1.防火墙介绍
1.防火墙概述
防火墙是一个位于内部与外部网路之间的安全系统,是按照一定安全策略建立起来的硬件或软件系,用于流量控制的系统(隔离),保护内部网络资源免受威胁(保护)。主要用于防黑客攻击。
2.安全区域和接口
防火墙每个接口属于一个安全区域,每个区域具有唯一的名称。
防火墙区域比较
| 比较项目 | 思科防火墙 | 华为防火墙 |
|---|---|---|
| 区域定义方式 | 通过安全级别隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置 ACL)2 | 显式定义安全区域并绑定接口2 |
| 默认区域名称 | 常见有 inside、outside、dmz,还有用于自身访问的类似区域(未明确统一固定名称) | 默认有 trust(信任区域)、untrust(非信任区域)、DMZ(非军事化区域)、Local(访问防火墙自身接口所属区域)3 |
| 安全级别特点 | 两个安全区域可以有相同的安全级别 | 一个接口只能在一个安全区域内,一个安全区域可以有多个接口;默认四个区域安全级别固定且不能更改,范围是 1-100(100 不能用),不同安全区域不能有相同安全级别3 |
3.默认安全规则
根据访问控制规则决定网络进出行为。
访问控制规则存在的形式有:访问控制列表ACL和安全级别(0-100)。
4.防火墙工作层次
防火墙系统能工作在OSI7层模型的“2、3、4、5、7”5个层次上,不同类型的防火墙工作层次不同,能从越多的层次处理信息,过滤处理中的粒度就更细。
2.防火墙分类
1.简单包过滤防火墙技术
1.1概述
类似交换机、路由器的ACL。
工作层面:3、4。
1.2实现原理
检查IP、TCP、UDP信息。
1.3优点
速度快、性能高,可以用硬件实现原理;
检查IP、TCP、UDP信息。
1.4缺点
不能根据状态信息进行控制;
前后报文无关;
不能处理网络层以上的信息;
ACL过多时配置复杂,不支持连接认证,只对某些类型的攻击敏感。
2.状态检测防火墙
2.1概述
根据通信和应用程序状态确定是否允许包的通行;
用于识别或控制数据流是返回的数据流还是首发的数据流;
在数据包进入防火墙时就根据状态表进行识别和判断,无需重复查找规则;
与过滤防火墙不同,状态防火墙始终保持连接状态的跟踪;连接是否处于初始化、数据传输、终止状态;通过查看TCP头中的SYN、RST、ACK、FIN和其他控制代码来确定连接的状态;维持一张连接状态表;数据通过时查找这张表;
工作层面:3、4、5。
2.2额外概念
2.2.1流(Flow)
是一个单向的概念,根据报文所携带的三元组(本地IP、本地端口、协议号)或五元组(源IP、目的IP、源端口、目的端口、协议号)唯一标识,,且都是流。
根据IP层协议的不同,流分为四大类:
TCP流:五元组唯一标识;
UDP流:五元组唯一标识;
ICMP流:三元组+ICMP type+ICMP code唯一标识;
RAW IP流:不属于以上协议的,通过三元组标识。
2.2.2会话(session)
是一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方(Initiator),另一个为会话响应方(Responder)。通过会话所属的任一方向的流特征都可以确定该会话以及方向。
2.2.3会话表
状态防火墙采用会话表维持通信状态。
会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙还有一个VPN-ID)。
2.3状态检测
2.3.1原理流程图
数据流
状态表
转发规则
规则表
2.4优点
知晓连接状态,更加安全。
2.5缺点
不能检测应用层协议内容,如URL过滤;
不能阻止应用层攻击,不能连接认证;
不是所有协议都有状态:UDP、ICMP;
不能支持多连接或多通道链接如FTP等。
3.应用网关防火墙
3.1概述
通常称为代理防火墙,一般使用软件来实现。
首先截取用户初始化连接请求并发送用户一个认证信息的请求;
认证通过后允许流量通过;
存储合法用户信息xauth表(xauth表的主要功能是提供安全的X连接认证);
可以对应用协议以及数据进行分析检测。
工作层面:3、4、5、7。
3.2优点
可以支持连接身份认证,能检测应用层数据,如:上网认证,URL过滤,关键字等行为管理。
3.3缺点
用软件来处理,消耗系统资源;
仅支持TCP应用(如HTTP、telnet、https、ftp);
可能需要额外的客户端软件 。
3.防火墙有哪些技术类型?
4、什么是代理服务器?
代理服务器是应用网关防火墙的一种。假设客户端和 HTTP 服务器通信时, 客户端发送请求报文时,代理服务器会替代客户端向 HTTP 服务器发送请求;HTTP 服务器回复响应报文时,代理服务器会代替 HTTP 服务器向客户端回复。对于客户端来说,代理服务器就是 HTTP 服务器。客户端和代理服务器、代理服务器和 HTTP 服务器分别建立两个会话。
从客户端收到的请求报文、从服务器收到响应报文,代理服务器都会在应用层进行检查,如果有异常就放弃通信或发送出错信息。
由于代理服务器是会话的起点,对互联网的服务器来说,是看不到客户端的 IP 地址。
报文过滤防火墙是以 IP 或 TCP/UDP 为对象,判断是否允许通信。而应用网关防火墙是以应用程序为对象,也就是将 FTP 、HTTP 、Telnet 、DNS 等为对象进行判断。
5、防火墙有哪些接口模式?
