以下部分内容转自:http://www.excelib.com/article/286/show/
要想真正用活防火墙,首先需要弄明白防火墙到底是什么、起什么作用,只有这样才能用的得心应手,不过由于历史原因,现在普遍对防火墙概念的理解有一定的误区,这就影响了对防火墙的灵活使用,所以在正式学习firewalld之前学生先给大家介绍一下防火墙的本质到底是什么。
“防火墙”到底是什么
“防火墙”在我国最早是一种建筑,他又叫“封火墙”,其主要作用就是防火,因为那时候的建筑都是以木质结构为主,而且又非常密集,所以一个住宅着火就很容易传播到邻近的住宅,最初的防火墙就是在这种木质结构上涂上灰泥从而达到将火源隔断的目的。
网络中的防火墙来源于英文单词“firewall”的翻译,有时候也叫“网络防火墙”,不过这个词使用的并不是非常准确,这也就导致了对防火墙的普遍误解。
一想到防火墙大家的第一印象大概就是“隔离”,而且很多防火墙的资料也是这么介绍的,比如“将内网和外网进行隔离”、“将本地电脑和外部网络隔离”等等, 而且有时候还会配一张示意图,图中的防火墙就是一堵墙。以前学生在刚接触防火墙的时候心里就产生了一些疑问:既然防火墙已经将网络给隔断了,那么正常的通信是怎么进行的呢?是可以穿墙而过还是需要从其他通道进入呢?而且,当时学生甚至认为防火墙是用来防病毒的!
其实这一切的根源都来自对“防火墙”这个词本身的理解,实际上“网络防火墙”所起的并不是墙的作用,而是门卫的作用,如果按门卫去理解很多问题就迎刃而解了。
墙和门卫有哪些区别呢?这个问题虽然看起来有些可笑,不过对于理解网络防火墙还是有好处的。首先,墙所起的作用是隔断,无论谁都过不去,但是门卫就不一样 了,他的职能是检查和判断是否可以通过,只要符合条件就可以通过;其次,墙是死的,而门卫是活的,所以门卫还可以完成很多更加灵活的功能,比如有人要到A部门办事,但A部门搬到新的办公地址去了,这时门卫就可以告诉来人“你要去的部门换地方了,你到XXX去吧”,再比如有的人并不是要进去办事,只是想从里边穿过去抄近道,这种情况门 卫也能处理,但是墙是无论如何都办不到的。
理解防火墙本质的好处
可能有的读者会想:你这是在咬文嚼字,不就是个名词吗,理解不理解又有什么关系呢?会用不就行了?而且这么多年大家用的不也挺好的嘛!
其实并不是这样,我们以前如果要使用一个防火墙一般都是先看他都具有哪些功能,其中我们能用到哪些,怎么去用,然后再去找文档、找例子。。。。。。这其实是一 种被动的用法,因为这里我们其实是将防火墙当做一个新事物来学习和使用的(虽然我们一般刚开始都会将其理解为墙,但是慢慢会发现他跟墙的模型并不相符,所以就会将其当做一个新的事物来学习),但是理解了防火墙的本质就是门卫之后就不一样了,这时我们在使用防火墙的时候首先就要想:我要给我的服务器(或者自 己的PC)找个门卫,这个门卫需要做什么,然后再去找防火墙、查具体某功能的配置方法等等,这样就主动了。
不仅如此,在理解了其本质之后还有更大的好处,比如你想好了想找的“门卫”都需要有哪些功能之后又去找防火墙,然而却发现没有一款防火墙可以满足你的需求,这时候创新的机会就来了!也就是说通过防火墙和门卫功能的类别更容易设计出更加合理和易用的防火墙。我们来看个例子,比如一个门卫应该可以有按时间段放行的功能,但是现有防火墙却很少有这个功能,其实这个功能很多地方都是可以用得到的,比如每天要定时远程备份一下日志,那么只要在每天在特定的时间段开放端口就行了,而不需要一直开着,当然这种需求可以通过定时任务很容易地解决,不过只要从“门卫”的角度去思考,这样的需求还有很多。
真正好的创意其实是建立在扎实的基本功和对事物本质的深层次理解上的,而不是为了创新而创新出来的。
防火墙与杀毒软件
对于不了解防火墙的用户来说很多时候都分不清防火墙和杀毒软件之间的关系,而且往往会认为防火墙就是用来防病毒的,其实这是对防火墙非常大的误解,这也许跟大家心目中防火墙的“墙”、“保护”、“安全”等特征有关系,但是防火墙其实并不能防病毒。
