防火牆

 

一、什么是防火牆

 

    一種高級訪問控制設備，置於不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。

 

 

二、防火牆的作用

• 過濾進出網絡的數據包
• 管理進出網絡的訪問行為
• 封堵某些禁止的訪問行為
• 記錄通過防火牆的信息內容和活動
• 對網絡攻擊進行檢測和告警
• 能過濾大部分的危險端口
• 設置嚴格的外向內的狀態過濾規則
• 抵擋大部分的拒絕服務攻擊

 

 

三、防火牆與OSI

• 基本防火牆：網絡層、傳輸層
• 高級防火牆：數據鏈路層、會話層、應用層

 

 

四、防火牆歷史

 

1、包過濾防火牆

    也叫分組過濾防火牆。根據分組包的源、目的地址，端口號及協議類型、標志位確定是否允許分組包通過。

 

   【優點】
    ●  高效、透明

   【缺點】
    ● 不能防范部分的黑客IP欺騙類攻擊
    ● 不能跟蹤TCP連接的狀態
    ● 不支持應用層協議
    ● 對管理員要求高

 

    【判斷依據】

    ● 數據包協議類型：TCP、UDP、ICMP、IGMP等
    ● 源、目的IP地址
    ● 源、目的端口：FTP、HTTP、DNS等
    ● IP選項：源路由選項等
    ● TCP選項：SYN、ACK、FIN、RST等
    ● 其它協議選項：ICMP ECHO、ICMP ECHO REPLY等
    ● 數據包流向：in或out
    ● 數據包流經網絡接口：eth0、eth1

 

     包過濾防火牆應用實例：

   

 

2、應用網關防火牆

    也叫應用代理防火牆。每個代理需要一個不同的應用進程，或一個后台運行的服務程序；對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。

 

   【優點】
    ● 安全性高

    ● 提供應用層的安全

    ● 可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力比較強

   【缺點】
    ● 性能差
    ● 伸縮性差
    ● 只支持有限的應用
    ● 不透明

    ● 難於配置
    ● 處理速度較慢

     

 

  

 

      一個Telnet代理的例子：

   

 

3、狀態檢測防火牆

    又稱動態包過濾防火牆。對於新建立的應用連接，狀態檢測型防火牆先檢查預先設置的安全規則，允許符合規則的連接通過；記錄下該連接的相關信息，生成狀態表；對該連接的后續數據包，只要是符合狀態表，就可以通過。目前的狀態檢測技術僅可用於TCP/IP網絡。

  

 

    狀態檢測防火牆處理示意圖：

   

   【優點】
    ● 連接狀態可以簡化規則的設置
    ● 提供了完整的對傳輸層的控制能力
    ● 使防火牆性能得到較大的提高，特別是大流量的處理能力
    ● 根據從所有層中提取的與狀態相關信息來做出安全決策，使得安全性也得到進一步的提高

   【缺點】
    ● 對應用層檢測不夠深入

 

4、傳統火牆的弱點

   

    傳統的包過濾和狀態檢測防火牆弱點如下：
    ● 沒有深度包檢測來發現惡意代碼
    ● 不進行包重組
    ● 惡意程序可以通過信任端口建立隧道穿過去
    ● 傳統的部署方法僅僅是網絡邊緣，不能防御內部攻擊分組過

 

5、深度檢測防火牆

    ● 深度檢測技術深入檢查通過防火牆的每個數據包及其應用載荷
    ● 以基於指紋匹配、啟發式技術、異常檢測以及統計學分析等技術的規則集，決定如何處理數據包
    ● 可以更有效的辨識和防護緩沖區溢出攻擊、拒絕服務攻擊、各種欺騙性技術以及蠕蟲病毒

  

 

6、復合型防火牆

 

 

 

五、防火牆的分類

 

    按照操作對象
    ● 主機防火牆
    ● 網絡防火牆

 

    按照實現方式
    ● 軟件防火牆
    ● 硬件防火牆

 

    按照過濾和檢測方式
    ● 包過濾防火牆
    ● 狀態防火牆
    ● 應用網關防火牆
    ● 地址轉換防火牆
    ● 透明防火牆
    ● 混合防火牆

 

 

