信息安全:防火墙技术原理与应用.
防火墙是网络安全区域边界保护的重要技术。为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:公共外部网络;内联网;外联网(内联网的扩展延伸,常用作组织与合作伙伴之间进行通信);军事缓冲区域,简称 DMZ;它一般安装在不同的安全区域边界处,用千网络通信安全控制,由专用硬件或软件系统组成.
目录:
防火墙概述:
防火墙安全风险:
(1)网络安全旁路:
(2)防火墙功能缺陷,导致一些网络威胁无法阻断:
(3)防火墙安全机制形成单点故障和特权威胁:
(4)防火墙无法有效防范内部威胁:
(5)防火墙效用受限于安全规则:
防火墙发展:
(1)防火墙控制粒度不断细化:
(2)检查安全功能持续增强:
(3) 产品分类更细化:
(4)智能化增强:
防火墙类型与实现技术:
(1)包过滤:
(2)状态检查技术:
(3)应用服务代理:
(4)网络地址转换技术(NAT):
(5)Web 防火墙技术:
(6)数据库防火墙技术:
(7)控防火墙技术:
(8)下一代防火墙技术:
(9)防火墙共性关键技术:
防火墙主要产品与技术指标:
(1)防火墙主要产品:
(2)防火墙主要技术指标:
防火墙防御体系结构类型:
(1)基于双宿主主机防火墙结构:
(2)基于代理型防火墙结构:
(3)基于屏蔽子网的防火墙结构:
防火墙技术应用:
(1)防火墙应用场景类型:
(2)防火墙部署基木方法:
防火墙概述:
◆ 防火墙是由一些 软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙 般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全.
◆ 防火墙的安全策略有两种类型:
▶ 白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止;
▶ 黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许;
◆ 防火墙的 功能 主要有以下几个方面:
▶ 过滤非安全网络访问:将防火墙设置为只有预先被允许的服务和用户才能通过防火墙;
▶ 限制网络访问:用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。
▶ 网络访问审计:防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有 通过它的访问,并提供网络使用情况的统计数据。
▶ 网络带宽控制:防火墙可以控制网络带宽的分配使用,实现部分网络质量服务 (QoS) 保障。
▶ 协同防御:防火墙和入侵检测系统通过交换信息实现联动,增强网络安全;
防火墙安全风险:
(1)网络安全旁路:
◆ 防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力;
(2)防火墙功能缺陷,导致一些网络威胁无法阻断:
◆ 防火墙不能完全防止感染病毒的软件或文件传输,因为己有的病毒、操作系统以及加密和压缩二进制文件的种类太多;
◆ 防火墙不能防止基千数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力;
◆ 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如 http tunnel 等;
(3)防火墙安全机制形成单点故障和特权威胁:
◆ 防火墙处千不同网络安全区域之间,所有区域之间的通信都经过防火墙,受其控制,从而形成安全特权。一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控;
(4)防火墙无法有效防范内部威胁:
◆ 处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制;
(5)防火墙效用受限于安全规则:
◆ 防火墙依赖于安全规则更新;
防火墙发展:
(1)防火墙控制粒度不断细化:
◆ 控制规则从以前的 IP 包地址信息延伸到 IP 包的内容;
(2)检查安全功能持续增强:
◆ 检测 IP 包内容越来越细, DPI (Deep Packet Inspection) 用于防火墙;
(3) 产品分类更细化:
◆ 针对保护对象的定制安全需求,出现专用防火墙设备。如工控防火墙、 Web 防火墙、数据库/数据防火墙等;
(4)智能化增强:
◆ 通过网络安全大数据和人工智能技术的应用,防火墙规则实现智能化更新;
防火墙类型与实现技术:
◆ 按照防火墙的实现技术及保护对象,常见的防火墙类型可分为包过滤防火墙、代理防火墙、 下一代防火墙、 Web 应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等;
(1)包过滤:
◆ 包过滤是在 IP 层实现的防火墙技术,包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过;
◆ 典型的过滤规则表示格式由“规则号、匹配条件、匹配操作“三部分组成;
◆ 匹配操作有:拒绝、转发、审计三种;
◆ 匹配条件:源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议类型 (UDP TCP ICMP) 、通信方向、规则运算符;
◆ 包过滤防火墙技术的优点:低负载、高通过率、对用户透明;
◆ 包过滤技术的弱点:不能在用户级别进行过滤,如不能识别不同的用户和防止 IP 地址的盗用。如果攻击者把自己主机IP 地址设成 个合法主机的 IP 地址,就可以轻易通过包过滤器;
(2)状态检查技术:
◆ 基于状态的防火墙通过利用 TCP 会话和 UDP“ 伪“会话的状态信息进行网络访问机制。 采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的 TCP 连接 或UDP 流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙;
