【第8章】防火墙技术原理与应用(信息安全工程师)
8.1 防火墙概述
防火墙是网络安全区域边界保护的重要技术
8.1.1 防火墙概念
为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:
公共外部网络,如 Internet;
内联网(Intranet) ,如某个公司或组织的专用网络,网络访问限制在组织内部;
外联网(Extranet) ,内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;
军事缓冲区域,简称 DMZ, 该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。
在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它 一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。
8.1.2 防火墙工作原理
防火墙是由 一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全。
防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许。防火墙的安全策略有两种类型:
(1)白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止;
(2) 黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。
防火墙的功能主要有:
1.过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。
2.限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的 Mail 、FTP 、 WWW 服务器等可让外部网访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。
3.网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有通过它的访问,并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。
4.网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务 (QoS)保障。
5.协同防御。防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。
8.1.3 防火墙安全风险
(1) 网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力。例如,如果允许从内部网络直接拨号访间外部网。
(2) 防火墙功能缺陷,导致一些网络威胁无法阻断。要安全缺陷如下:防火墙不能完全防止感染病毒的软件或文件传输。防火墙不能防止基于数据驱动式的攻击。防火墙不能完全防止后门攻击。
(3) 防火墙安全机制形成单点故障和特权威胁。一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控。
(4) 防火墙无法有效防范内部威胁。
(5) 防火墙效用受限于安全规则。防火墙依赖于安全规则更新。
8.1.4 防火墙发展
(1) 防火墙控制粒度不断细化。(2) 检查安全功能持续增强。(3) 产品分类更细化。(4) 智能化增强。
------------------
8.2 防火墙类型与实现技术
按照防火墙的实现技术及保护对象,常见的防火墙类型可分为包过滤防火墙、代理防火墙、下一代防火墙、Web 应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等。
8.2.1 包过滤防火墙
包过滤是在 IP 层实现的防火墙技术,包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。
包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止 IP 地址的盗用。如果攻击者把自己主机的 IP 地址设成一个合法主机的 IP 地址,就可以轻易通过包过滤器。
8.2.2 状态检查防火墙
基于状态的防火墙通过利用 TCP 会话和 UDP“ 伪“会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的 TCP 连接或 UDP 流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。
状态防火墙处理包流程的主要步骤如下。
(1) 接收到数据包。
(2) 检查数据包的有效性,若无效,则丢掉数据包并审计。
(3) 查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
(4) 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
8.2.3 应用服务代理防火墙
应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接”中间人”的角色,代理防火墙代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。
代理服务器按照所代理的服务可以分为 FTP 代理、Telnet 代理、Http 代理、Socket 代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序用到一个指定的网络端口,代理客户程序通过该端口获得相应的代理服务。
8.2.4 网络地址转换
NAT 是 Network Address Translation 的英文缩写,中文含义是“网络地址转换”。
主要是为了解决公开地址不足而出现的,它可以缓解少量因特网 IP 地址和大量主机之间的矛盾。但 NAT 技术用在网络安全应用方面,则能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,从而提高了内部网络的安全性。
实现网络地址转换的方式主要有:静态 NAT(StaticNAT)、NAT池(pooledNAT) 和端口NAT(PAT) 三种类型。
8.2.5 Web防火墙
一种用于保护 Web 服务器和 Web 应用的网络安全机制。
其技术原理是根据预先定义的过滤规则和安全防护规则,对所有访问 Web 服务器的 HTTP 请求和服务器响应,进行 HTTP 协议和内容过滤,进而对 Web 服务器和 Web 应用提供安全防护功能。Web 应用防火墙的 HTTP 过滤的常见功能主要有允许/禁止 HTTP 请求类型、HTTP 协议头各个字段的长度限制、后缀名过滤、URL 内容关键字过滤、Web 服务器返回内容过滤。
可防止SQL注入、XSS跨站脚本攻击、Web应用扫描、Webshell 、 Cookie注入攻击、 CSRF攻击等
8.2.6 数据库防火墙技术
数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁。
数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的”源地址、目标地址、源端口、目标端口、SQL 语句”等信息,然后依据这些信息及安全规则监控数据库风险行为,阻断违规 SQL 操作、阻断或允许合法的 SQL 操作执行。
用于保护数据库服务器的安全机制,审计、检测、阻断攻击
8.2.7 工控防火墙技术 (工业控制系统专用防火墙)
是一种用于保护工业设备及系统的网络安全机制。其技术原理主要是通过工控协议深度分析,对访问工控设备的请求和响应进行监控,防止恶意攻击工控设备,实现工控网络的安全隔离和工控现场操作的安全保护。
8.2.8 下一代防火墙技术
下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。
(l) 应用识别和管控。(2) 入侵防护(IPS)。 (3) 数据防泄露。(4) 恶意代码防护。(5) URL 分类与过滤。(6) 带宽管理与 QoS 优化。(7) 加密通信分析。
8.2.9 防火墙共性关键技术
1. 深度包检测
深度包检测(Deep Packet Inspection, DPI) ,是一种用于对包的数据内容及包头信息进行检查分析的技术方法。传统检查只针对包的头部信息,而 DPI 对包的数据内容进行检查,深入应用层分析。 DPI 运用模式(特征)匹配、协议异常检测等方法对包的数据内容进行分析。DPI已经被应用到下一代防火墙、Web 防火墙、数据库防火墙、工控防火墙等中,属于防火墙的核心技术之一。然而,DPI 面悯模式规则维护管理复杂性、自身安全性、隐私保护、性能等一系列挑战和问题。DPI 需要不断更新维护深度检测策略,以确保防火墙持续有效。隐私保护技术使得 DPI 的检测能力受到限制,加密数据的搜索匹配成为 DPI 的技术难点。
2. 操作系统
防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全。
3. 网络协议分析
防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理。
------------------
8.3 防火墙主要产品与技术指标
8.3.1 防火墙主要产品
防火墙是主流的网络安全产品,按照应用场景,防火墙的产品类型有网络防火墙、Web 应用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙。
8.3.2 防火墙主要技术指标
防火墙评价指标可以分成四类,即安全功能要求、性能要求、安全保障要求、环境适应性要求。
防火墙性能指标:最大吞吐量、最大连接速率、最大规则数、并发连接数。
------------------
8.4 防火墙防御体系结构类型
8.4.1 基于双宿主主机防火墙结构(两个网络接口卡)
8.4.2 基于代理型防火墙结构(由一台主机同外部网连接,该主机代理内部网和外部网的通信)
8.4.3 基于屏蔽子网的防火墙结构
------------------
8.5 防火墙技术应用
8.5.1 防火墙应用场景类型
1. 上网保护、2.网站保护、3. 数据保护、4. 网络边界保护、5. 终端保护、6. 网络安全应急响应
8.5.2 防火墙部署基木方法
第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域;
第二步,在安全区域之间设置针对网络通信的访问控制点;
第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略;
第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构;
第五步,在防火墙上,配置实现对应的网络安全策略;
第六步,测试验证边界安全策略是否正常执行;
第七步,运行和维护防火墙。
8.5.3 防火墙应用参考
1.IPtables 是 Linux 系统自带的防火墙,支持数据包过滤、数据包转发、地址转换、基于 MAC
地址的过滤基于状态的过滤、包速率限制等安全功能。
2.Web 应用防火墙主要依赖于安全规则,因而规则的维护更新是防火墙有效的基础。
3.包过滤防火墙
4.工控防火墙