目錄
防火牆概述
防火牆產生背景
- 互聯網的迅猛發展
- 網絡協議的脆弱性
- 企業業務的需要
- 信任邊界複雜,缺乏有效管理
防火牆定義
- 根據訪問控制規則決定進出網絡的行爲
- 一種高級訪問控制設備,置於不同網絡安全域之間的一系列部
件的組合,它是不同網絡安全域間通信流的唯一通道,能根據
企業有關的安全政策控制(允許、拒絕、監視、記錄)進出網
絡的訪問行爲。
防火牆作用
- 過濾進出網絡的數據包
- 管理進出網絡的訪問行爲
- 封堵某些禁止的訪問行爲
- 記錄通過防火牆的信息內容和活動
- 對網絡攻擊進行告警
防火牆的侷限性
- 防火牆不能防範不經過防火牆的攻擊。如
撥號訪問、內部攻擊等。 - 病毒等惡性程序可利用email夾帶闖關
- 防火牆不能解決來自內部網絡的攻擊和安
全問題 - 防火牆不能防止策略配置不當或錯誤配置
引起的安全威脅。 - 防火牆不能防止利用標準網絡協議中的缺
陷進行的攻擊 - 防火牆不能防止利用服務器系統漏洞所進
行的攻擊。 - 防火牆不能防止數據驅動式的攻擊。有些
表面看來無害的數據郵寄或拷貝到內部網
的主機上並被執行時,可能會發生數據驅
動式的攻擊。 - 防火牆不能防止本身的安全漏洞的威脅。
目前還沒有廠商絕對保證防火牆不會存在
安全漏洞。
防火牆的侷限性
- 防火牆的操作系統不能保證沒有漏洞
- 防火牆的硬件不能保證不失效
- 防火牆軟件不能保證沒有漏洞
- 防火牆無法解決TCP/IP等協議的漏洞
- 防火牆無法區分惡意命令還是善意命令
- 防火牆無法區分惡意流量和善意流量
- 防火牆的安全性與多功能成反比。除非確信需要某些功能,否則,應該功能最小化
- 防火牆的安全性和速度成反比
- 防火牆的多功能與速度成反比
- 防火牆無法保證准許服務的安全性
防火牆的分類
按形態分類
- 軟件防火牆
- 硬件防火牆
按保護對象分類
- 網絡防火牆:保護整個網絡
- 單機防火牆:保護單臺主機
| 單機防火牆 | 網絡防火牆 | |
| 產品形態 | 軟件 | 硬件或者軟件 |
| 安裝點 | 單臺獨立的Host | 網絡邊界處 |
| 安全策略 | 分散在各個安全點 | 對整個網絡有效 |
| 保護範圍 | 單臺主機 | 一個網段 |
| 管理方式 | 分散管理 | 集中管理 |
| 功能 | 功能單一 | 功能複雜、多樣 |
| 管理人員 | 普通計算機用戶 | 專業網管人員 |
| 安全措施 | 單點安全措施 | 全局安全措施 |
| 結論:單機防火牆時網絡防火牆的有益補充,但不能代替網絡防火牆爲內部網絡提供強大的保護功能 | ||
| 操作系統平臺 | 安全性 | 性能 | 穩定性 | 網絡適應性 | 分發 | 升級 | 版本 | |
| 硬件防火牆 | 基於精簡專用OS | 高 | 高 | 較高 | 強 | 不易 | 較容易 | price = firwall + server |
| 軟件防火牆 | 基於龐大通用的OS | 較高 | 較高 | 高 | 較強 | 非常容易 | 容易 | price = firwall |
基於路由防火牆的特點
- 利用路由器本身對分組的解析,以訪問控制表方式實現對分組的考慮
- 過濾判決的依據可以是:MAC地址、端口號、IP及其他網絡特徵
- 只有分組過濾的功能,配置簡單
基於路由防火牆的缺點:
- 本身具有安全漏洞
- 過濾規則的設置和配置存在安全隱患
- 最大隱患是:攻擊者可以以”假冒“地址進行攻擊
- 本質性缺陷:會大大降低路由器的性能
基於操作系統防火牆的特點
- 時批量上市的專用防火牆產品
- 包括分組過濾或者借用路由器的分組過濾功能
- 裝有專用的代理系統,監控所有協議的數據和指令
- 保護用戶編程空間和用戶可配置內核參數的設置
- 安全性和速度大大提高
通用操作系統防火牆的缺點
- 由於源碼的保密,其安全性無從保證、
- 由於大多數防火牆廠商並非通過通用操作系統的廠商,通用操作系統廠商不會對操作系統的安全性負責
- 從本質上看,該類防火牆既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商的攻擊。
