以下部分內容轉自:http://www.excelib.com/article/286/show/
要想真正用活防火牆,首先需要弄明白防火牆到底是什么、起什么作用,只有這樣才能用的得心應手,不過由於歷史原因,現在普遍對防火牆概念的理解有一定的誤區,這就影響了對防火牆的靈活使用,所以在正式學習firewalld之前學生先給大家介紹一下防火牆的本質到底是什么。
“防火牆”到底是什么
“防火牆”在我國最早是一種建築,他又叫“封火牆”,其主要作用就是防火,因為那時候的建築都是以木質結構為主,而且又非常密集,所以一個住宅着火就很容易傳播到鄰近的住宅,最初的防火牆就是在這種木質結構上塗上灰泥從而達到將火源隔斷的目的。
網絡中的防火牆來源於英文單詞“firewall”的翻譯,有時候也叫“網絡防火牆”,不過這個詞使用的並不是非常准確,這也就導致了對防火牆的普遍誤解。
一想到防火牆大家的第一印象大概就是“隔離”,而且很多防火牆的資料也是這么介紹的,比如“將內網和外網進行隔離”、“將本地電腦和外部網絡隔離”等等, 而且有時候還會配一張示意圖,圖中的防火牆就是一堵牆。以前學生在剛接觸防火牆的時候心里就產生了一些疑問:既然防火牆已經將網絡給隔斷了,那么正常的通信是怎么進行的呢?是可以穿牆而過還是需要從其他通道進入呢?而且,當時學生甚至認為防火牆是用來防病毒的!
其實這一切的根源都來自對“防火牆”這個詞本身的理解,實際上“網絡防火牆”所起的並不是牆的作用,而是門衛的作用,如果按門衛去理解很多問題就迎刃而解了。
牆和門衛有哪些區別呢?這個問題雖然看起來有些可笑,不過對於理解網絡防火牆還是有好處的。首先,牆所起的作用是隔斷,無論誰都過不去,但是門衛就不一樣 了,他的職能是檢查和判斷是否可以通過,只要符合條件就可以通過;其次,牆是死的,而門衛是活的,所以門衛還可以完成很多更加靈活的功能,比如有人要到A部門辦事,但A部門搬到新的辦公地址去了,這時門衛就可以告訴來人“你要去的部門換地方了,你到XXX去吧”,再比如有的人並不是要進去辦事,只是想從里邊穿過去抄近道,這種情況門 衛也能處理,但是牆是無論如何都辦不到的。
理解防火牆本質的好處
可能有的讀者會想:你這是在咬文嚼字,不就是個名詞嗎,理解不理解又有什么關系呢?會用不就行了?而且這么多年大家用的不也挺好的嘛!
其實並不是這樣,我們以前如果要使用一個防火牆一般都是先看他都具有哪些功能,其中我們能用到哪些,怎么去用,然后再去找文檔、找例子。。。。。。這其實是一 種被動的用法,因為這里我們其實是將防火牆當做一個新事物來學習和使用的(雖然我們一般剛開始都會將其理解為牆,但是慢慢會發現他跟牆的模型並不相符,所以就會將其當做一個新的事物來學習),但是理解了防火牆的本質就是門衛之后就不一樣了,這時我們在使用防火牆的時候首先就要想:我要給我的服務器(或者自 己的PC)找個門衛,這個門衛需要做什么,然后再去找防火牆、查具體某功能的配置方法等等,這樣就主動了。
不僅如此,在理解了其本質之后還有更大的好處,比如你想好了想找的“門衛”都需要有哪些功能之后又去找防火牆,然而卻發現沒有一款防火牆可以滿足你的需求,這時候創新的機會就來了!也就是說通過防火牆和門衛功能的類別更容易設計出更加合理和易用的防火牆。我們來看個例子,比如一個門衛應該可以有按時間段放行的功能,但是現有防火牆卻很少有這個功能,其實這個功能很多地方都是可以用得到的,比如每天要定時遠程備份一下日志,那么只要在每天在特定的時間段開放端口就行了,而不需要一直開着,當然這種需求可以通過定時任務很容易地解決,不過只要從“門衛”的角度去思考,這樣的需求還有很多。
真正好的創意其實是建立在扎實的基本功和對事物本質的深層次理解上的,而不是為了創新而創新出來的。
防火牆與殺毒軟件
對於不了解防火牆的用戶來說很多時候都分不清防火牆和殺毒軟件之間的關系,而且往往會認為防火牆就是用來防病毒的,其實這是對防火牆非常大的誤解,這也許跟大家心目中防火牆的“牆”、“保護”、“安全”等特征有關系,但是防火牆其實並不能防病毒。
我們上面說了,防火牆所起的是門衛的作用,不過這個門衛的邏輯非常簡單,他主要關心的只有兩樣東西:1、從哪來的2、到哪里去,別的東西他一概不管(實際上還 有一些東西,比如是有預約的——TCP,還是無預約的——UDP,如果是有預約的還會判斷是剛要去預約還是已經預約好了等內容)。而病毒是屬於所攜帶的內容方面的東西,這部分並不是門衛的職責范圍,而是應該有專人去負責,這就好像有人跟門衛說要去市場部,而且門衛所接到的指令是“所有到市場部的全部放行”,所以門衛就放行了,但是沒想到此人是到市場部去吵架的!不過這就不是門衛應該管的事情,而是保安所應該管的事情了。其實不僅如此,我們的防火牆這個“門 衛”即使見到來的人拿着刀、拿着槍,也一樣會放行,因為他只關心兩樣東西:從哪里來和到哪里去。