防火墙有四种接口模式,分别是 L3 模式、L2 模式、L1 模式和 TAP 模式。
L1 ~ L3 模式是将防火墙进行串连,TAP 模式是防火墙进行旁挂。
6、防火墙能防范哪些威胁?
防火墙能够防范的威胁如下:
窃听:通过窃听网络数据获取银行卡号、密码等重要信息
篡改:将网站主页、邮件等通信内容恶意修改
破坏:通过电脑病毒或DoS攻击等破坏系统的正常工作
冒充:冒充他人发送邮件,对接收方进行钓鱼、诈骗等行为
信息泄露:电脑或服务器上的重要信息或文档泄露
攻击跳板:作为病毒部署或DoS攻击的跳板
垃圾邮件:以营利为目的发送大量邮件
7、有哪些人会威胁安全?
黑客( hacker ):是指精通计算机技术的人,并非特指网络攻击者。
破解者( cracker ):对网络进行非法访问、窃听信息、篡改等行为的人。
攻击者( attacker ):使用 DoS 等攻击系统,以造成系统宕机为目的的人。
妨碍者:发送大量垃圾邮件、在论坛粘贴大量广告、发布大量无意义信息的人。
普通用户:尽管不会主动攻击,但在病毒、蠕虫等感染电脑后,成为威胁网络安全的对象。
僵尸( bot ):作为攻击跳板的终端,被植入具有攻击程序的病毒,遭受感染的终端叫做僵尸,由大量僵尸程序组成的网络叫做僵尸网络。
8、防火墙有哪些功能?
防火墙常见的功能有:会话管理、报文结构解析、安全区域、安全策略、NAT 、VPN 、DoS 防御、报文攻击防御、内容扫描、监控和报告、报文抓包。
9、什么是会话?
会话是两个终端系统之间的逻辑连接,从开始到结束的通信过程。
在 TCP 中,客户端和服务器通信,使用 3 次握手建立 1 个 TCP 连接,客户端发送请求( request ),服务器进行回应( response ),直至结束的过程就是进行了 1 个会话通信。
在 UDP 中,客户端和服务器的源端口和目的端口一致,之后的一系列通信都叫做会话。
在 ICMP 中,Echo request 和对应的 Echo reply 组成 1 个会话。
数据流是一组有序,有起点和终点的数据序列。一个会话有两个数据流( flow ):一个是 “ 客户端到服务器 ”( client to server ),另一个是 “ 服务器到客户端 ”( server to client )。
10、什么是 TCP 连接管理?
在数据通信前,客户端发送一个 SYN 包作为建立连接的请求。如果服务器发来回应,则认为可以开始数据通信。如果未收到服务器的回应,就不会进行数据通信。在通信结束时,会使用 FIN 包进行断开连接的处理。
SYN 包和 FIN 包是通过 TCP 头部的控制字段来管理 TCP 连接。一个连接的建立与断开,正常过程至少需要来回发送 7 个包才能完成。建立一个 TCP 连接需要发送 3 个包,这个过程叫作三次握手。断开一个 TCP 连接需要发送 4 个包,这个过程也称作四次挥手。创建一个 TCP 连接,会产生一个 32 位随机序列号,因为每一个新的连接使用一个新的随机序列号。
SYN 检查
TCP 会话开始时,客户端会发送一个 SYN 消息。如果没有会话信息,或尚未建立会话,即非 SYN 消息的 TCP 数据段到达防火墙,防火墙会当做非法消息而丢弃。
ACK 检查
通过对 SYN-ACK 的 ACK 消息检查,确认进行中的 3 次握手是否是非法尝试,防范 SYN Flood 攻击。
重复数据段检查
防火墙收到重复数据段,也就是序列号相同的 TCP 数据段,可以选择接收或者丢弃。
窗口检查
防火墙可以检测 TCP 头部的序列号和滑动窗口大小,拦截超过滑动窗口容量数据的序列号。
数据段重组
防火墙可以验证 TCP 数据段序列号是否完整。
11、防火墙如何建立会话?
a.防火墙收到报文后,首先检查会话表,确认是否有相同的会话。如果有相同会话,那么会禁止会话建立,确保会话都是唯一的。
b.如果是不同会话,那么检查报文,通常是查看路由表或 MAC 地址表来确定转发路径。如果可以转发,就确定对应的转发出接口和目的网段。如果不能转发,就丢弃这个数据。
c.报文检查目的地址是否需要进行 NAT 。如果需要,就先完成 NAT ,然后转发到相应出接口和目的网段。
d.对报文和目的信息进行安全策略检查,源信息是源接口、源区域和源地址,目的信息是目的接口、目的区域和目的地址。如果有匹配的安全策略,就根据策略进行处理,允许通信就进行转发,拒绝通信就进行丢弃。如果没有匹配的安全策略,就根据默认拒绝的策略丢弃数据。
e.当报文被允许通信时,防火墙的会话表中就会生成相应的会话信息。
12、什么是会话生存时间?
