,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁
数据库通信协议深度分析:可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SQL语句”等信息,然后依据这些信息及安全规则监控数据库风险行为,阻断违规SQL操作、阻断或允许合法的SQL操作执行
虚拟补丁技术:通过在数据库外部创建一个安全屏蔽层,监控所有数据库活动,进而阻止可疑会话、操作程序或隔离用户,防止数据库漏洞被利用,从而不用打数据库厂商的补丁,也不需要停止服务,可以保护数据库安全
2.7 工控防火墙技术
即工业控制系统专用防火墙,是一种用于保护工业设备及系统的网络安全机制
技术原理:主要是通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,实现工控网络的安全隔离和工控现场操作的安全保护
工控防火墙与传统的防火墙有所差异,侧重于分析工控协议,同时要适应工业现场的恶劣环境及实时性高的工控操作要求
2.8 下一代防火墙技术
下一代防火墙除了集成传统防火墙的包过滤、状态监测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、监测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能
- 应用识别和管控:不依赖端口,通过对网络数据包深度内容的分析,实现对应用层协议和应用程序的精准识别,提供应用程序级功能控制,支持应用程序安全防护
- 入侵防护(IPS) :能够根据漏洞特征进行攻击检测和防护,如SQL注入攻击
- 数据防泄露:对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如Word、Excel、 PPT、PDF等,并对敏感内容进行过滤
- 恶意代码防护:采用基于信誉的恶意检测技术,能够识别恶意的文件和网站。构建Web信誉库,通过对互联网站资源(IP、URL、域名等)进行威胁分析和信誉评级,将含有恶意代码的网站资源列入Web信誉库,然后基于内容过滤技术阻挡用户访问不良信誉网站,从而实现智能化保护终端用户的安全
- URL分类与过滤:构建URL分类库,内含不同类型的URL信息(如不良言论、网络“钓鱼”、论坛聊天等),对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤
- 带宽管理与QoS优化:通过智能化识别业务应用,有效管理网络用户/IP使用的带宽,确保关键业务和关键用户的带宽,优化网络资源的利用
- 加密通信分析:通过中间人代理和重定向等技术,对SSL、SSH等加密的网络流量进行监测分析
2.9 防火墙共性关键技术
1. 深度包检测(DPI)
DPI(Deep Packet Inspection):是一种用于对包的数据内容及包头信息进行检查分析的技术方法,深入应用层分析
DPI运用模式(特征)匹配、协议异常检测等方法对包的数据内容进行分析,属于防火墙的核心技术
DPI 面临挑战:模式规则维护管理复杂性、自身安全性、隐私保护、性能
DPI 需要不断更新维护深度检测策略,以确保防火墙持续有效。隐私保护技术使得DPI的检测能力受到限制,加密数据的搜索匹配成为DPI的技术难点。DPI需要处理包的数据内容,使得防火墙的处理工作显著增加,这将直接影响网络传输速度。围绕DPI的难点问题,可以利用硬件提高模式匹配算法性能,如利用GPU加速模式匹配模式
2. 操作系统
防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的安全
3. 网络协议分析
防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理
三、防火墙主要产品与技术指标
3.1 防火墙主要产品
产品形态:硬件实体模式和软件模式
商业产品:主要形态为物理硬件实体,安全功能软件集成到硬件实体中
开源防火墙产品:主要以软件模式存在
防火墙的主要产品类型
1. 网络防灭墙
产品特点:部署在不同安全域之间,解析和过滤经过防火墙的数据流,具备网络层访问控制及过滤功能的网络安全产品
2. Web应用防火墙
产品特点:根据预先定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器响应进行HTTP协议和内容过滤,并对Web服务器和Web应用提供安全防护的网络安全产品
3. 数据库防火墙
产品特点:基于数据库协议分析与控制技术,可实现对数据库的访问行为控制和危险操作阻断的网络安全产品
4. 主机防火墙
