防火墙相关 学习记录

 防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。一般用来将内部网络与因特网或者其他外部网络互相隔离，限制网络互访，保护内部网络的安全。防火墙根据网络包所提供的信息实现网络通信访问控制，如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙，否则不允许。

防火墙功能

• 过滤非安全网络访问：将防火墙设置为只有预先被允许的服务和用户才能通过防火墙，禁止未授权的用户访问受保护的网络，降低被保护网络受非法攻击的风险
• 限制网络访问：防火墙只允许外部网络访问受保护网络的指定主机或网络服务，通常受保护网络中的Mail、FTP、 www服务器等可让外部网访问，而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务，例如某些不良网址
• 网络访问审计：防火墙是外部网络与受保护网络之间的唯一网络通道， 可以记录所有通过它的访问，并提供网络使用情况的统计数据。依据防火墙的日志，可以掌握网络的使用情况，例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证
• 网络带宽控制：防火墙可以控制网络带宽的分配使用，实现部分网络质量服务(QoS)保障
• 协同防御：防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全

防火墙技术

• 包过滤技术

在IP层实现的防火墙技术（网络层+传输层），根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。其弱点是不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以轻易通过包过滤器。

• • 包过滤的控制依据为规则集。典型的过滤规则表示格式：由“规则号、匹配条件、匹配操作”三部分组成：
    • 规则号：每条过滤规则分配的唯一标识符，用于区分不同的规则。规则号的顺序通常决定了规则的匹配顺序，防火墙会按照规则号从小到大的顺序依次对数据包进行匹配。
    • 匹配条件：通常包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型等。可以使用具体的 IP 地址、IP 地址段、端口号范围或通配符等多种方式来表示匹配条件。
    • 匹配操作：当数据包的特征与匹配条件相符合时，需要执行的操作，通常有允许、拒绝和审计等几种操作方式。（审计操作指的是对符合匹配条件的数据包进行记录和分析，以便管理员后续查看和审查网络活动情况）
  • 访问控制列表（Access Control List，ACL）：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

    • 配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则：

      最小特权原则：只给受控对象完成任务所必须的最小的权限；

      最靠近受控对象原则：所有的网络层访问权限控制。

    • 局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要在整个网络或系统的从起点到终点的全过程中，实现对访问权限的精确管理和控制，需要和系统级及应用级的访问权限控制结合使用。
    • 标准ACL：通常只根据源 IP 地址进行过滤。标准 ACL 的编号范围通常是1 到 99以及1300 到 1999。
    • 扩展 ACL 过滤标准基于源 IP 地址、目的 IP 地址、协议类型、源端口、目的端口、协议特定选项以及时间范围等，为网络数据包提供精细的过滤控制。扩展 ACL 的列表号范围通常为 100-199 和 2000-2699
    标准ACL配置：

    创建ACL：

    

    • router ：指路由器在网络环境中的名称，可在路由器的命令行界面中通过命令查找获取。
    • access-list-number：ACL列表号，对于标准ACL来说，该列表号是1~99中的一个数字
    • permit|deny ：如果满足测试条件，则允许/拒绝该通信流量
    • source ：数据包的源地址，可以是主机地址，也可以是网络地址
    • source-wildcard ：通配符掩码，也称为反码，在用二进制数0和1表示，如果某位为1，表明这一位不需要进行匹配操作，如果为0，则表明这一位需要严格匹配

将ACL应用于接口，使ACL生效：

• • • • {in|out} 指示该ACL是应用到入站接口（in）还是出站接口（out）

在接口取消ACL应用：

• • • 扩展ACL配置：

• • • • permint|deny 如果满足测试条件，则允许/拒绝该通信流量
      • protocol 用来指定协议类型，如IP、TCP、UDP、ICMP
      • source 数据包的源 IP 地址
      • source-wildcard、destination-wildcard：反码，source-wildcard是源反码，与源地址相应，destination-wildcard是目的反码，与目的地址相对应
      • operator operan: 可选的，用于在指定协议的基础上，进一步对端口号或其他协议特定的参数进行操作。lt(小于)、gt（大于）、eq（等于）或neq（不等于）一个端口号
    • 命名ACL：传统的标准 ACL 和扩展 ACL 在删除时会一次性删除所有规则，为实现更灵活的单条 ACL 语句管理，引入了命名 ACL，它能够单独删除某一条 ACL 语句，避免删除整个 ACL 规则集。