- 用戶用戶必須依賴兩方面的安全支持:一是防火牆廠商、二是操作系統廠商。
安全操作系統防火牆的特點
- 防火牆廠商具有操作系統的源代碼,並可實現安全內核
- 對安全內核實現加固處理:即去掉不必要的系統特性,加上內核特性,強化安全保護
- 對每個服務器、子系統都做了安全處理,一旦黑客攻破了一個服務器,它將會被隔離在此服務器內,不會對網絡的其他部分構成威脅
- 在功能上包括了分組過濾、應用網關、
- 電路級網關,且具有加密與鑑別功能
- 透明性好,易於使用
防火牆的相關術語
- 主機
- 保壘主機
- 雙宿主機
- 數據包過濾
- 屏蔽路由器
- 屏蔽主機
- 屏蔽子網
- 代理服務器
防火牆的體系結構
- 篩選路由器:外網和內網之間進行包過濾
- 多宿主主機:通過應用代理、通過登陸到雙宿主主機上獲得服務。禁止內外網之間直接通信
- 但是有一個缺點:如何保護雙宿主主機本身的安全
- 被屏蔽主機:堡壘主機與其他主機在同一個子網,一旦堡壘主機被攻破或被越過,整個內網和堡壘主機之間就再也沒有任何阻擋
- 被屏蔽子網:內部篩選路由器和外部篩選路由器分佈在內網與外網之間
防火牆主要技術
防火牆核心技術
- 簡單包過濾技術
- 根據流經防火牆的數據包頭信息,決定是否允許該數據包通過
- 創建包過濾規則
- 打算提供何種網絡服務,並以什麼方向提供這些服務?
- 需要限制任何內部主機與因特網連接的能力嗎?
- 因特網上是否有可信任的主機,可以某種形式訪問內部網絡嗎?
- 判斷依據有:
- 數據包協議類型:TCP、UDP、ICMP、IGMP等
- 源、目的IP地址
- 源、目的端口:FTP、HTTP、DNS等
- IP選項:源路由選項等
- TCP選項:SYN、ACK、FIN、RST等
- 其他協議選項:ICMP ECHO、ICMP ECHO REPLY等
- 數據包流向:in或out
- 數據包流經網絡接口:eho0、eth1
- 缺點:
- 不能防範黑客的IP欺騙類攻擊
- 不支持應用層協議
- 假設內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用HTTP協議),不允許去外網下載電影(一般使用FTP協議)。包過濾防火牆也無能爲力,因爲它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
- 不能處理新的安全威脅
- 它不能跟蹤TCP狀態,所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪問時,一些以TCP應答的形式從外部對內網進行的攻擊可以穿透防火牆。
- IP地址欺騙,例如:假冒內部的IP地址
- 對策:在外部接口上禁止內部地址
- 源路由攻擊,即由源指定路由
- 對策:禁止這樣的選項
- 小碎片攻擊,利用IP分片功能把TCP頭部切分到不同的分片中
- 對策:丟棄分片太小的分片
- 狀態檢測包過濾技術
- 檢查原理:對於新建立的應用連接,狀態檢測型防火牆先檢查預先設置的安全規則,允許符合規則的連接通過,並記錄下該連接的相關信息,生成狀態表。對該連接的後續數據包,只要是符合狀態表,就可以通過。
- 目前的狀態檢測技術僅可以用於TCP/IP網絡
- 檢測內容
- 通信信息:驗證數據的源地址、目的地址和端口號、協議類型、應用信息等多層的標誌,因此具有更全面的安全性。
- 通信狀態:即以前的通信信息
- 優點:
- 提供了完整的對傳輸層的控制能力
- 使防火牆性能得到較大的提高,特別是大流量的處理能力
- 而且,它根據從所有應用層中提取的與狀態相關信息來做出安全決策,使得安全性也得到進一步的提高。
- 注意:任何一款高性能的防火牆,都會採用狀態檢測技術
- 應用代理技術
- 優點:
- 安全性高
- 提供應用層的安全
- 是可以檢查應用層、傳輸層和網絡層的協議特徵,對數據包的檢測能力比較強。
- 缺點
- 性能差
- 伸縮性差
- 只支持有限的應用
- 不透明
