软考8-防火墙技术原理与应用

防火墙技术原理与应用#

8.1防火墙概念#

为了应对网络威胁，联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离。网络安全的信任程度和需要保护的对象，人为地划分若干安全区域，这些安全区域有：

公共外部网络
内联网
外联网
军事缓存区域(DMZ) 该区域介于内部网络和外部网络之间的网络段，常防止公共服务设备，向外提供信息服务。

8.2防火墙的功能#

防火墙的功能

• 过滤非安全网络访问
• 限制网络访问
• 网络访问审计
• 网络带宽控制：防火墙可以控制网络带宽实现QoS保障
• 协同防御：可以和IPS设备通过交换信息来实现联动

8.3防火墙安全风险#

1、防火墙功能缺陷：导致一些网络威胁无法阻断
防火墙不能完全防止感染病毒的软件或文件传输，因病毒种类太多，需依赖杀毒软件
防火墙不能防止基于数据驱动式的攻击
防护墙不能完全防止后门攻击

2、网络安全旁路：防火墙只能对通过它的网络通信包进行访问控制，而未经过他的网络通信就无能为力

3、防火墙安全机制形成单点故障和特权威胁：所有网络流量都要经过防火墙，一旦防火墙管理失效，就会对网络造成单点故障和网络安全特权失控

4、防火墙无法有效防范内部威胁：内网用户操作失误，攻击者就能利用内网用户发起主动网络连接

5、防火墙效用受限于安全规则：依赖于安全规则的更新

8.4包过滤技术#

包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向等包头信息判断是否允许包通过。

包过滤的规则由规则号、匹配条件、匹配操作3部分组成

匹配条件：源IP地址、目的IP地址、源端口号、目标端口号、协议、通信方向等
linux防火墙的操作：Accept：接受；Reject：拒绝数据包or信息通过，通知信息源；Drop：拒绝数据包or信息通过，不通知信息源

匹配操作：拒绝、转发、审计

包过滤防火墙技术的优点：低负载、高通过率、对用户透明

包过滤技术的弱点：不能在用户级别进行过滤

8.5状态检查技术#

基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。状态防火墙处理包流程步骤如下：

1、接收到数据包

2、检查数据包的有效性，若无效，则丢掉数据包并审计

3、查找会话表，若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包，否则丢掉数据包并审计

4、当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包，否则丢掉该数据包并审计

8.6防火墙防御体系结构类型(重要)#

防火墙防御体系结构：基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙

8.7防火墙部署基本方法#

第一步：根据组织或公司的安全策略要求，将网络划分成若干安全区域。（划分区域）
第二步：在安全区域之间设置针对网络通信的访问控制点。（设置访问控制点）
第三步：针对不同访问控制点的通信业务需求，制定相应的边界安全策略。（制定边界安全策略）
第四步：依据控制点的边界安全策略，采用合适的防火墙技术和防范结构。（依据策略选防火墙技术）
第五步：在防火墙上，配置实现对应的网络安全策略。（真机上配置策略）
第六步：测试验证边界安全策略是否正常执行。（验证边界安全策略）
第七步：运行和维护防护墙（运维）