此命令用于创建命名 ACL，{standard|extended}指定创建的是标准还是扩展命名 ACL，access-list-name为 ACL 自定义的名称，可为数字或字母，方便后续对该 ACL 的识别与操作。

此命令将已创建的命名 ACL 应用到指定接口，{in|out}表示 ACL 应用于接口的入站方向还是出站方向。

通过此命令可删除指定名称的命名 ACL，根据{standard|extended}确定要删除的是标准还是扩展命名 ACL。

 

•  状态检查技术

基于状态的防火墙通过利用 TCP 会话和 UDP“ 伪“会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的 TCP 连接或 UDP 流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。

状态防火墙处理包流程的主要步骤如下。

(1) 接收到数据包。

(2) 检查数据包的有效性，若无效，则丢掉数据包并审计。（检查数据包的有效性包含：校验和验证、数据包长度检查、协议头格式检查、协议操作合规性检查：以 TCP 为例，会检查标志位的组合是否合理）

(3) 查找会话表；若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计。（会话表需要匹配的内容：五元组信息【源IP地址、目的IP地址、源端口号、目的端口号、协议类型】、会话连接状态信息【如数据包的标志位和序列号】   审计：当数据包被丢弃时，防火墙会记录数据包的基本信息，包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型、数据包到达时间等，还会记录 数据包被丢弃的原因）

(4) 当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包；否则，丢掉该数据包并审计。（策略表：策略表是防火墙用于控制网络访问的规则集合。其内容包含：源、目的IP地址范围，源、目的端口，协议类型和应用程序类型，访问权限。）

补充，会话表安全性检测主要检测的内容：

• 检测数据包的来源和目的地是否合法。防火墙会验证数据包的源IP地址和目的IP地址是否有效，并对非法的数据包进行阻止。
• 检测数据包的状态是否合法。防火墙会检查数据包的状态，例如建立连接、终止连接等，并阻止非法的连接请求。
• 检测数据包的内容是否合法。防火墙会对数据包的载荷进行检查，以确保不包含可疑或恶意的内容，如病毒、恶意软件等。
• 检测会话表的完整性和一致性。防火墙会检查会话表的状态是否正确，并检测是否存在异常或不一致的会话记录。
• 检测会话表的溢出。防火墙会监控会话表的使用情况，并检测是否存在表溢出的情况，以避免攻击者利用溢出漏洞进行攻击。
• 检测会话表的访问控制。防火墙会对会话表的访问进行权限控制，以确保只有经过授权的用户可以访问和修改会话表的内容

• 应用层代理技术

应用层代理是一种高级的防火墙技术，它通过建立连接的两端分别与外部主机和内部主机通信，扮演中间人的角色。检查应用层数据，并过滤掉潜在的攻击或恶意内容。它不仅可以阻止不合规的数据包通过，还可以对通过它的应用层内容进行深度检查和处理，提供更为精细和深入的安全保护。