我们上面说了,防火墙所起的是门卫的作用,不过这个门卫的逻辑非常简单,他主要关心的只有两样东西:1、从哪来的2、到哪里去,别的东西他一概不管(实际上还 有一些东西,比如是有预约的——TCP,还是无预约的——UDP,如果是有预约的还会判断是刚要去预约还是已经预约好了等内容)。而病毒是属于所携带的内容方面的东西,这部分并不是门卫的职责范围,而是应该有专人去负责,这就好像有人跟门卫说要去市场部,而且门卫所接到的指令是“所有到市场部的全部放行”,所以门卫就放行了,但是没想到此人是到市场部去吵架的!不过这就不是门卫应该管的事情,而是保安所应该管的事情了。其实不仅如此,我们的防火墙这个“门 卫”即使见到来的人拿着刀、拿着枪,也一样会放行,因为他只关心两样东西:从哪里来和到哪里去。
这种结构虽然“分工明确”,但是我们总会觉得这种门卫有点不近人情,至少算不上一个好门卫。那么能不能让他包含查毒、防毒甚至杀毒的功能呢?当然没问题,因为防火墙就是一个软件,软件都是人写的, 只要我们把相应的功能给加进去就可以了,非常简单!不过事实上并非如此,我们还拿门卫的例子来给大家解释,因为门卫需要负责检查所有进出的人,而要想知 道某个人是否携带了违禁物品(病毒)就需要对其进行收身,如果门卫要对所有人都进行收身,那么大家可以想象一下在上下班这种人流高峰期会是一种什么场景!而 且对于服务器来说一秒钟就可能会有成千上万的访问,所以哪怕每次检查多用一点点时间,累计起来就非常可怕了!而且以我们现在这种特征码的检查方式来说检查病毒所用的并不是“一点点时间”,所以这种想法虽然技术上没有问题,但是并不可行,至少从现在的技术来看是不可行的。
我们来总结一下,防火墙就像一个门卫,他的职能是负责让不让进出,而进去之后干什么那就不是他需要管的事情了,这应该是保安(杀毒软件)或者其他相关部门的人所需要负责的。
以下内容摘自百度百科: https://baike.baidu.com/item/%E9%98%B2%E7%81%AB%E5%A2%99/52767?fr=aladdin
防火墙技术
防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰与影响。随着网络技术手段的完善,防火墙技术的功能也在不断地完善,可以实现对信息的过滤,保障信息的安全性。防火墙就是一种在内部与外部网络的中间过程中发挥作用的防御系统,具有安全防护的价值与作用,通过防火墙可以实现内部与外部资源的有效流通,及时处理各种安全隐患问题,进而提升了信息数据资料的安全性。防火墙技术具有一定的抗攻击能力,对于外部攻击具有自我保护的作用,随着计算机技术的进步防火墙技术也在不断发展。
[3]
(1)过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
[3] (2)应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
[3] (3)复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是
包过滤策略,那么可以针对报文的报头部分进行访问控制;如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
[6] 防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中,其能够完成对防火墙的状态检测,从而预先可以把逻辑策略进行确定。逻辑策略主要针对地址、端口与源地址,通过防火墙所有的数据都需要进行分析,如果数据包内具有的信息和策略要求是不相符的,则其数据包就能够顺利通过,如果是完全相符的,则其数据包就被迅速拦截。计算机数据包传输的过程中,一般都会分解成为很多由目和地质等组成的一种小型数据包,当它们通过防火墙的时候,尽管其能够通过很多传输路径进行传输,而最终都会汇合于同一地方,在这个目地点位置,所有的数据包都需要进行防火墙的检测,在检测合格后,才会允许通过,如果传输的过程中,出现数据包的丢失以及地址的变化等情况,则就会被抛弃。