這種結構雖然“分工明確”,但是我們總會覺得這種門衛有點不近人情,至少算不上一個好門衛。那么能不能讓他包含查毒、防毒甚至殺毒的功能呢?當然沒問題,因為防火牆就是一個軟件,軟件都是人寫的, 只要我們把相應的功能給加進去就可以了,非常簡單!不過事實上並非如此,我們還拿門衛的例子來給大家解釋,因為門衛需要負責檢查所有進出的人,而要想知 道某個人是否攜帶了違禁物品(病毒)就需要對其進行收身,如果門衛要對所有人都進行收身,那么大家可以想象一下在上下班這種人流高峰期會是一種什么場景!而 且對於服務器來說一秒鍾就可能會有成千上萬的訪問,所以哪怕每次檢查多用一點點時間,累計起來就非常可怕了!而且以我們現在這種特征碼的檢查方式來說檢查病毒所用的並不是“一點點時間”,所以這種想法雖然技術上沒有問題,但是並不可行,至少從現在的技術來看是不可行的。
我們來總結一下,防火牆就像一個門衛,他的職能是負責讓不讓進出,而進去之后干什么那就不是他需要管的事情了,這應該是保安(殺毒軟件)或者其他相關部門的人所需要負責的。
以下內容摘自百度百科: https://baike.baidu.com/item/%E9%98%B2%E7%81%AB%E5%A2%99/52767?fr=aladdin
防火牆技術
防火牆是現代網絡安全防護技術中的重要構成內容,可以有效地防護外部的侵擾與影響。隨着網絡技術手段的完善,防火牆技術的功能也在不斷地完善,可以實現對信息的過濾,保障信息的安全性。防火牆就是一種在內部與外部網絡的中間過程中發揮作用的防御系統,具有安全防護的價值與作用,通過防火牆可以實現內部與外部資源的有效流通,及時處理各種安全隱患問題,進而提升了信息數據資料的安全性。防火牆技術具有一定的抗攻擊能力,對於外部攻擊具有自我保護的作用,隨着計算機技術的進步防火牆技術也在不斷發展。
[3]
(1)過濾型防火牆
過濾型防火牆是在網絡層與傳輸層中,可以基於數據源頭的地址以及協議類型等標志特征進行分析,確定是否可以通過。在符合防火牆規定標准之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
[3]
(2)應用代理類型防火牆
應用代理防火牆主要的工作范圍就是在OSI的最高層,位於應用層之上。其主要的特征是可以完全隔離網絡通信流,通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆,其他一些防火牆應用效果也較為顯著,在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。
[3]
(3)復合型
目前應用較為廣泛的防火牆技術當屬復合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是
包過濾策略,那么可以針對報文的報頭部分進行訪問控制;如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此復合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。
[6]
防火牆的包過濾技術一般只應用於OSI7層的模型網絡層的數據中,其能夠完成對防火牆的狀態檢測,從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、端口與源地址,通過防火牆所有的數據都需要進行分析,如果數據包內具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。計算機數據包傳輸的過程中,一般都會分解成為很多由目和地質等組成的一種小型數據包,當它們通過防火牆的時候,盡管其能夠通過很多傳輸路徑進行傳輸,而最終都會匯合於同一地方,在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格后,才會允許通過,如果傳輸的過程中,出現數據包的丟失以及地址的變化等情況,則就會被拋棄。
[2]
計算機信息傳輸的過程中,借助防火牆還能夠有效的實現信息的加密,通過這種加密技術,相關人員就能夠對傳輸的信息進行有效的加密,其中信息密碼是信息交流的雙方進行掌握,對信息進行接受的人員需要對加密的信息實施解密處理后,才能獲取所傳輸的信息數據,在防火牆加密技術應用中,要時刻注意信息加密處理安全性的保障。在防火牆技術應用中,想要實現信息的安全傳輸,還需要做好用戶身份的驗證,在進行加密處理后,信息的傳輸需要對用戶授權,然后對信息接收方以及發送方要進行身份的驗證,從而建立信息安全傳遞的通道,保證計算機的網絡信息在傳遞中具有良好的安全性,非法分子不擁有正確的身份驗證條件,因此,其就不能對計算機的網絡信息實施入侵。
[2]