• 主要功能：
• 识别应用层协议并检测数据包内容：识别和检测各种应用层协议，如HTTP、FTP、SMTP等。通过深度解析协议数据包的内容，它能够准确判断通信是否合法和安全。
  • 每种应用层协议都有特定的特征，应用层代理通过对数据包的起始部分进行特征匹配，来识别出具体的应用层协议。
  • 通过跟踪状态，可以更准确地判断通信是否合法和安全，及时发现异常的连接行为和数据传输。
• 进行访问控制和策略管理：通过配置安全策略，应用层代理可以对网络通信进行访问控制和策略管理。管理员可以根据需要定义允许或拒绝特定应用层协议的通信。
  • 通过应用层代理设备提供的管理界面，根据组织的安全需求和业务规则，定义各种访问控制策略。
  • 根据策略配置，对不同的应用层协议进行过滤和限制。
  • 结合用户身份验证机制，如用户名 / 密码认证、数字证书认证等，对用户进行身份识别和授权，并进行相应权限管理。
• 内容过滤与审查：对数据内容进行过滤和审查，防止传输敏感信息或携带恶意代码的数据包进入内部网络。
  • 关键词过滤：当应用层代理检测到数据包内容中包含这些关键词时，根据策略进行相应的处理，如丢弃数据包、警告用户或记录相关信息等。
  • 内容类型识别：对于特定类型的内容，如可执行文件、压缩文件等，进行更严格的审查和过滤，防止其中可能携带的恶意代码进入内部网络。
  • 恶意代码检测：利用病毒扫描引擎、恶意软件检测工具等，对数据包中的文件内容进行检测，及时发现并阻止携带病毒、木马、蠕虫等恶意代码的数据包进入内部网络。
• 缓存技术：部分应用层代理具有缓存功能，可以暂存经常访问的网络资源，提高网络访问速度和性能。
  • 缓存更新策略：为了保证缓存资源的有效性和及时性，应用层代理会采用一定的缓存更新策略。
  • 缓存管理与优化：对缓存空间进行有效的管理和优化，包括缓存的容量管理、缓存的替换策略等。当缓存空间不足时，进行替换。
• 常见应用层代理防火墙：
• FTP代理：
  • 原理：FTP 代理作为应用层代理，工作在 FTP 协议之上。它充当客户端和 FTP 服务器之间的中间人，接收客户端的 FTP 请求，对请求进行检查和过滤，然后转发到 FTP 服务器，并将服务器的响应返回给客户端。
  • 工作流程：客户端向 FTP 代理服务器发送 FTP 连接请求，代理服务器验证客户端身份和权限后，根据安全策略决定是否允许连接。如果允许，代理服务器与 FTP 服务器建立连接，转发客户端的命令和数据，并在传输过程中对数据进行检查和过滤。
• Telnet代理：
  • 原理：Telnet 代理运行在应用层，负责在客户端和 Telnet 服务器之间传递命令和数据。它拦截客户端的 Telnet 请求，进行身份验证和安全检查后，再将请求转发给服务器，并将服务器的响应返回给客户端。
  • 工作流程：客户端向 Telnet 代理服务器发送连接请求，代理服务器验证客户端身份，根据安全策略判断是否允许连接。若允许，代理服务器与 Telnet 服务器建立连接，转发客户端输入的命令，并将服务器的响应显示给客户端。
• HTTP代理：
  • 原理：Http 代理工作在应用层，对 HTTP 协议的请求和响应进行处理。它接收客户端的 HTTP 请求，检查请求的合法性和安全性，根据安全策略决定是否转发请求，并对服务器返回的响应进行过滤和处理后再返回给客户端。
  • 工作流程：客户端向 Http 代理服务器发送 HTTP 请求，代理服务器解析请求，检查请求的 URL、头部信息等是否符合安全策略。如果符合，代理服务器向目标 Web 服务器发送请求，并将服务器返回的响应内容过滤后返回给客户端。
• 邮件代理：
  • 原理：邮件代理主要针对 SMTP、POP3、IMAP 等邮件协议进行处理。它在客户端和邮件服务器之间充当代理，接收和转发邮件请求和数据，对邮件内容进行检查和过滤，防止恶意邮件和垃圾邮件进入内部网络。
  • 工作流程：客户端通过邮件代理服务器发送邮件请求，代理服务器验证客户端身份和权限后，检查邮件的来源、收件人、主题、内容等是否符合安全策略。如果符合，代理服务器将邮件转发给目标邮件服务器，并将服务器的响应返回给客户端。

• Web应用防火墙：

  WAF，Web应用防火墙（Web Application Firewall），是一种专门保护Web应用程序免受恶意攻击和漏洞利用的网络安全设备或服务。WAF通过监控和过滤进出Web应用程序的HTTP/HTTPS流量来工作。它位于Web应用程序和用户之间，分析所有的请求，并阻止那些符合攻击特征的请求。

• 部署模式：
• 透明代理模式：
  • 透明代理模式通过在客户端和服务器之间插入WAF设备来实现中间人的角色，不需要修改网络配置。客户端发出请求后，WAF 自动捕获这些请求，并将其转发到后端的 Web 服务器。处理完后，WAF 再将 Web 服务器的响应返回给客户端。 

    

  • 工作流程：
    • 流量进入：客户端的请求流量从 Internet 进入网络。
    • 防火墙过滤：经过防火墙，防火墙根据设定的规则对流量进行初步过滤，阻止一些明显的非法访问。
    • WAF处理：在透明代理模式中，WAF 作为中间人自动处理流量。它不需要对网络配置进行修改。
    • Web服务器响应：Web 服务器处理请求后，将响应依次通过负载均衡器（若有）、WAF、防火墙，最终返回给客户端。
  • 在透明代理模式中，WAF的处理流程：首先进行流量拦截，然后对截获的流量进行深度的协议解析，将解析后的请求内容与安全规则进行匹配，同时观察请求的行为模式。最后放行合法流量、拦截恶意流量并进行详细的日志记录。