- 難以配置:由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。
- 處理速度特別慢
- 優點:
- 複合技術
- 可以檢查整個數據包內容
- 根據需要建立連接狀態表
- 網絡層保護強
- 應用層控制細
- 會話控制較弱
- 地址轉換技術
- 隱藏了內部網絡的結構
- 內部網絡可以使用私有IP地址
- 公開地址不足的網絡可以使用這種方式提供IP複用功能。
防火牆的基本功能
- 過濾進、出網絡的數據;
- 管理進、出網絡的訪問行爲;
- 封堵某些禁止的業務;
- 記錄通過防火牆的信息內容和活動。
- 對網絡攻擊檢測和告警。
防火牆的其他功能
- 安全審計
- 負載均衡
- 算法:
- 順序選擇地址+權值
- 根據PING 的時間間隔來選擇地址+權值
- 根據Connect 的時間間隔來選擇地址+權值
- 根據Connect 然後發送請求並得到應答的時間間隔來選擇地址+權值
- 算法:
- 雙機熱備
- 有兩個防火牆,主防火牆和從防火牆。
- 正常情況下由主防火牆工作,當主防火牆出現故障時,從防火牆接替主防火牆的工作
- 防禦功能
- 聯動功能
- 內容過濾
- VPN功能
- 雙地址路由
- 根據源、目的地址來進行路由
- 主機A通過科研網上Internet,主機B直接連接Internet
- 端口映射(MAP)
- DHCP環境支持
- MAC綁定功能
- 帶寬管理
- 多協議支持
- 支持動態路由
- 對OSPF 路由協議的支持
- 對RIP、RIP2協議的支持
- 多協議支持
- 對NETBEUI、VOD協議的支持
- 支持802.1q 和 Cisco 的 ISL協議等VLAN專用協議
- 支持DHCP、BOOTP協議
- 支持動態路由
防火牆的性能指標
- 最大位轉發率
- 防火牆的位轉發率指在特定負載下每秒種防火牆將允許的數據流轉發至正確的目的接口的位數
- 最大位轉發率指在不同的負載下反覆測量得出的位轉發率數值中最大值
- 吞吐量
- 在不丟包的情亂下能夠達到的最大速率
- 衡量標準:吞吐量作爲衡量防護牆性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸,以至影響到整個網絡的性能。
- 延時
- 定義:入口處輸入幀最後一個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔
- 衡量標準:防火牆的時延能夠體現它處理數據的速度
- 丟包率
- 定義:在連續負載的情況下,防火牆設備由於資源不足應轉發但卻未轉發的幀的百分比
- 衡量標準:防火牆的丟包率對其穩定性、可靠性有很大的影響。
- 背靠背
- 定義:從空閒狀態開始,以達到傳輸介質最小合法間隔極限的傳輸速率發送相當數量的古蕩長度的幀,當出現第一個幀丟失時,發送的幀數。
- 衡量標準:背對揹包的測試結果能體現出被測防火牆的緩衝容量,網絡上經常會有一些應用會產生大量的突發數據包(例如:NFS、備份、路由更新等),而且這樣的數據包的丟失可能會產生更多的數據包,強大的緩衝能力可以減少這種突發對網絡造成的影響。
- 背靠背指標體現防火牆對突發數據的處理能力
- 最大併發連接數
- 定義:指穿越防火牆的主機之間或主機與防火牆之間能夠同時建立的最大連接數。
- 衡量標準:併發連接數的測試主要用來測試被測防火牆建立和維持TCP 連接的性能,同時也能通過併發連接數的大小體現被測防火牆對來自於客戶端的TCP連接請求的響應能力。
- 併發連接數指標可以用來衡量穿越防火牆的主機之間能同時建立的最大連接數。
- 最大併發連接建立速率
- 定義:指穿越防火牆的主機之間或主機與防火牆之間單元時間內建立的最大連接數。
- 衡量標準:最大併發連接數建立速率主要用來衡量防火牆單位時間內建立和維持TCP 連接的能力。
- 平均無故障間隔時間
防火牆功能指標
- 分級帶寬管理
- LAN接口
- 多協議支持
- 認證支持
- 高級訪問控制
防火牆部署方式
- 透明模式
- 路由模式
- 混合模式