目录
防火墙概述
防火墙产生背景
- 互联网的迅猛发展
- 网络协议的脆弱性
- 企业业务的需要
- 信任边界复杂,缺乏有效管理
防火墙定义
- 根据访问控制规则决定进出网络的行为
- 一种高级访问控制设备,置于不同网络安全域之间的一系列部
件的组合,它是不同网络安全域间通信流的唯一通道,能根据
企业有关的安全政策控制(允许、拒绝、监视、记录)进出网
络的访问行为。
防火墙作用
- 过滤进出网络的数据包
- 管理进出网络的访问行为
- 封堵某些禁止的访问行为
- 记录通过防火墙的信息内容和活动
- 对网络攻击进行告警
防火墙的局限性
- 防火墙不能防范不经过防火墙的攻击。如
拨号访问、内部攻击等。 - 病毒等恶性程序可利用email夹带闯关
- 防火墙不能解决来自内部网络的攻击和安
全问题 - 防火墙不能防止策略配置不当或错误配置
引起的安全威胁。 - 防火墙不能防止利用标准网络协议中的缺
陷进行的攻击 - 防火墙不能防止利用服务器系统漏洞所进
行的攻击。 - 防火墙不能防止数据驱动式的攻击。有些
表面看来无害的数据邮寄或拷贝到内部网
的主机上并被执行时,可能会发生数据驱
动式的攻击。 - 防火墙不能防止本身的安全漏洞的威胁。
目前还没有厂商绝对保证防火墙不会存在
安全漏洞。
防火墙的局限性
- 防火墙的操作系统不能保证没有漏洞
- 防火墙的硬件不能保证不失效
- 防火墙软件不能保证没有漏洞
- 防火墙无法解决TCP/IP等协议的漏洞
- 防火墙无法区分恶意命令还是善意命令
- 防火墙无法区分恶意流量和善意流量
- 防火墙的安全性与多功能成反比。除非确信需要某些功能,否则,应该功能最小化
- 防火墙的安全性和速度成反比
- 防火墙的多功能与速度成反比
- 防火墙无法保证准许服务的安全性
防火墙的分类
按形态分类
- 软件防火墙
- 硬件防火墙
按保护对象分类
- 网络防火墙:保护整个网络
- 单机防火墙:保护单台主机
| 单机防火墙 | 网络防火墙 | |
| 产品形态 | 软件 | 硬件或者软件 |
| 安装点 | 单台独立的Host | 网络边界处 |
| 安全策略 | 分散在各个安全点 | 对整个网络有效 |
| 保护范围 | 单台主机 | 一个网段 |
| 管理方式 | 分散管理 | 集中管理 |
| 功能 | 功能单一 | 功能复杂、多样 |
| 管理人员 | 普通计算机用户 | 专业网管人员 |
| 安全措施 | 单点安全措施 | 全局安全措施 |
| 结论:单机防火墙时网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能 | ||
| 操作系统平台 | 安全性 | 性能 | 稳定性 | 网络适应性 | 分发 | 升级 | 版本 | |
| 硬件防火墙 | 基于精简专用OS | 高 | 高 | 较高 | 强 | 不易 | 较容易 | price = firwall + server |
| 软件防火墙 | 基于庞大通用的OS | 较高 | 较高 | 高 | 较强 | 非常容易 | 容易 | price = firwall |
基于路由防火墙的特点
- 利用路由器本身对分组的解析,以访问控制表方式实现对分组的考虑
- 过滤判决的依据可以是:MAC地址、端口号、IP及其他网络特征
- 只有分组过滤的功能,配置简单
基于路由防火墙的缺点:
- 本身具有安全漏洞
- 过滤规则的设置和配置存在安全隐患
- 最大隐患是:攻击者可以以”假冒“地址进行攻击
- 本质性缺陷:会大大降低路由器的性能
基于操作系统防火墙的特点
- 时批量上市的专用防火墙产品
- 包括分组过滤或者借用路由器的分组过滤功能
- 装有专用的代理系统,监控所有协议的数据和指令
- 保护用户编程空间和用户可配置内核参数的设置
- 安全性和速度大大提高
通用操作系统防火墙的缺点
- 由于源码的保密,其安全性无从保证、
- 由于大多数防火墙厂商并非通过通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责
- 从本质上看,该类防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
- 用户用户必须依赖两方面的安全支持:一是防火墙厂商、二是操作系统厂商。
安全操作系统防火墙的特点
- 防火墙厂商具有操作系统的源代码,并可实现安全内核
- 对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护
- 对每个服务器、子系统都做了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁
- 在功能上包括了分组过滤、应用网关、
- 电路级网关,且具有加密与鉴别功能
- 透明性好,易于使用
防火墙的相关术语
- 主机
- 保垒主机
- 双宿主机
- 数据包过滤
- 屏蔽路由器
- 屏蔽主机
- 屏蔽子网
- 代理服务器
防火墙的体系结构
- 筛选路由器:外网和内网之间进行包过滤
- 多宿主主机:通过应用代理、通过登陆到双宿主主机上获得服务。禁止内外网之间直接通信
- 但是有一个缺点:如何保护双宿主主机本身的安全
- 被屏蔽主机:堡垒主机与其他主机在同一个子网,一旦堡垒主机被攻破或被越过,整个内网和堡垒主机之间就再也没有任何阻挡
- 被屏蔽子网:内部筛选路由器和外部筛选路由器分布在内网与外网之间
防火墙主要技术
防火墙核心技术
- 简单包过滤技术
- 根据流经防火墙的数据包头信息,决定是否允许该数据包通过
- 创建包过滤规则
- 打算提供何种网络服务,并以什么方向提供这些服务?