• • 优点：不需要更改任何网络结构，因此部署简单，对用户透明。同时，这种模式可以有效检测并阻止各种HTTP和HTTPS攻击。
  • 缺点：所有经过的网络流量（包括非HTTP流量）都会经过WAF处理，对WAF的性能要求较高。并且，该模式不支持服务器负载均衡功能。
• 反向代理模式：
  • 反向代理模式通过将WAF作为前端代理，客户端请求首先到达WAF，WAF 会主动处理这些请求，包括对请求进行解析、检测是否存在恶意内容等操作。只有通过检测的合法请求才会被 WAF 转发到后端的 Web 服务器。

• • 工作流程：
    • 客户端发起请求：客户端向目标 Web 应用发送 HTTP/HTTPS 请求。这个请求包含了请求方法和可能的请求体。
    • 请求拦截：客户端的请求首先到达 WAF。由于 WAF 处于前端代理位置，它能够捕获到所有指向后端 Web 服务器的请求。
    • 协议解析：WAF 对截获的请求进行深度的协议解析。
    • 安全检测：将解析后的请求内容与预设的安全规则进行比对。
    • 行为检测：分析请求的行为模式。
    • 合法请求转发：经过检测判断请求是合法的，它会将该请求转发到后端的 Web 服务器。在转发过程中，WAF 可以根据配置实现负载均衡功能，即将请求合理地分配到多个 Web 服务器上（如果存在多个 Web 服务器）。
    • 服务器响应接收：Web 服务器处理完 WAF 转发来的请求后，会生成响应并返回给 WAF，响应包含响应码和响应体。
    • 相应检查与返回：WAF 会对接收的响应进行检查，确保响应内容没有被篡改，并且没有包含可能对客户端造成安全威胁的内容。然后，WAF 将响应原封不动地返回给客户端，完成一次完整的请求 - 响应交互过程。 

• • 透明模式和反向代理模式的区别：
    • 透明代理模式下，WAF 设备对于客户端和服务器来说是透明的，通常以桥接或旁路的方式部署在网络中，不需要对客户端和服务器的网络配置进行修改。一般不具备负载均衡功能，它主要关注的是对网络流量的安全检测和过滤，通常将请求直接转发到后端的单一服务器或服务器集群，而不进行复杂的负载分配。
    • 在反向代理模式中，WAF 作为前端代理服务器主动接收客户端的请求，客户端明确地向 WAF 发送请求，并且知道自己正在与一个代理服务器进行交互，可能涉及到修改 DNS 设置、路由配置等。WAF 在接收到请求后会对其进行处理和过滤，然后再将请求转发到后端的 Web 服务器。反向代理往往与负载均衡功能紧密结合，WAF 可以根据后端服务器的负载情况、性能指标等因素，动态地将客户端请求分配到不同的后端服务器上，实现负载均衡，提高系统的整体性能和可用性。客户端明确知道自己是在向一个代理服务器发送请求，并且在某些情况下，客户端可能需要与 WAF 进行额外的交互，如输入用户名和密码进行身份验证等。
  • 优点：能够隐藏真实的服务器地址，增加安全性。可以在WAF上实现负载均衡功能。
  • 缺点：需要更改网络配置，配置相对复杂。如果服务器原本使用全局IP地址，还需要修改原有服务器的IP和DNS配置。
• 旁路模式（端口镜像模式）：
  • 端口镜像模式通过交换机将网络流量镜像到WAF进行检测。WAF只监测流量，而不实际阻断攻击。

    

  •  工作流程：

    • 数据获取：当 Internet 的数据经过防火墙流向内部网络时，交换机将这些数据复制一份并通过镜像口发送给 WAF。
    • 监测分析：WAF 接收到通过镜像口传来的数据后，会对这些数据进行检测和分析。它会检查这些网络流量中是否存在安全威胁，比如 SQL 注入攻击、跨站脚本攻击（XSS）等。
    • 响应处理：当 WAF 检测到安全威胁时，它可以采取多种措施进行响应。它可以记录下攻击信息，生成警报通知网络管理员，或者在某些配置下，尝试阻断攻击源。不过，需要注意的是，由于 WAF 处于旁路模式，它不能直接阻断网络数据的传输路径。它通常是通过与防火墙或其他网络安全设备的联动来实现阻断功能。
  • 优点：对网络没有侵入性，可靠性高。适用于初步部署阶段，用于收集和了解服务器被访问和被攻击的信息。
  • 缺点：仅用于流量分析和告警，不能实际拦截恶意流量。
• WAF功能说明：可防止SQL注入、XSS跨站脚本攻击、Web应用扫描、Webshell 、 Cookie注入攻击、 CSRF攻击等。

