防火墻基礎知識,言簡意賅!
防火墻基礎知識,言簡意賅!
防火墻概述
在通信領域中,防火墻主要用于保護一個網絡免受來自另一個網絡的攻擊和入侵行為。
什么是防火墻?
1、指一種將內部網絡和公共訪問網絡(Internet)分開的方法,實際上是一種隔離技術。
2、在兩個網絡通訊時執行的一種訪問控制尺度。(允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。)
防火墻=硬件+軟件+控制策略
控制策略表現形式:
- 除非明確禁止,否則允許。
- 除非明確允許,否則禁止。
防火墻分類
- 按形態分類
- 硬件防火墻:
系統是嵌入式的系統。一般開源的較多。硬件防火墻是通過硬件和軟件的組合來達到隔離內外部網絡的目的。
- 軟件防火墻:
一般寄生在操作系統平臺。軟件防火墻是通過純軟件的的方式實現隔離內外部網絡的目的。
- 按保護對象分類
- 單機防火墻:服務范圍為當前主機。
- 網絡防火墻:服務范圍為防火墻一側的網絡。
- 按訪問控制方式分類(最主流的劃分方法)
- 包過濾防火墻
- 代理防火墻
- 狀態檢測防火墻
Windows防火墻
Windows系統中自帶的軟件防火墻。(屬于軟件防火墻、單機防火墻)
- 允許程序或功能通過Windows防火墻:設置數據的通行規則。
- 更改通知設置:設置通知規則。
- 打開或關閉Windows防火墻:防火墻開關界面。
- 高級設置:自定義設置詳細的出入站規則和連接安全規則。
- 還原默認設置:初始化Windows防火墻。
- 對網絡進行疑難解答:檢測網絡出現的問題。
Linux防火墻
Linux下的防火墻是由netfilter和iptables兩個組件構成的。
Netfilter是Linux內核中的一個框架,它提供了一系列的表,每個表又是由若干個鏈組成,而每個鏈又包含若干條規則。
Iptables是我們用戶層面的工具,它可以添加、刪除和插入規則,這些規則告訴netfilter組件如何去處理。
Iptables只是防火墻和用戶之間的接口,真正起到防火墻作用的是Linux內核中運行的netfilter。
防火墻特征
- 硬件防火墻:
- 可以獨立于操作系統、計算機設備運行
- 集中解決網絡安全問題,適合各種場合
- 提供高效率的“過濾”
- 提供包括訪問控制、身份驗證、數據加密、VPN技術、地址轉換等安全特性
- 網絡防火墻(能夠分布式保護整個網絡):
- 安全策略集中;
- 安全功能復雜多樣;
- 專業管理員維護;
- 安全隱患小;
- 策略設置復雜。
- 包過濾防火墻(在網絡層對每一個數據包進行檢查,根據配置的安全策略轉發或丟棄數據包)
- 設計簡單、易于實現、價格便宜
- 隨著ACL復雜度和長度的增加,其過濾性能呈指數下降趨勢;
- 靜態的ACL規則難以適應動態的安全要求;
- 包過濾不檢查會話狀態也不分析數據(應用層數據),這很容易讓黑客蒙混過關
- 無法適應多通道協議(如FTP協議)
- 代理防火墻(代理服務作用于網絡的應用層,其實質是把內部網絡和外部網絡用戶之間直接進行的業務由代理接管)
- 能夠完全控制網絡信息的交換,控制會話過程,具有較高的安全性。
- 軟件實現限制了處理速度,易于遭受拒絕服務攻擊。
- 需要針對每一種協議開發應用層代理,開發周期長,而且升級很困難。
- 狀態檢測防火墻:包過濾技術的擴展。
- 后續數據包處理性能優異
- 安全性較高
防火墻轉發原理
包過濾技術
包過濾作為一種網絡安全保護機制,主要用于對網絡中各種不同的流量是否轉發做一個最基本的控制。
核心技術:訪問控制表
傳統的包過濾防火墻對于需要轉發的報文,會先獲取報文頭信息,包括報文的源IP地址、目的IP地址、IP層所承載的上層協議的協議號、源端口號和目的端口號等,然后和預先設定的過濾規則進行匹配,并根據匹配結果對報文采取轉發或丟棄處理。
包過濾防火墻的轉發機制是逐包匹配包過濾規則并檢查,所以轉發效率低下。目前防火墻基本使用狀態檢查機制,將只對一個連接的首包進行包過濾檢查,如果這個首包能夠通過包過濾規則的檢查,并建立會話的話,后續報文將不再繼續通過包過濾機制檢測,而是直接通過會話表進行轉發。
防火墻安全策略
防火墻的基本作用是保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必須允許兩個網絡之間可以進行合法的通信。
- 定義
安全策略是按一定規則控制設備對流量轉發以及對流量進行內容安全一體化檢測的策略。(規則的本質是包過濾)
安全策略的作用就是對通過防火墻的數據流進行檢驗,符合安全策略的合法數據流才能通過防火墻。(根據定義的規則對經過防火墻的流量進行篩選,由關鍵字確定篩選出的流量如何進行下一步操作)
- 主要應用
- 對跨防火墻的網絡互訪進行控制。(控制內網訪問外網的權限、控制內網不同安全級別的子網間訪問權限等)
- 對設備本身的訪問進行控制。(限制哪些IP地址可以通過Telnet和Web等方式登錄設備,控制網管服務器、NTP服務器等與設備的互訪等。)
防火墻域間轉發
狀態檢測機制
“狀態檢測”機制以流量為單位來對報文進行檢測和轉發,即對一條流量的第一個報文進行包過濾規則檢查,并將判斷結果作為該條流量的“狀態”記錄下來。對于該流量的后續報文都直接根據這個“狀態”來判斷是轉發(或進行內容安全檢測)還是丟棄。這個“狀態”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產品的檢測速率和轉發效率,已經成為目前主流的包過濾機制。
- 狀態檢測機制開啟狀態下,只有首包通過設備才能建立會話表項,后續包直接匹配會話表項進行轉發。
- 狀態檢測機制關閉狀態下,即使首包沒有經過設備,后續包只要通過設備也可以生成會話表項。
會話表項
會話表項是狀態檢測防火墻的基礎,每一個通過防火墻的數據流都會在防火墻上建立一個會話表項。以五元組(源目的IP地址、源目的端口、協議號)為Key值,通過建立動態的會話表提供域間轉發數據流更高的安全性。(下一代防火墻在五元組基礎上增加用戶、應用字段擴展為七元組)
防火墻安全策略及應用
配置安全區域、配置安全策略、配置地址和地址組、配置地區和地區組、配置服務和服務組、配置應用和應用組、配置時間段……(均可在防火墻web界面中操作實現)
原文來自公眾號: 網絡安全學習圈