- 需要限制任何内部主机与因特网连接的能力吗?
- 因特网上是否有可信任的主机,可以某种形式访问内部网络吗?
- 判断依据有:
- 数据包协议类型:TCP、UDP、ICMP、IGMP等
- 源、目的IP地址
- 源、目的端口:FTP、HTTP、DNS等
- IP选项:源路由选项等
- TCP选项:SYN、ACK、FIN、RST等
- 其他协议选项:ICMP ECHO、ICMP ECHO REPLY等
- 数据包流向:in或out
- 数据包流经网络接口:eho0、eth1
- 缺点:
- 不能防范黑客的IP欺骗类攻击
- 不支持应用层协议
- 假设内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。包过滤防火墙也无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。
- 不能处理新的安全威胁
- 它不能跟踪TCP状态,所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答的形式从外部对内网进行的攻击可以穿透防火墙。
- IP地址欺骗,例如:假冒内部的IP地址
- 对策:在外部接口上禁止内部地址
- 源路由攻击,即由源指定路由
- 对策:禁止这样的选项
- 小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中
- 对策:丢弃分片太小的分片
- 状态检测包过滤技术
- 检查原理:对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要是符合状态表,就可以通过。
- 目前的状态检测技术仅可以用于TCP/IP网络
- 检测内容
- 通信信息:验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
- 通信状态:即以前的通信信息
- 优点:
- 提供了完整的对传输层的控制能力
- 使防火墙性能得到较大的提高,特别是大流量的处理能力
- 而且,它根据从所有应用层中提取的与状态相关信息来做出安全决策,使得安全性也得到进一步的提高。
- 注意:任何一款高性能的防火墙,都会采用状态检测技术
- 应用代理技术
- 优点:
- 安全性高
- 提供应用层的安全
- 是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
- 缺点
- 性能差
- 伸缩性差
- 只支持有限的应用
- 不透明
- 难以配置:由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。
- 处理速度特别慢
- 优点:
- 复合技术
- 可以检查整个数据包内容
- 根据需要建立连接状态表
- 网络层保护强
- 应用层控制细
- 会话控制较弱
- 地址转换技术
- 隐藏了内部网络的结构
- 内部网络可以使用私有IP地址
- 公开地址不足的网络可以使用这种方式提供IP复用功能。
防火墙的基本功能
- 过滤进、出网络的数据;
- 管理进、出网络的访问行为;
- 封堵某些禁止的业务;
- 记录通过防火墙的信息内容和活动。
- 对网络攻击检测和告警。
防火墙的其他功能
- 安全审计
- 负载均衡
- 算法:
- 顺序选择地址+权值
- 根据PING 的时间间隔来选择地址+权值
- 根据Connect 的时间间隔来选择地址+权值
- 根据Connect 然后发送请求并得到应答的时间间隔来选择地址+权值
- 算法:
- 双机热备
- 有两个防火墙,主防火墙和从防火墙。
- 正常情况下由主防火墙工作,当主防火墙出现故障时,从防火墙接替主防火墙的工作
- 防御功能
- 联动功能
- 内容过滤
- VPN功能
- 双地址路由
- 根据源、目的地址来进行路由
- 主机A通过科研网上Internet,主机B直接连接Internet
- 端口映射(MAP)
- DHCP环境支持
- MAC绑定功能
- 带宽管理
- 多协议支持
- 支持动态路由
- 对OSPF 路由协议的支持
- 对RIP、RIP2协议的支持
- 多协议支持
- 对NETBEUI、VOD协议的支持
- 支持802.1q 和 Cisco 的 ISL协议等VLAN专用协议
- 支持DHCP、BOOTP协议
- 支持动态路由
防火墙的性能指标
- 最大位转发率
- 防火墙的位转发率指在特定负载下每秒种防火墙将允许的数据流转发至正确的目的接口的位数
- 最大位转发率指在不同的负载下反复测量得出的位转发率数值中最大值
- 吞吐量
- 在不丢包的情乱下能够达到的最大速率
- 衡量标准:吞吐量作为衡量防护墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能。
- 延时
- 定义:入口处输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔
- 衡量标准:防火墙的时延能够体现它处理数据的速度
- 丢包率
- 定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧的百分比
- 衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响。
- 背靠背
- 定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的古荡长度的帧,当出现第一个帧丢失时,发送的帧数。
- 衡量标准:背对揹包的测试结果能体现出被测防火墙的缓冲容量,网络上经常会有一些应用会产生大量的突发数据包(例如:NFS、备份、路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大的缓冲能力可以减少这种突发对网络造成的影响。
- 背靠背指标体现防火墙对突发数据的处理能力
- 最大并发连接数
- 定义:指穿越防火墙的主机之间或主机与防火墙之间能够同时建立的最大连接数。
- 衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP 连接的性能,同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。
- 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数。
- 最大并发连接建立速率
- 定义:指穿越防火墙的主机之间或主机与防火墙之间单元时间内建立的最大连接数。
- 衡量标准:最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP 连接的能力。
- 平均无故障间隔时间
防火墙功能指标
- 分级带宽管理
- LAN接口
- 多协议支持
- 认证支持
- 高级访问控制
防火墙部署方式
- 透明模式
- 路由模式
- 混合模式