• 数据库防火墙技术：

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。通过对数据库通信协议深度分析获取访问数据库服务器的应用程序数据包的”源地址、目标地址、源端口、目标端口、SQL 语句”等信息，然后依据这些信息及安全规则监控数据库风险行为，阻断违规 SQL 操作、阻断或允许合法的 SQL 操作执行。

• • 工作流程：
    • 流量捕获：数据库防火墙部署在数据库服务器前端的网络中，它会捕获所有进出数据库服务器的网络流量。无论是来自内部网络用户还是外部网络用户对数据库的访问请求，都会被防火墙所截获。这是防火墙进行后续操作的基础，就像在门口站岗的卫士，要先看清每一个进出人员（网络流量）的模样。
    • 协议解析与请求分析：捕获到流量后，防火墙会对其中的协议进行解析，并分析数据库操作请求的具体内容。它会确定请求的类型（如查询、插入、更新、删除等），操作的对象（是哪个数据表或字段），以及操作的来源（哪个 IP 地址或用户）等关键信息。
    • 规则检查与行为分析：将解析后的请求与预设的访问规则进行比对，同时分析该请求是否符合正常的行为模式。如果请求违反了规则或者行为异常，防火墙会采取相应的措施。
    • 响应与防护：当发现非法或可疑的数据库操作时，数据库防火墙可以采取多种防护措施。它可以直接阻断该操作，防止恶意操作对数据库造成损害；也可以发出警报，通知数据库管理员有可疑行为发生；还可以对操作进行审计记录，便于后续的调查和分析。
  • 主要功能：
    • 控制访问：数据库防火墙可以根据预定义的规则来控制对数据库的访问。这些规则通常由数据库管理员根据企业的安全策略和合规要求来设定。
    • 实现用户认证和授权：对访问数据库的用户进行身份认证和授权。在用户请求访问数据库时，防火墙会验证用户的身份（如用户名、密码、数字证书等），并检查用户是否具有执行所请求操作的权限。
    • 实现攻击防范：数据库防火墙能够检测和防止 SQL 注入攻击。SQL 注入是一种常见的网络攻击手段，攻击者通过在用户输入或其他数据输入点插入恶意的 SQL 语句来试图获取数据库中的敏感信息或破坏数据库。防火墙通过对输入的 SQL 语句进行解析和分析，识别出其中的恶意成分，并阻断相关请求。数据库防火墙还可以防范其他类型的恶意攻击，如跨站脚本攻击（XSS）对数据库的间接影响、暴力破解数据库登录密码等。
    • 进行行为审计：数据库防火墙会记录所有对数据库的访问操作，包括操作的时间、用户、操作类型（查询、插入、更新、删除等）、操作对象（数据表、字段）等信息。这些记录形成了一个完整的审计跟踪，便于企业在发生安全事件时进行调查和溯源。
    • 异常行为分析：对用户的操作行为进行分析，识别出异常行为。通过对用户正常操作模式的学习和建模，防火墙可以发现那些偏离正常模式的操作，如用户突然访问了其权限范围外的数据表，或者在非工作时间进行了大量的数据操作等。
    • 敏感信息保护：数据库防火墙可以识别和保护数据库中的敏感数据。当有用户试图访问或传输敏感数据时，防火墙会根据预设的策略进行管控。
    • 防止数据外泄：数据库防火墙通过对数据流向的监控和控制，防止数据泄露事件的发生。

• 工业控制系统专用防火墙

工业控制系统专用防火墙是一种用于保护工业设备及系统的网络安全机制。其技术原理主要是通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备，实现工控网络的安全隔离和工控现场操作的安全保护。与传统的 IT 防火墙不同，工业控制系统专用防火墙能够识别和处理各种工业协议，如 Modbus、OPC、DNP3 等。这些协议是工业控制系统中设备之间通信的基础，工业防火墙通过深度包检测等技术，能够对这些协议进行解析和过滤，防止恶意攻击通过工业协议渗透进系统。