信息安全基礎知識筆記01防火牆基礎介紹和分類
在數據通信過程中,由於網絡中的不安全因素將會導致信息泄密、信息不完整,信息不可用等問題,因此在部署網絡時需要用到防火牆設備。
本筆記主要介紹華為防火牆的分類以及典型組網方式等基礎知識。
防火牆特征
防火牆(Firewall)技術是安全技術中的一個具體體現。防火牆原本是指房屋之間修建的一道牆,用以防止火災發生時的火勢蔓延。
本節筆記主要討論的是硬件防火牆。它主要擁有以下特點:
① 將各種安全技術融合在一起,采用專用的硬件結構,選用高速的CPU、嵌入式的操作系統,支持各種高速接口(LAN接口),用來保護私有網絡(計算機)的安全,這樣的設備我們稱為硬件防火牆。
② 可以獨立於操作系統(HP-UNIX、SUN OS、AIX、NT等)、計算機設備(IBM6000、普通PC等)運行。
③ 用來集中解決網絡安全問題,可以適合各種場合,同時能夠提供高效率的“過濾”。同時它可以提供包括訪問控制、身份驗證、數據加密、VPN技術、地址轉換等安全特性,用戶可以根據自己的網絡環境的需要配置復雜的安全策略,阻止一些非法的訪問,保護自己的網絡安全。
現代的防火牆體系不應該只是一個“入口的屏障”,防火牆應該是幾個網絡的接入控制點,所有進出被防火牆保護的網絡的數據流都應該首先經過防火牆,形成一個信息進出的關口。因此防火牆不但可以保護內部網絡在Internet中的安全,同時可以保護若干主機在一個內部網絡中的安全。
在每一個被防火牆分割的網絡內部(即區域)中,所有的計算機之間是被認為“可信任的”,它們之間的通信不受防火牆的干涉。而在各個被防火牆分割的網絡之間,必須按照防火牆規定的“策略”進行訪問。
Tips:防水牆(Waterwall)的概念
與防火牆相對,防水牆是一種防止內部信息泄漏的安全產品。 網絡,外設接口,存儲介質和打印機構成信息泄漏的全部途徑。防水牆針對這四種泄密途徑,在事前、事中、事后進行全面防護。其與防病毒產品、外部安全產品一起構成完整的網絡安全體系。
防火牆分類
防火牆發展至今已經歷經三代,分類方法也各式各樣,按照形態划分可以分為硬件防火牆及軟件防火牆;按照保護對象划分可以分為單機防火牆及網絡防火牆等。但總的來說,最主流的划分方法是按照訪問控制方式進行分類。
若按照訪問控制方式來區分,可以分為三類:包過濾防火牆,代理防火牆,狀態檢測防火牆。
網絡防火牆,能夠分布式保護整個網絡,其特點:
① 安全策略集中
② 安全功能復雜多樣
③ 專業管理員維護
④ 安全隱患小
⑤ 策略設置復雜
(1)包過濾防火牆
包過濾是指在網絡層對每一個數據包進行檢查,根據配置的安全策略轉發或丟棄數據包。
包過濾防火牆的基本原理是:通過配置訪問控制列表(ACL, Access Control List)實施數據包的過濾。主要基於數據包中的源/目的IP地址、源/目的端口號、IP 標識和報文傳遞的方向等信息。
包過濾防火牆的設計簡單,非常易於實現,而且價格便宜。
Tips:常見的防火牆安全過濾的五元組
源IP,目的IP,源端口號,目的端口號,協議號。
包過濾防火牆的缺點主要表現以下幾點:
① 隨着ACL復雜度和長度的增加,其過濾性能呈指數下降趨勢;
② 靜態的ACL規則難以適應動態的安全要求,無法適應多通道協議;
③ 包過濾防火牆不檢查會話狀態也不分析數據,這很容易產生安全風險。攻擊者可以使用假冒地址進行欺騙,通過把自己主機IP地址設成一個合法主機IP地址,就能很輕易地通過報文過濾器。
Tips:多通道協議概念。
多通道協議例如FTP協議。FTP在控制通道協商的基礎上,生成動態的數據通道端口,而后的數據交互主要在數據通道上進行。
(2)代理防火牆
代理(Proxy)服務作用於網絡的應用層,其實質是把內部網絡和外部網絡用戶之間直接進行的業務由代理接管。代理檢查來自用戶的請求,用戶通過安全策略檢查后,該防火牆將代表外部用戶與真正的服務器建立連接,轉發外部用戶請求,並將真正服務器返回的響應回送給外部用戶。
如上圖所示,外網終端和內網服務器Server之間使用了一台代理防火牆進行隔斷。
當外網終端發送連接請求想要訪問內網Server時,代理防火牆將代表內網Server接收該請求數據包,經過安全策略的檢查過濾后,以自身的名義向內網Server轉發連接請求。
而內網Server收到連接請求后,會發送響應報文給代理防火牆,代理防火牆收到后,以自身的名義向外網終端轉發響應報文。
