防火牆的基礎知識（會話表）

基本理解

防火牆的作用：隔離內外網
防火牆是什麼：指（在遭受入侵時）隔離內外網的設備或者做內外網隔離的策略

歷史進程：

黑客：僞造ip，僞造端口號，破解acl和nat（利用nat映射表）
安全：利用Tcp通信過程：握手syn，ack，rst，外網服務器只會發ack和rst，在防火牆上抓外網來的包必須有ack和rst（釋放鏈接）字段才讓進，這樣可以有效阻止攻擊者（當然在攻擊者無法造包flag字段情況下）
黑客：拒絕式服務攻擊，不停的發rst和ack，不斷騷擾（也可以使用udp，icmp等）
安全：自反acl，沒出去過的進不來（類似nat）：出去的時候匹配流量，將源目ip和端口倒置放在回來時的入向口做的acl中（udp、icmp就搞定了）
黑客：僞造ip和端口

1. 包過濾防火牆（ 原始的防火牆：acl+nat(動態加靜態)）
   原理：nat\pat\acl\雙向acl\flag字段（本質上是路由器技術）
   缺點：
   A）無法阻止欺騙類攻擊（僞造ip，端口，rst等）
   B）容易受到拒絕式服務攻擊的影響
   C）逐包匹配原則，流量大的時候自己就掛了
2. 代理服務器技術
   原理：代理服務器攔下所有包，重新封裝（做所有的事都必須經過代理服務器，根本到不了內網，沒有對接）
   好處：可以對應用層進行檢查
   缺點：效率非常低，太慢了，比包過濾防火牆還低
   補充：堡壘機——類似於主機，裏面裝了一些代理軟件
3. 狀態防火牆
   原理：可以看做動態包過濾技術（類似於一次檢查後續的都直接過），不再拿包去匹配，拿流量去匹配（第一個包ok後續的包都不匹配直接看狀態表就可以）
   重大的理念上的升級：
   把網絡中的數據以流的形式對待；
   流在狀態防火牆會形成會話表。
   A）流的第一個包進入防火牆，防火牆先去匹配規則，如果規則允許會到第二步；如果規則不允許，丟棄（包括路由、nat、acl等各種策略規則）
   B）會爲流建立會話表，後續所有流的包直接匹配會話表進行轉發
   p.s.會話表可以理解成包的預期表，類似算命的
   （回來的包看是否符合會話表的預期，比如來的口，源目ip，若是握手階段有flag字段，數據傳輸字段回包的序列號範圍等；若不符合預期直接丟棄）
   
   如圖，當client去server時，經過防火牆爲該流建立會話表，將信息放到表裏，並且對回來的即server到client的流量做一個預期同樣寫到表裏，如圖中對回來的流量的預期：源目ip交換，源目端口交換，並放置在會話表中
   優點：兼顧了包過濾技術中的規則表，更考慮了數據包是否符合會話所處的狀態，提供了完整的對傳輸層的控制能力，安全性好、速度快

防火牆與各種協議

1. TCP
   超時機制：
   A）握手階段超時時間一般60s（超時預期表就刪除），防止tcp的半開攻擊（tcp收到syn，回了syn_ack然後對方不回最後的ack，開闢一塊空間等最後的ack，一直等不到，然後好多這樣的等待佔滿了空間，這時正常的握手包來了沒地方了就沒辦法進行正常的tcp握手了；市面上常見的dos，ddos攻擊就這樣的）
   這是防火牆緩解dos攻擊的方法
   DOS攻擊：不停的握手不回包=>
   防禦：建立一個cookie表，表中記錄與之握手的源地址，握手完成cookie表就釋放，若沒有回包就一直在；如果第X次握手再來握手，檢測cookie如果有記錄就不處理，不會把不回ack的握手放置在two-way timeout表中；
   防火牆技術可以設置會話表的鏈接次數，也可以防止DOS攻擊
   DDOS攻擊：用不同的主機進行握手（大量殭屍機），上方cookie防禦無效
   B）握手成功一般會話表的超時時間爲60min