[2] 计算机信息传输的过程中,借助防火墙还能够有效的实现信息的加密,通过这种加密技术,相关人员就能够对传输的信息进行有效的加密,其中信息密码是信息交流的双方进行掌握,对信息进行接受的人员需要对加密的信息实施解密处理后,才能获取所传输的信息数据,在防火墙加密技术应用中,要时刻注意信息加密处理安全性的保障。在防火墙技术应用中,想要实现信息的安全传输,还需要做好用户身份的验证,在进行加密处理后,信息的传输需要对用户授权,然后对信息接收方以及发送方要进行身份的验证,从而建立信息安全传递的通道,保证计算机的网络信息在传递中具有良好的安全性,非法分子不拥有正确的身份验证条件,因此,其就不能对计算机的网络信息实施入侵。
[2] 防火墙具有着防病毒的功能,在防病毒技术的应用中,其主要包括病毒的预防、清除和检测等方面。防火墙的防病毒预防功能来说,在网络的建设过程中,通过安装相应的防火墙来对计算机和互联网间的信息数据进行严格的控制,从而形成一种安全的屏障来对计算机外网以及内网数据实施保护。计算机网络要想进行连接,一般都是通过互联网和路由器连接实现的,则对网络保护就需要从主干网的部分开始,在主干网的中心资源实施控制,防止服务器出现非法的访问,为了杜绝外来非法的入侵对信息进行盗用,在计算机连接的端口所接入的数据,还要进行以太网和IP地址的严格检查,被盗用IP地址会被丢弃,同时还会对重要信息资源进行全面记录,保障其计算机的信息网络具有良好安全性。
[2] 代理服务器是防火墙技术引用比较广泛的功能,根据其计算机的网络运行方法可以通过防火墙技术设置相应的代理服务器,从而借助代理服务器来进行信息的交互。在信息数据从内网向外网发送时,其信息数据就会携带着正确IP,非法攻击者能够分局信息数据IP作为追踪的对象,来让病毒进入到内网中,如果使用代理服务器,则就能够实现信息数据IP的虚拟化,非法攻击者在进行虚拟IP的跟踪中,就不能够获取真实的解析信息,从而代理服务器实现对计算机网络的安全防护。另外,代理服务器还能够进行信息数据的中转,对计算机内网以及外网信息的交互进行控制,对计算机的网络安全起到保护。
[2] 防火墙是为加强网络安全防护能力在网络中部署的硬件设备,有多种部署方式,常见的有桥模式、网关模式和NAT模式等。
[5] 1、桥模式
防火墙技术
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
[5]
2、网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
[5] 3、NAT模式
NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
[5] 如果在NAT模式的基础上需要实现外部网络访问内部网络服务的需求时,还可以使用地址/端口映射(MAP)技术,在防火墙上进行地址/端口映射配置,当外部网络用户需要访问内部服务时,防火墙将请求映射到内部服务器上;当内部服务器返回相应数据时,防火墙再将数据转发给外部网络。使用地址/端口映射技术实现了外部用户能够访问内部服务,但是外部用户无法看到内部服务器的真实地址,只能看到防火墙的地址,增强了内部服务器的安全性。
[5] 4、高可靠性设计
防火墙都部署在网络的出入口,是网络通信的大门,这就要求防火墙的部署必须具备高可靠性。一般IT设备的使用寿命被设计为3至5年,当单点设备发生故障时,要通过冗余技术实现可靠性,可以通过如虚拟路由冗余协议(VRRP)等技术实现主备冗余。目前,主流的网络设备都支持高可靠性设计。
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