◆ 状态防火墙处理包流程的主要步骤如下:
▶ 接收到数据包;
▶ 检查数据包的有效性,若无效,则丢掉数据包并审计;
▶ 查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包; 否则,丢掉数据包并审计;
▶ 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计;
(3)应用服务代理:
◆ 应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接”中间人”的角色,代理防火墙代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机;
◆ 采用代理服务技术的防火墙简称为代理服务器;
◆ 受保护的内部用户对外部网络访问时,首先需要通过代理服务器的认可,才能向外提出请求,而外网的用户只能看到代理服务器,从而隐藏了受保护网络的内部结构及用户的计算机信息。因而,代理服务器可以提高网络系统的安全性。
◆ 应用服务代理技术的优点主要有:
▶ 不允许外部主机直接访问内部主机;
▶ 支持多种用户认证方案;
▶ 可以分析数据包内部的应用命令;
▶ 可以提供详细的审计记录;
◆ 应用服务代理技术的缺点是:
▶ 速度比包过滤慢;
▶ 对用户不透明;
▶ 与特定应用协议相关联,代理服务器并不能支待所有的网络协议;
(4)网络地址转换技术(NAT):
◆ NAT 中文含义是“网络地址转换”。 NAT术主要是为了解决公开地址不足而出现的,它可以缓解少量因特网 IP 地址和大量主机之间的矛盾;
◆ 基于 NAT 技术的防火墙上配置有合法的公共 IP 地址集,当内部某一用户访问外网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信 ;
◆ 实现网络地址转换的方式主要有:
▶ 静态 NAT :内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址;
▶ NAT 池:在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络;
▶ 端口 NAT (PAT) :内部地址映射到外部网络的一个 IP 地址的不同端口上;
(5)Web 防火墙技术:
◆ Web 应用防火墙是一种用于保护 Web 服务器和 Web 应用的网络安全机制。
◆ 技术原理:根据预先定义的过滤规则和安全防护规则,对所有访问 Web 服务器的 HTTP 请求和服务器响应,进行 HTTP 协议和内容过滤,进而对 Web 服务器和 Web 应用提供安全防护功能;
◆ Web 应用防火墙可抵御的典型攻击:主要是 SQL 注入攻击、 XSS 跨站脚本攻击、 Web 应用扫描、 Webshell Cookie注入攻击、 CSRF 攻击等;
(6)数据库防火墙技术:
◆ 数据库防火墙是一种用于保护数据库服务器的网络安全机制;
◆ 技术原理主要:基于数据 通信协议 深度分析和 虚拟补丁 ,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁;
◆ 数据库通信协议深度分析:可以获取访问数据库服务器的应用程序数据包的 ”源地址、目标地址、源端口、目标端口、 SQL 语句”等信息,然后依据这些信息及安全规则监控数据库风险行为,阻断违规 SQL 操作、阻断或允许合法的 SQL 操作执行;
◆ 虚拟补丁技术:通过在数据库外部创建一个安全屏障层,监控所有数据库活动,进而阻止可疑会话、操作程序或隔离用户,防止数据库漏洞被利用,从而不用打数据库厂商的补丁,也不需要停止服务,可以保护数据库安全。
(7)控防火墙技术:
◆ 工业控制系统专用防火墙 简称为 工控防火墙,是一种用于保护工业设备及系统的网络安全机制;
◆ 技术原理主要:通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,实现工控网络的安全隔离和工控现场操作的安全保护;
◆ 工控防火墙与传统的网络防火墙有所差异,工控防火墙侧重于分析工控协议,主要包括 Modbus TCP 协议、 IEC 61850 协议、 OPC 协议、 Ethernet/IP 协议和 DNP3 协议等。同时,工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求;
(8)下一代防火墙技术:
◆ 相对于传统网络防火墙而言,下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能;
▶ 应用识别和管控:不依赖端口,通过对网络数据包深度内容的分析,实现对应用层协议和应用程序的精准识别,提供应用程序级功能控制,支持应用程序安全防护;
▶ 入侵防护 (IPS) :能够根据漏洞特征进行攻击检测和防护,如 SQL 注入攻击;
▶ 数据防泄露:对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型, 如 Word Excel PPT PDF 等,并对敏感内容进行过滤;
▶ 恶意代码防护:采用基千信誉的恶意检测技术,能够识别恶意的文件和网站。构建Web 信誉库,通过对互联网站资源 (IP URL 、域名等)进行威胁分析和信誉评级,将含有恶意代码的网站资源列入 Web 信誉库,然后基千内容过滤技术阻挡用户访问不良信誉网站,从而实现智能化保护终端用户的安全;
▶ URL 分类与过滤:构建 URL 分类库,内含不同类型的 URL 信息(如不良言论、网络 “钓鱼”、论坛聊天等),对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤;
▶ 带宽管理与 QoS 优化:通过智能化识别业务应用,有效管理网络用户/IP 使用的带宽, 确保关键业务和关键用户的带宽,优化网络资源的利用;