由始至終,無論是外網終端還是內網Server,他們均不會感知到對方的真實存在。
對於外網終端來說,與之交互的是代理防火牆,而無法感知內網Server的存在。
對於內網Server來說,與之交互的也是代理防火牆,而無法感知到外網終端的存在。
因此,代理防火牆能夠完全控制網絡信息的交換,控制會話過程,具有較高的安全性。但因此也擁有者對應的缺點。其缺點主要表現在:
① 軟件實現限制了處理速度,易於遭受拒絕服務攻擊;
② 需要針對每一種協議開發應用層代理,開發周期長,而且升級很困難。
(3)狀態檢測防火牆
狀態檢測是包過濾技術的擴展。基於連接狀態的包過濾在進行數據包的檢查時,不僅將每個數據包看成是獨立單元,還要考慮前后報文的歷史關聯性。
我們知道,所有基於可靠連接的數據流(即基於TCP協議的數據流)的建立都需要經過“客戶端同步請求”、“服務器應答”以及“客戶端再應答”三個過程(即“三次握手”過程),這說明每個數據包都不是獨立存在的,而是前后有着密切的狀態聯系的。基於這種狀態聯系,從而發展出狀態檢測技術。
基本原理簡述如下:
狀態檢測防火牆使用各種會話表來追蹤激活的TCP(Transmission Control Protocol)會話和UDP(User Datagram Protocol)偽會話,由訪問控制列表決定建立哪些會話,數據包只有與會話相關聯時才會被轉發。
狀態檢測防火牆在網絡層截獲數據包,然后從各應用層提取出安全策略所需要的狀態信息,並保存到會話表中,通過分析這些會話表和與該數據包有關的后續連接請求來做出恰當決定。
Tips:我們知道UDP傳輸協議是無連接的,不能保證准確有序地到達目的地,那么防火牆如何為其建立會話呢?
這里防火牆用到了一個“偽會話”的技術。
UDP偽會話是在處理UDP協議包時為該UDP數據流建立虛擬連接,以對UDP連接過程進行狀態監控的會話。
狀態檢測防火牆具有以下優點:
① 后續數據包處理性能優異
狀態檢測防火牆對數據包進行ACL 檢查的同時,可以將數據流連接狀態記錄下來,該數據流中的后續包則無需再進行ACL檢查,只需根據會話表對新收到的報文進行連接記錄檢查即可。檢查通過后,該連接狀態記錄將被刷新,從而避免重復檢查具有相同連接狀態的數據包。連接會話表里的記錄可以隨意排列,與記錄固定排列的ACL 不同,於是狀態檢測防火牆可采用諸如二叉樹或哈希(Hash)等算法進行快速搜索,提高了系統的傳輸效率。
② 安全性較高
連接狀態清單是動態管理的。會話完成后防火牆上所創建的臨時返回報文入口隨即關閉,保障了內部網絡的實時安全。同時,狀態檢測防火牆采用實時連接狀態監控技術,通過在會話表中識別諸如應答響應等連接狀態因素,增強了系統的安全性。
防火牆組網方式(工作模式)
防火牆能夠工作在三種模式下:路由模式、透明模式、混合模式。
① 方式一:路由模式
防火牆位於內部網絡和外部網絡之間時,與內部網絡、外部網絡相連的上下行業務接口均工作在三層,需要分別配置成不同網段的IP地址,防火牆負責在內部網絡、外部網絡中進行路由尋址(相當於路由器)。
采用路由模式時,可以完成ACL 包過濾、ASPF 動態過濾、NAT 轉換等功能。然而,路由模式需要對網絡拓撲進行修改(內部網絡用戶需要更改網關、路由器需要更改路由配置等),這是一件相當費事的工作,因此在使用該模式時需權衡利弊。
② 方式二:透明模式
防火牆只進行報文轉發,不能進行路由尋址,與防火牆相連兩個業務網絡必須在同一個網段中。此時防火牆上下行接口均工作在二層,接口無IP地址。
防火牆此組網方式可以避免改變拓撲結構造成的麻煩,只需在網絡中像放置網橋(Bridge)一樣串入防火牆即可,無需修改任何已有的配置。IP報文同樣會經過相關的過濾檢查,內部網絡用戶依舊受到防火牆的保護。
③ 方式三:混合模式
如果防火牆既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口無IP 地址),則防火牆工作在混合模式下。
混合模式主要用於透明模式作雙機備份的情況,此時啟動VRRP(Virtual Router Redundancy Protocol,虛擬路由冗余協議)功能的接口需要配置IP 地址,其它接口不配置IP地址(以后的筆記會補充這方面的知識)。
在某些書本上,混合模式也可稱為混雜模式。
下一節筆記,我們繼續討論防火牆的轉發原理,若有空余篇幅,還將介紹防火牆在華為學習模擬器eNsp的基本環境搭建。