第5章 防火墙技术重点防火墙分类一、 防火墙技术概述1. 防火墙定义防火墙是位于不同信任程度的网络安全域之间如内网与Internet的软件和硬件设备组合是通信流的唯一通道根据安全策略控制进出访问。三大核心性质Cheswick Beilovin, 1994只允许本地安全策略授权的通信通过。双向通信信息必须通过防火墙。防火墙本身不会影响信息的流通。2. 核心概念DMZ隔离区/非军事化区目的解决安装防火墙后外网无法访问内网服务器的问题。性质位于内网和外网之间的缓冲区。部署放置必须公开的服务器Web、FTP、论坛等。3. 防火墙的五大基本功能过滤进、出内部网络的数据。管理进、出内部网络的访问行为。封堵某些禁止的业务。记录通过防火墙的信息内容和活动。检测和报警网络攻击。附加功能NAT网络地址转换、双重DNS、VPN、扫毒、负载均衡等。4. 防火墙设计策略默认允许除非明确不允许否则允许。黑名单思维灵活性高默认禁止除非明确允许否则将禁止。白名单思维安全性高二、防火墙的分类与核心技术重点按照体系结构和核心技术防火墙主要分为以下几类1.包过滤防火墙第一代工作层次OSI模型网络层原理基于数据包头部信息源/目的IP、协议类型、源/目的端口、ACK位等与固定规则表进行匹配。分为静态过滤和动态过滤基于连接状态。核心原则最小特权原则明确允许希望通过的禁止其他。⚠️规则匹配特点自上而下匹配一旦匹配就不再向下应用。因此规则次序极其重要最后通常有一条默认拒绝规则。优点对用户透明、速度快效率高、价格低。缺点不能防地址欺骗、不支持RPC/X-Window等复杂协议、无法执行用户级安全策略、规则配置复杂难测试。实例核心概念规则匹配是自上而下的一旦匹配到某条规则就执行动作不再往下检查。客户端端口是动态的通常使用大于1023的随机端口表中表示为1023。ACK标志位的作用ACK1 表示这是 TCP 连接建立后传输的数据包响应包ACK0 表示这是发起连接的第一个请求包SYN包。利用ACK位可以有效阻止外部发起的连入但允许内部连出的返回包。2.代理防火墙第二代分为应用层网关和电路层网关。对比项应用层网关防火墙电路层网关防火墙工作层次OSI模型应用层OSI模型会话层工作原理针对特定协议HTTP/FTP等运行代理服务器彻底隔断内外网直接通信。内外网通信变为内网-代理-外网。在两主机建立TCP连接时创立屏障只中继基于TCP的数据包如Socks服务器初次连接安全协商后透明传递。优点安全性极高支持强用户认证详细日志完全控制流量内容。隐藏内网信息对外连接方便常用于内部向外部的连接。缺点速度慢需为每种服务安装专门代理软件对用户不透明。不能检查数据包应用层内容安全性不及应用层网关。代理防火墙优缺点总结✅ 优点核心优势看得深、管得细、能协作1. 配置管理层面 -易于配置基于软件实现界面友好对底层协议配置要求低减少了因规则复杂导致的配置错误。2. 审计与控制层面 -生成详尽记录工作在应用层能检查数据内容可生成精细的日志记录。不仅用于安全审计和流量分析还可支持计费等业务灵活完全的控制能实现极其精细的安全策略精准控制“谁、在什么时间、什么地点、做什么”4W控制。3. 数据内容层面 -深层内容过滤突破包过滤只能看报头的局限可在应用层进行文本过滤、病毒扫描与预防等高层过滤。4. 加密与扩展层面 -透明加密机制代理可代为完成数据的加解密对用户透明极大方便了VPN及企业外部网的安全通信确保机密性易于集成联动可与认证Auth、授权、账号AAA、数据加密等安全手段无缝集成构建综合安全防线。❌ 缺点核心劣势速度慢、部署难、有盲区1. 性能瓶颈 -速度较慢包过滤只看报头而代理需要“拆包-审查应用层内容-重组-转发”处理极其耗时容易成为网络带宽的瓶颈。2. 用户体验与部署成本 -对用户不透明往往需要修改客户端配置或安装定制客户端软件。在异构网络操作系统、硬件不同中大规模部署耗时且易错。