總結：超時機制用來緩解dos攻擊，另一方面還需要解決的是內存空間問題

2. ftp 的問題
   先用21號端口發送請求，服務器換一個端口號主動向客戶端發送一個傳輸鏈接（由於回建立連接的不一定是21端口，數據被防火牆的會話表過濾掉了）
   措施：端口檢測技術，檢查21號端口的傳輸數據的數據部分（應用層），查看傳輸的協商端口，然後在防火牆上開放此端口。這種技術會使得防火牆性能下降

3. UDP的問題：
   沒有flag字段，所以檢查的元素會變少，防禦效果會減弱，而且udp是無連接的，只能通過源目ip，端口判斷
   UDP對防火牆來講也會創建虛鏈接會話表

4. ICMP的問題：
   沒有端口，防禦能力繼續下降，一般防火牆會默認禁止icmp回包

5. 針對應用層的攻擊
   會話表無法查看應用層的內容，無法防止基於應用的攻擊（對於這個網絡層的防火牆無能爲力，有專門針對應用層的防禦，針對應用開發相應的防禦設備和軟件）

總結：狀態型防火牆檢查的是三四層，由於不拆應用層性能相對較高，匹配規則是動態規則，防禦能力較強，尤其對於tcp的防護

補充

1. 入侵檢測技術：
   深入到數據包內提取入侵點的特徵因素
   深度包檢測技術（防止SQL注入，檢測select等語句並判定爲入侵行爲deny掉）
   深度流檢測技術（行爲檢測）=>早年間只是預警，無法防禦
   入侵檢測IDS：檢測到以後連到防火牆讓它動態產生策略
   IPS：入侵防禦 防火牆幹掉三四層的攻擊，IPS用來防禦應用層的攻擊=>應用入侵檢測作出入侵反應
   殭屍網絡監測（查找已知殭屍網絡的數據庫）

總結：會出現的問題=>網絡邊界設備過多=>有路由器、防火牆、IPS、應用代理（管理流量、上網行爲）、qos、WAR（web application Firewalls）、防毒牆、漏洞檢測、負載均衡設備等···

2. UTM：多功能防火牆 （2004）
   將需要用到的安全設備進行整合
   設備中整合了很多模塊=>解決了多次拆包、多次檢測、應用層性能低的問題
   沙盒技術：
   把有問題的包拿出來組裝，在一個隔離的空間運行，觀察其行爲，進行威脅判定

FEATURE

1. Cookie：
   指某些網站爲了辨別用戶身份、進行 session 跟蹤而儲存在用戶本地終端上的數據（通常經過加密）
   實質：Cookie 是由 Web 服務器保存在用戶瀏覽器上的小文本文件，它包含有關用戶的信息
   作用：是爲了讓用戶在訪問某網站時，進一步提高訪問速度，同時也爲了進一步實現個人化網絡
   原理：Cookie 在計算機中是個存儲在瀏覽器目錄中的文本文件，當瀏覽器運行時，存儲在 RAM 中發揮作用 （Session Cookies），一旦用戶從該網站或服務器退出，Cookie 可存儲在用戶本地的硬盤上 （Persistent Cookies）。
   Cookie是面向路徑的。缺省路徑 (path) 屬性時，Web 服務器頁會自動傳遞當前路徑給瀏覽器，指定路徑強制服務器使用設置的路徑。在一個目錄頁面裏設置的 Cookie 在另一個目錄的頁面裏是看不到的
   用途：
   A）Cookie 的用途之一是存儲用戶在特定網站上的密碼和 ID。
   B）用於存儲起始頁的首選項。在提供個人化查看的網站上，將要求你的網絡瀏覽器利用你計算機硬驅上的少量空間來儲存這些首選項。
   C）網站個人化是 cookie 最有益的用途之一。例如，當誰來到 CNN 網站，但並不想查看任何商務新聞。網站允許他將該項選爲關閉選項。從那時起（或者直到 cookie 逾期），他在訪問 CNN 網頁時將不會讀到商務新聞。

2. 防火牆默認過濾icmp包

3. 防火牆可以識別inside和outside的語句，默認inside到outside允許，反之不允許，因此由內到外做策略做拒絕，由外到內做允許（安全等級不同）

4. 配置防火牆要關注其默認的策略

小結