自动生成的会话表信息,是有一定的生存时间。会话建立后,一段时间内一直没有进行通信,防火墙会删除生存时间到期的会话表项。如果长期保留会话表项,这些会话信息可能会被恶意攻击。同时,会话表是会占用防火墙资源,防火墙的会话表项的数量也是有限的,长期保留闲置的会话,会影响新会话的生成。
会话时间可以根据协议的不同,分别进行设置。
13、会话如何正常终止?
客户端完成数据传输后,发送 FIN 消息,即使用 FIN 标志位的 TCP 数据段。
服务器收到 FIN 消息后,在回复消息中,使用 FIN 和 ACK 标志位,并将 ACK 编号设置为“接收的 Seq 编号 + 1 ” 。
客户端相同处理方式,在回复消息中,使用 ACK 标志位,并将 ACK 编号设置为“接收的 Seq 编号 + 1 ” 。
如果客户端或服务器在连接过程发生故障,只有一方是侦听状态,这叫做半侦听或半关闭。如果通信恢复,接收到故障前的数据段,那么会回复 RST 消息,强制终止 TCP 连接。
当防火墙收到 FIN 或 RST 消息时,会启动一个 30 秒的定时器。即使 FIN → FIN-ACK → ACK 的终止过程没完成,防火墙也会强制删除会话表项。
14、什么是 UDP 数据流?
UDP 不需要像 TCP 一样 3 次握手,客户端和服务器直接使用应用程序的 UDP 数据进行交互。
UDP 数据流是指源 IP 地址、源端口号、目的 IP 地址和目的端口号这 4 个参数都相同的一系列 UDP 数据。
DNS 和 SNMP 这类应用程序,只需要 1 个 UDP 数据,就能构成 1 个数据流。
音频和视频使用的 RTP ,就需要多个 UDP 数据,来构成 1 个数据流。
15、没有端口号的协议如何生成会话?
像 ICMP 这类没有端口号的协议,是直接根据 IP 头部的协议号来生成会话。
防火墙通过识别 ICMP 不同的请求消息和对应的响应消息,来判断这些消息序列是否属于同一个会话。
16、两台防火墙,如何管理会话?
通常两台防火墙会使用主备方式的冗余结构,对主防火墙和备防火墙的会话信息进行同步。主防火墙负责建立用户通信的会话,并把会话信息记录到会话表中,同时将信息转发到备防火墙。
17、会话管理有什么防御功能?
防火墙可以通过限制会话数量,能够防范 DoS 攻击,还能控制防火墙的负载,提高防火墙的性能。
防火墙可以以 TCP SYN 、UDP 、ICMP 等协议为单位,通过指定源与目的的组合方式,来限制这类会话的数目。
3.下一代防火墙
1.传统安全产品(包括以上介绍的防火墙)形态不足
串“糖葫芦”式建设
成本高:环境、空间、重复采购;
管理难:多设备,多厂商,安全风险无法分析;
效率低:重复解析,单点故障。
2.UTM
UTM将以上功能结合在一台设备中,仍是传统形态,主要作为预算不足却需要全功能的替代产品。
多次拆包,多次检测,性能低。
3.下一代防火墙
3.1概述
安全可视
具有深度内容检测DPI(Deep Packet Inspection),是一种网络数据包分析技术,能够对传输层及以上的数据内容(过去是无法查看的)进行实时解析和识别。但这涉及用户数据隐私问题。
持续监测
下一代具有传统防火墙的所有功能,还集成传统安全设备例如IPS、AV、WAF的功能,但这些方面可能不如专攻各自功能的单品。
相较于UTM,功能更为强大;只需一次拆包,并行处理(将数据复制后分别交给各部分处理),速度更快。
能结合云服务、AI智能服务分析,更聪明、先进。
工作层次:完整的2-7层。
3.2部署模式
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。
NGAF的部署模式是由各个接口的属性决定的,对接口进行功能的配置实现不同模式。
3.2.1路由模式
三层安全区域与三层接口映射;
目的路由选择;
策略路由选择;
NAT。
3.2.2透明模式
二层安全区域与二层接口映射;
数据转发安全策略制定;
透明桥接入网络。
接口不需IP,可配置管理IP;
依据mac表转发数据;
优点:加入防火墙,可以不改变原网络IP规划;
可以不改变原路由邻居关系;
可以转发非IP数据和广播/组播。
3.2.3混合模式
同时执行路由模式和透明模式;
比如外网与dmz服务器区之间防火墙执行透明模式,外网与内网之间执行路由模式。
扫一扫
1328
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