六、防火牆的安全規則配置

    ● 防火牆安全規則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進行匹配
    ● 如果所有的規則都沒有匹配到，數據包將被丟棄
    ● 安全過濾規則主要包含源、目的地址和端口，TCP標志位，應用時間以及一些高級過濾選項

 

 

七、防火牆的5大性能指標

 

    ● 吞吐量：在不丟包的情況下單位時間內通過的數據包數量

    1、定義：在不丟包的情況下能夠達到的最大每秒包轉發數量
    2、衡量標准：吞吐量作為衡量防火牆性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸，以至影響到整個網絡的性能

  

    ● 時延：數據包最后一個比特進入防火牆到第一比特從防火牆輸出的時間間隔

    1、定義：入口處輸入幀的最后1個比特到達，至出口處輸出幀的第一個比特輸出所用的時間間隔
    2、衡量標准：防火牆的時延能夠體現它處理數據的速度

   

    ● 丟包率：通過防火牆傳送時所丟失數據包數量占所發送數據包的比率

    1、定義：在連續負載的情況下，防火牆設備由於資源不足應轉發但卻未轉發的幀百分比
    2、衡量標准：防火牆的丟包率對其穩定性、可靠性有很大的影響

   

    ● 並發連接數：防火牆能夠同時處理的點對點連接的最大數目

    1、定義：指穿越防火牆的主機之間,或主機與防火牆之間，能同時建立的最大連接數。
    2、衡量標准：並發連接數的測試主要用來測試防火牆建立和維持TCP連接的性能，同時也能通過並發連接數的大小體現防火牆對來自於客戶端的TCP連接請求的響應能力

   

    ● 新建連接數：在不丟包的情況下每秒可以建立的最大連接數

    1、定義：指穿越防火牆的主機之間，或主機與防火牆之間，單位時間內建立的最大連接數。
    2、衡量標准：新建連接數主要用來衡量防火牆單位時間內建立和維持TCP連接的能力

   

 

 

八、防火牆區域

 

    防火牆拓撲位置
    ● 專用（內部）和公共（外部）網絡之間
    ● 網絡的出口和入口處
    ● 專用網絡內部：關鍵的網段，如數據中心

 

    防火牆區域
    ● Trust（內部）
    ● Untrust（外部，Internet）
    ● DMZ（Demilitarized Zone，非武裝軍事區）

 

 

九、防火牆的應用

 

    【標准應用】

    1、透明模式/橋模式

    ● 一般用於用戶網絡已經建設完畢，網絡功能基本已經實現的情況下
    ● 加裝防火牆以實現安全區域隔離的要求
    一般將網絡分為內部網、DMZ區和外部網

   

 

    2、路由/NAT模式

    ● 一般用於防火牆需要提供路由和NAT功能以便連接上網的情況下
    ● 同時提供安全過濾功能
    一般將網絡分為內部網、DMZ區和外部網

   

 

    3、混合模式

    實際應用中，一般網絡情況為透明模式和路由模式的混合

   

 

 

    【高級應用】

    1、雙機熱備

   

 

    2、多VLAN支持

     

 

 

    3、動態路由協議

   

 

    4、VPN

   

 

 

 

十、防火牆的局限性

    ● 不能防范不經過防火牆的攻擊
    ● 對新出現的漏洞和攻擊方式不能迅速提供有效的防御方法
    ● 緊急情況下無法做到迅速響應
    ● 無法防止內部的攻擊
    ● 不能關閉需提供對外服務的端口
    ● 無法防止利用TCP/IP等協議漏洞的攻擊
    ● 不能防止受病毒感染文件的傳輸
    ● 防火牆自身也可能存在安全漏洞

 

 

十一、統一威脅管理UTM

 

    什么是UTM?

