目录
什么是防火墙:
防火墙的技术发展与状态检测:
包过滤防火墙:
代理防火墙:
状态防火墙:
UTM防火墙:
下一代防火墙:
防火墙的安全区域:
报文在安全区域之间流动的方向:
什么是防火墙:
1992年经合组织发布了信息安全指导书,被后世称之为安全黄金三角的CIA的理念被提出,所谓 CIA指的是机密性(confidentiality)、完整性(integrity)、可用性(availability)。
防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延 到另一个区域。引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常 用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。 这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。那么,用通信语言来定义,防火墙主要 用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性, 灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界 等等。
防火墙与路由器、交换机是有区别的不同的俩类设备。路由器用来连接不同的网络,通过路由协议 保证互联互通,确保将报文转发到目的地,交换机则通常用来组建局域网,作为局域网通信的重要枢 纽,通过二层/三层交换快速转发报文,我们发现俩者都是负责转发的设备。而防火墙主要部署在网络边 界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙 的本质是控制。
防火墙的技术发展与状态检测:
包过滤防火墙:
属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的 IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信 息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制列表。访问控 制列表也可以称为安全策略(简称策略)或安全规则(简称规则)。 类似于进站检票的做法,符合要求(车票和身份证无误)才能进站,每个人都需要检查,多于进进出出, 团队出行的情况非常不友好,效率低,安全性不高。
包过滤防火墙的缺点主要表现以下几点:
随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势;
静态的ACL 规则难以适应动态的安全要求;
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。 攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易 地通过报文过滤器。
代理防火墙:
第二代防火墙,不再根据IP首部和 TCP首部进行过滤,而是在传输层上进行连接中继(第四层代理), 具体通过 SOCKS协议实现。 代理类似于UU跑腿,他帮你送东西给目标,只不过在物品交割时进行安全检查,速度很慢,委托环节会 降低速度,类型不一样的东西检查的方法也不一样。
原理是:代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务 器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:
软件实现限制了处理速度,易于遭受拒绝服务攻击;
需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
状态防火墙:
1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,不再是单包检查,以会话为单位通过 动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安 全性高。状态检测防火墙被称为第三代防火墙。 通信中的包实际上并不是孤立的,更多的情况下包是可以用会话来分类,比如访问百度,开始是三次握 手,然后请求内容并回应,最后4次断开,这些包是有上下文联系的属于一个会话。
基本原理简述如下:
状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP (User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关 联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面 对无连接的协议),以对UDP 连接过程进行状态监控的会话。
状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存 到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。 检测TCP的连接状态阻挡来路不明的分组,使用状态分组检测能够有效抵抗下面这些类型的攻击:
伪装IP地址或者端口,发送附带TCP的 RST或 FIN标志位的分组,随意中止正常通信的攻击
在允许通信的范围内发送附带TCP 的 ACK标志位的分组,从而入侵内部网络 在FTP通信时,无论是否建立控制连接,都会创建数据连接进而入侵内部网络
在FTP通信时,无论是否建立控制连接,都会创建数据连接进而入侵内部网络
UTM防火墙:
第三代防火墙出现之后网络安全迎来了百花齐放的时代,陆续出现了各种各样针对不同场景的安全设 备:
入侵检测系统(IDS)
根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄 像头,传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网 络环境中发生了什么事情
入侵防御系统(IPS)
根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通。 IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御。
防病毒网关(AV)
防止病毒文件通过外网络进入到内网环境
Web应用防火墙(WAF )
防止基于应用层的攻击影响Web应用系统
以上的各种专用安全设备的出现极大的丰富了安全防御的手段,但是也造成了新的问题:
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问 题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也 无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这 些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未知攻击的情况下缺乏有效防 御措施,还是存在被绕过的风险。
下一代防火墙:
2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能 同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量 执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
1. 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状 态检测、NAT、VPN等。
2. IPS 与防火墙的深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防 火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而 不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品 的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引 进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对 七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全 策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化 带来的管控难题。
防火墙的安全区域:
报文在安全区域之间流动的方向:
报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入 方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。 报文在两个方向上流动时,将会触发不同的安全检查。下图标明了Local区域、Trust区域、DMZ区域和 Untrust区域间的方向