产品特点:部署在终端计算机上,监测和控制网络级数据流和应用程序访问的网络安全产品
5. 工控防火墙
产品特点:部署在工业控制环境,基于工控协议深度分析与控制技术,对工业控制系统、设备以及控制域之间的边界进行保护,并满足特定工业环境和功能要求的网络安全产品
6. 下一代防火墙
产品特点:部署在不同安全域之间,解析和过滤经过防火墙的数据流,集成应用识别和管控、恶意代码防护、入侵防护、事件关联等多种安全功能,同时具备网络层和应用层访问控制及过滤功能的网络安全产品
7. 家庭防火墙
产品特点:防火墙功能模块集成在智能路由器中,具有IP地址控制、MAC地址限制、不良信息过滤控制、防止蹭网、智能家居保护等功能的网络安全产品
3.2 防火墙主要技术指标
防火墙评价指标
可分成四类
- 即安全功能要求
- 性能要求
- 安全保障要求
- 环境适应性要求
不同类型防火墙的安全功能要求、性能要求、环境适应性要求有所差异,安全保障要求基本相同
1. 防火墙安全功能指标
| 功能指标项 | 功能描述 |
| 网络接口 | 是指防火墙所能够保护的网络类型,如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等 |
| 协议支持 | 除支持IP协议之外,还支持AppleTalk、DECnet、IPX及NETBEUI等协议,建立VPN通道的协议, IPSec、 PPTP、专用协议等,数据协议分析类型、工控协议分析类型、应用协议识别类型, IPv6 协议支持 |
| 路由支持 | 静态路由、策略路由、动态路由 |
| 设备虚拟化 | 虚拟系统、虛拟化部署 |
| 加密支持 | 是指防火墙所能够支持的加密算法,例如DES、RC4、IDEA、AES以及国产加密算法 |
| 认证支持 | 是指防火墙所能够支持的认证类型,如RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等 |
| 访问控制 | 包过滤、NAT、状态检测、动态开放端口、IP/MAC地址绑定 |
| 流量管理 | 带宽管理、连接数控制、会话管理 |
| 应用层控制 | 用户管控、应用类型控制、应用内容控制、负载均衡 |
| 攻击防护 | 拒绝服务攻击防护、Web攻击防护、数据库攻击防护、恶意代码防护、其他应用攻击防护、自动化工具威胁防护、攻击逃逸防护、外部系统协同防护 |
| 管理功能 | 是指防火墙所能够支持的管理方式,如基于SNMP管理、管理的通信协议、带宽管理、负载均衡管理、失效管理、用户权限管理、远程管理和本地管理等 |
| 审计和报表 | 是指防火墙所能够支持的审计方式和分析处理审计数据的表达形式,如远程审计、本地审计等 |
2. 防火墙性能指标
- 最大吞吐量:检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率,如网络层吞吐量、HTTP吞吐量、SQL吞吐量
- 最大连接速率: TCP新建连接速率、HTTP请求速率、SQL请求速率
- 最大规则数:检查在添加大数量访问规则的情况下,防火墙性能变化状况
- 并发连接数:防火墙在单位时间内所能建立的最大TCP连接数,每秒的连接数
3. 防火墙安全保障指标
用于测评防火墙的安全保障程度
主要包括:开发、指导性文档、生命周期支持、测试、脆弱性评定
4. 环境适应性指标
用于评估防火墙的部署和正常运行所需要的条件
主要包括
- 网络环境:通常指IPv4/IPv6网络、云计算环境、工控网络等
- 物理环境:通常包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等
5. 防火墙自身安全指标
评价指标主要有:身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等
四、防火墙防御体系结构类型
4.1 基于双宿主主机防火墙结构
是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都将一个内部网络和外部网络分别连接在不同的网卡上,使内外网不能直接通信
对从一块网卡上送来的IP包,经过一个安全检查模块检查后,若:
- 合法:则转发到另一块网卡上, 以实现网络的正常通信
- 不合法:则阻止通信
这样,内、外网络直接的IP数据流完全在双宿主主机的控制之中,如图所示:
4.2 基于代理型防火墙结构
由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构,如图所示:
在这种结构中,代理主机位于内部网络
过滤路由器配置规则
- 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接