▶ 加密通信分析:通过中间人代理和重定向等技术,对 SSL SSH 等加密的网络流量进行监测分析;
(9)防火墙共性关键技术:
◆ 深度包检测:
▶ 深度包检测 ( DPI) ,是一种用于对包的数据 内容 及 包头 信息进行检查分析的技术方法。传统检查只针对包的头部信息,而 DPI 对包的数据内容进行检查,深入应用层分析;
▶ DPI 需要不断更新维护深度检测策略,以确保防火墙持续有效;
▶ 对于 DPI 的自身安全问题,隐私保护技术使得 DPI 的检测能力受到限制,加密数据的搜索匹配成为 DPI 的技术难点。 DPI 需要处理包的数据内容,使得防火墙处理工作显著增加,这将直接影响网络传输速度;
◆ 操作系统:
▶ 防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全;
◆ 网络协议分析:
▶ 防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理;
防火墙主要产品与技术指标:
◆ 防火墙是主流的网络安全产品,按照应用场景,防火墙的产品类型有网络防火墙、 Web 用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙;
(1)防火墙主要产品:
◆ 防火墙是广泛应用的网络安全产品,其产品形态有硬件实体模式和软件模式。商业产品的主要形态为物理硬件实体,安全功能软件集成到硬件实体中;
◆ 网络防火墙:部署在不同安全域之间,解析和过滤经过防火墙的数据流,具备网络层访问控制及过滤功能的网络安全产品;
◆ Web 应用防火墙:对所有访问 Web 服务器的 HTTP 请求和服务器响应进行 HTTP 协议和内容过滤;
◆ 数据库防火墙:基于数据库协议分析与控制技术,可实现对数据库的访问行为控制和危险操作阻断的网络安全产品;
◆ 主机防火墙:部署在终端计算机上,监测和控制网络级数据流和应用程序访问的网络安全产品;
◆ 工控防火墙:部署在工业控制环境,基千工控协议深度分析与控制技术;
◆ 下一代防火墙:部署在不同安全域之间,解析和过滤经过防火墙的数据流,集成应用识别和管控、恶意代码防护、入侵防护、事件关联等多种安全功能;
◆ 家庭防火墙:家庭防火墙的产品特点是防火墙功能模块集成在智能路由器中,具有 IP 地址控制、 MAC地址限制、不良信息过滤控制、防止躇网、智能家居保护等功能的网络安全产品;
(2)防火墙主要技术指标:
◆ 防火墙评价指标可以分成四类,即安全功能要求、性能要求、安全保障要求、 环境适应性要求;
防火墙防御体系结构类型:
◆ 防火墙防御体系结构主要有:基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙;
(1)基于双宿主主机防火墙结构:
◆ 双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中,一般都是将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。
(2)基于代理型防火墙结构:
◆ 代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信;
◆ 代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构;
◆ 一般情况下,过滤路由器可按如下规则进行配置:
▶ 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接;
▶ 任何外部网的主机只能与内部网络的代理主机建立连接;
▶ 任何外部系统对内部网络的操作都必须经过代理主机;
◆ 代理型结构的主要缺点:只要攻击者设法攻破了代理主机,那么对千攻击者来说,整个内部网络与代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息;
(3)基于屏蔽子网的防火墙结构:
◆ 屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作;
◆ 基于屏蔽子网的防火墙结构的 特点 如下:
▶ 应用代理位千被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络;
▶ 两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证;
◆ 优点:安全级别最高;
◆ 缺点:成本高,配置复杂;
防火墙技术应用:
(1)防火墙应用场景类型:
◆ 上网保护:利用防火墙的访问控制及内容过滤功能,保护内网和上网计算机安全,防止互联网黑客直接攻击内部网络,过滤恶意网络流量,切断不良信息访问;
◆ 网站保护:通过 Web 应用防火墙代理互联网客户端对 Web 服务器的所有请求,清洗异常流量,有效控制政务网站应用的各类安全威胁;
◆ 数据保护:在受保护的数据区域边界处部署防火墙,对数据库服务器或数据存储设备的所有请求和响应进行安全检查,过滤恶意操作,防止数据受到威胁;
◆ 网络边界保护:在安全域之间部署防火墙,利用防火墙进行访问控制,限制不同安全域之间的网络通信,减少安全域风险来源;
◆ 终端保护:在终端设备上安装防火墙,利用防火墙阻断不良网址,防止终端设备受到侵害;
◆ 网络安全应急响应:利用防火墙,对恶意攻击源及网络通信进行阻断,过滤恶意流量,防止网络安全事件影响扩大;
(2)防火墙部署基木方法:
第一步:根据组织或公司的安全策略要求,将网络划分成若干安全区域;
第二步:在安全区域之间设置针对网络通信的访问控制点;
第三步:针对不同访问控制点的通信业务需求,制定相应的边界安全策略;
第四步:依据控制点的边界安全策略,采用合适的防火墙技术和防范结构;
第五步:在防火墙上,配置实现对应的网络安全策略;
第六步:测试验证边界安全策略是否正常执行;
第七步:运行和维护防火墙;
学习书籍:信息安全工程师教程…