    ● 指由硬件、軟件和網絡技術組成的具有專門用途的設備
    ● 主要提供一項或多項安全功能，將多種安全特性集成於一個硬設備里，構成一個標准的統一管理平台

 

    功能模塊

    防火牆、IPS、防病毒網關、VPN網關、內容過濾、抗拒絕服務攻擊（Anti-DoS）、內容過濾、反垃圾郵件等

 

    啟明星辰天清漢馬USG一體化安全網關：

  

 

十二、產品介紹－天清漢馬防火牆的功能特點

1、完善的防火牆特性
    ● 支持基於源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制
    ● 支持流量管理、連接數控制、IP+MAC綁定、用戶認證等

2、多樣化的應用過濾
    ● 基於屏蔽列表、免屏蔽列表、關鍵字技術的Web過濾功能，同時提供Java Applet、Cookie、Script和Object的內容過濾功能
    ● 基於黑名單、白名單、郵件主題、附件名稱、郵件大小和SMTP命令的郵件過濾功能

3、安全豐富的VPN使組網變得簡單
    ● 多VPN支持：GRE、IPSec、L2TP、SSL VPN
    ● 豐富的應用：專用的VPN客戶端、USBKEY、動態口令卡、圖形認證碼
    ● 靈活的部署：Hub-Spoken、Full-Mesh、DVPN/網關—網關的SSL VPN

4、完善的P2P、IM、流媒體、網絡游戲和股票軟件控制能力
    ● P2P控制：對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速
    ● IM控制：基於黑白名單的IM登錄控制、文件傳輸阻止；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype
    ● 流媒體控制：對流媒體應用進行阻斷或限速，支持Kamun ppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸點網絡電視、貓撲播霸等
    ● 網絡游戲控制：對常見網絡游戲如魔獸世界、征途、QQ游戲大廳、聯眾游戲大廳等的阻斷
    ● 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷

5、強大的日志報表功能
    ● 記錄內容豐富：可對防火牆日志、帶寬使用日志、Wwb訪問日志、Mail發送日志、關鍵資產訪問日志、用戶登錄日志等進行記錄
    ● 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內容關鍵字等進行查詢
    ● 報表貼近需求：根據用戶具體需求，定制報表內容、定制報表名稱、定制企業LOGO，並可形成多種格式的報表文件

6、方便的集中管理功能
    ● 通過集中管理與數據分析中心實現對多台設備的統一管理、實時監控、集中升級和拓撲展示

7、可軟件升級支持UTM
    ● 采用高性能的硬件配置，具備向UTM升級的硬件基礎設施保證
    ● 經授權后可軟件升級，設備無需下線、無需返廠直接升級為UTM
    ● 升級后具備完整UTM功能，相關功能特征庫授權后可實時在線更新

 

十三、NAT、路由、訪問策略

在NAT中，假如最大端口數不是65535，而是2，下圖中的問號“？”應該是多少呢？

 

由於“內網源地址+內網源端口”條目（此處稱內網條目）肯定是唯一的，此時NAT端口無論填寫1還是2，數據包在返回到本設備時，都無法找到對應的內網條目。怎么辦？

我們把內網條目看成一條信息，稱為源信息，由於內網條目都是唯一的，可以說源信息的信息量是很大的，把“NAT地址+NAT端口”看成目的信息，可以看出目的信息的信息量很小。源信息（此處稱為信息A）在轉換成目的信息（此處稱為信息B）后，由於信息量不對等，會出現信息丟失，所以信息B就轉換不回信息A了。

       

 

為了解決這個問題，可以增加B信息的信息量，即加一個因素，只要因素本身的信息量大，無疑就會加大信息A轉換回信息B的可能性了；如果不行，信息B中可以再增加一個信息因素，這樣就使得B信息的信息量增加，與信息A的信息量越來越接近，提高信息B轉換回信息A的可行性。

 

這里我們將利用數據包中的目的地址這個信息因子，B信息將變成“NAT地址+NAT端口+目的地址”，如下圖所示：

 

本例中，內網地址在做映射的時候，NAT端口號究竟填1還是2才能使數據包在回來時找到相應的內網條目呢？

為了使信息量盡可能對等，需要研究各信息因素的特點和規律，以及各因素組合后的規律。

具體請參考《華為防火牆NAT地址復用技術》

 

地址的雙向轉換情況（天融信：內網通過公網訪問內網服務器時）

 

 

十四、登錄防火牆

可以從防火牆的指定區域或接口，通過某種登錄工具和接口地址來訪問防火牆。如下圖所示：

某個配置實例界面如下：

TOPSEC防火牆：

天清漢馬防火牆：