防火牆具有着防病毒的功能,在防病毒技術的應用中,其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說,在網絡的建設過程中,通過安裝相應的防火牆來對計算機和互聯網間的信息數據進行嚴格的控制,從而形成一種安全的屏障來對計算機外網以及內網數據實施保護。計算機網絡要想進行連接,一般都是通過互聯網和路由器連接實現的,則對網絡保護就需要從主干網的部分開始,在主干網的中心資源實施控制,防止服務器出現非法的訪問,為了杜絕外來非法的入侵對信息進行盜用,在計算機連接的端口所接入的數據,還要進行以太網和IP地址的嚴格檢查,被盜用IP地址會被丟棄,同時還會對重要信息資源進行全面記錄,保障其計算機的信息網絡具有良好安全性。
[2]
代理服務器是防火牆技術引用比較廣泛的功能,根據其計算機的網絡運行方法可以通過防火牆技術設置相應的代理服務器,從而借助代理服務器來進行信息的交互。在信息數據從內網向外網發送時,其信息數據就會攜帶着正確IP,非法攻擊者能夠分局信息數據IP作為追蹤的對象,來讓病毒進入到內網中,如果使用代理服務器,則就能夠實現信息數據IP的虛擬化,非法攻擊者在進行虛擬IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理服務器實現對計算機網絡的安全防護。另外,代理服務器還能夠進行信息數據的中轉,對計算機內網以及外網信息的交互進行控制,對計算機的網絡安全起到保護。
[2]
防火牆是為加強網絡安全防護能力在網絡中部署的硬件設備,有多種部署方式,常見的有橋模式、網關模式和NAT模式等。
[5]
1、橋模式
防火牆技術
橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成,客戶端和服務器處於同一網段。為了安全方面的考慮,在客戶端和服務器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達服務器,服務器將響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址,當對網絡進行擴容時無需對網絡地址進行重新規划,但犧牲了路由、VPN等功能。
[5]
2、網關模式
網關模式適用於內外網不在同一網段的情況,防火牆設置網關地址實現路由器的功能,為不同網段進行路由轉發。
網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。
[5]
3、NAT模式
NAT(Network Address Translation)地址翻譯技術由防火牆對內部網絡的IP地址進行地址翻譯,使用防火牆的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火牆后,防火牆再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址,進一步增強了對內部網絡的安全防護。同時,在NAT模式的網絡中,內部網絡可以使用私網地址,可以解決IP地址數量受限的問題。
[5]
如果在NAT模式的基礎上需要實現外部網絡訪問內部網絡服務的需求時,還可以使用地址/端口映射(MAP)技術,在防火牆上進行地址/端口映射配置,當外部網絡用戶需要訪問內部服務時,防火牆將請求映射到內部服務器上;當內部服務器返回相應數據時,防火牆再將數據轉發給外部網絡。使用地址/端口映射技術實現了外部用戶能夠訪問內部服務,但是外部用戶無法看到內部服務器的真實地址,只能看到防火牆的地址,增強了內部服務器的安全性。
[5]
4、高可靠性設計
防火牆都部署在網絡的出入口,是網絡通信的大門,這就要求防火牆的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年,當單點設備發生故障時,要通過冗余技術實現可靠性,可以通過如虛擬路由冗余協議(VRRP)等技術實現主備冗余。目前,主流的網絡設備都支持高可靠性設計。
防火牆在內網中的設定位置是比較固定的,一般將其設置在服務器的入口處,通過對外部的訪問者進行控制,從而達到保護內部網絡的作用,而處於內部網絡的用戶,可以根據自己的需求明確權限規划,使用戶可以訪問規划內的路徑。總的來說,內網中的防火牆主要起到以下兩個作用:一是認證應用,內網中的多項行為具有遠程的特點,只有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成安全策略。
應用於外網中的防火牆,主要發揮其防范作用,外網在防火牆授權的情況下,才可以進入內網。針對外網布設防火牆時,必須保障全面性,促使外網的所有網絡活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。基於防火牆的作用下,內網對於外網而言,處於完全封閉的狀態,外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑,所以防火牆能夠詳細記錄外網活動,匯總成日志,防火牆通過分析日常日志,判斷外網行為是否具有攻擊特性。