- 任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接
- 任何外部系统对内部网络的操作都必须经过代理主机,且代理主机本身要有较全面的安全保护
代理型结构优点:比双宿主主机结构提供更好的安全保护,同时操作也更加简便
代理型结构缺点:只要攻击者设法攻破了代理主机,那整个内部网络与代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息
4.3 基于屏蔽子网的防火墙结构
是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带
周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力,攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。其特点如下:
- 应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络
- 两个包过滤路由器的功能和配置是不同的,所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证
- 包过滤路由器A的作用:是过滤外部网络对被屏蔽子网的访问
- 包过滤路由器B的作用:是过滤被屏蔽子网对内部网络的访问
- 优点:安全级别最高
- 缺点:成本高,配置复杂
五、防火墙技术应用
5.1 防火墙应用场景类型
常见应用场景
1. 上网保护
利用防火墙的访问控制及内容过滤功能,保护内网和上网计算机安全,防止互联网黑客直接攻击内部网络,过滤恶意网络流量,切断不良信息访问
2. 网站保护
通过Web应用防火墙代理互联网客户端对Web服务器的所有请求,清洗异常流量,有效控制政务网站应用的各类安全威胁
3. 数据保护
在受保护的数据区域边界处部署防火墙,对数据库服务器或数据存储设备的所有请求和响应进行安全检查,过滤恶意操作,防止数据受到威胁
4. 网络边界保护
在安全域之间部署防火墙,利用防火墙进行访问控制,限制不同安全域之间的网络通信,减少安全域风险来源
5. 终端保护
在终端设备上安装防火墙,利用防火墙阻断不良网址,防止终端设备受到侵害
6. 网络安全应急响应
利用防火墙,对恶意攻击源及网络通信进行阻断,过滤恶意流量,防止网络安全事件影响扩大
5.2 防火墙部署基本方法
防火墙部署需根据受保护的网络环境和安全策略进行,如网络物理结构或逻辑区域
防火墙部署的基本过程
- 第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域
- 第二步,在安全区域之间设置针对网络通信的访问控制点
- 第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略
- 第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
- 第五步,在防火墙上,配置实现对应的网络安全策略
- 第六步,测试验证边界安全策略是否正常执行
- 第七步,运行和维护防火墙
5.3 IPtables 防火墙应用参考
IPtables :是 Linux 系统自带的防火墙,支持数据包过滤、数据包转发、地址转换、基于 MAC 地址的过滤、基于状态的过滤、包速率限制等安全功能。 IPtables 可用于构建 Linux 主机防火墙, 也可以用于搭建网络防火墙
5.4 Web 应用防火墙应用参考
Web应用防火墙主要依赖于安全规则,因而规则的维护更新是防火墙有效的基础
OWASP核心规则集(OWASP ModSecurity Core Rule Set):是一组用于Web应用防火墙的通用攻击检测规则
核心规则集(CRS)的目的:是保护Web应用程序的安全,使其免受各种攻击,包括OWASPTOP10攻击,同时使得Web防火墙减少虛假报警
5.5 包过滤防火墙应用参考
已知某公司内部网与外部网通过路由器互连,内部网络采用路由器自带的过滤功能来实现网络安全访问控制,如图所示:
为了保证内部网络和路由器的安全,特定义如下网络安全策略:
- 只允许指定的主机收集SNMP管理信息
- 禁止来自外部网的非法通信流通过
- 禁止来自内部网的非法通信流通过
- 只允许指定的主机远程访问路由器
5.6 工控防火墙应用参考
在调度中心和各场站之间部署工业防火墙,进行网络层级间的安全隔离和防护,提高门站、储配站、输配站等各站的安全防护能力。将每个场站作为一个安全域,在各场站PLC/RTU等工业控制设备的网络出口位置部署工业防火墙,对外来访问进行严格控制,以实现重要工业控制装置的单体设备级安全防护
友情链接:http://xqnav.top/