- 服务扩展性差一协议一代理必须为每种应用协议HTTP、FTP等开发独立的代理服务器。安装、配置和维护众多不同的代理服务器工作量巨大。- 应用灵活性差代理的强制限制可能导致应用程序运行不畅甚至曲解协议说明兼容性不如非代理应用。3. 安全防护盲区 -无法克服应用层协议漏洞代理依赖对协议安全性的判断但应用层协议本身往往存在漏洞代理无法彻底防范除非直接关闭该服务。- 无法防御底层网络攻击重点代理工作在TCP/IP之上对底层的网络攻击如IP欺骗、SYN泛洪、ICMP欺骗、DoS拒绝服务攻击完全无能为力。3. 状态监测防火墙第三代工作层次各层数据原理在网关上运行检测模块抽取网络通信各层的状态信息并动态保存作为后续安全决策的参考。能够主动、实时监测判断非法侵入。优点安全性好支持多种协议能监测RPC/UDP等端口性能坚固。缺点配置复杂会降低网络速度。4. 基于区域的策略防火墙ZFW核心概念Zone是应用策略的最小单位接口集合。核心规则默认情况下不同Zone之间的流量全部丢弃。同一Zone内的接口之间流量自由流转。必须通过配置Zone-Pairs区域对来定义区域间的策略及方向。如果策略动作是inspect返回数据默认允许若是pass/drop则无返回或丢弃。三、 新一代防火墙的主要技术新一代防火墙在传统技术上增加了更丰富的功能模块多级过滤技术分组过滤级过滤源路由/假冒IP - 应用网关级控制通用服务 - 电路网关级透明连接/严格控制。NAT技术网络地址转换隐藏内网结构。模式包括静态翻译、动态翻译、端口转换PAT、负载平衡翻译、网络冗余翻译。双重DNS内部DNS处理内网解析外部DNS处理对外发布的解析。安全服务器网络SSN比传统DMZ更安全DMZ只有一道防火墙而SSN与外网、SSN与内网之间都有防火墙保护。SSN受破坏不影响内网。用户鉴别与加密采用一次性口令OTP系统支持邮件加密。审计和告警全维度的日志记录和多种方式邮件、声音报警。网络地址转换技术NAT隐藏内网结构。模式包括静态翻译、动态翻译、端口转换PAT、负载平衡翻译、网络冗余翻译。四、 防火墙硬件架构演进目前防火墙按硬件结构分为三种软件防火墙、硬件防火墙、芯片级防火墙架构演进经历了从通用到专用的过程。架构类型核心特点优点缺点适用场景软件防火墙运行于通用OS之上灵活功能可根据需求调整性能受OS制约安全性依赖OSOS有漏洞则防火墙不保个人/小型网络网关X86架构(硬件)通用CPU PCI总线灵活性极高功能丰富受PCI总线带宽和CPU限制小包转发速率低难达千兆百兆网络环境NP架构(网络处理器)专为网络流量设计的处理器软硬件易升级性能高于X86开发周期短/成本低于ASIC灵活性差于X86性能不及ASIC折衷方案二三线厂家多用ASIC架构(芯片级)专有ASIC芯片逻辑固化/半固化性能极高线速处理安全性最好开发周期长(近2年)成本高灵活性/扩展性差千兆骨干网电信级大流量五、 防火墙的局限性牢记防火墙不是万能的不能防范不经过防火墙的攻击绕过防火墙的数据无法检查。不能防止来自内部的攻击内鬼作案门卫管不了院内。不具备实时监控入侵的能力性能限制需配合IDS/IPS。不能防止策略配置不当引起的安全威胁防火墙是被动的执行者。不能防止受病毒感染的文件传输防毒能力有限。不能防止利用服务器/协议漏洞的攻击防火墙准许的端口内发生的攻击。不能防止数据驱动式攻击表面无害的数据被执行后引发的攻击如缓冲区溢出。不能防止内部泄密行为合法用户的主动泄密。不能防止本身的安全漏洞防火墙自身也可能被攻破。补救措施引入IDS入侵检测系统提供实时监控弥补防火墙被动防御的不足。六、 防火墙技术发展趋势优良的性能消除传统代理防火墙的带宽瓶颈实现NAT和VPN的线速运行尤其是复杂加密算法下的性能保障。可扩展的结构和功能模块化解决方案支持内驻应用层代理按需扩展。简化的安装与管理避免因配置复杂导致的安全策略失效。主动过滤内置病毒和内容扫描支持第三方过滤服务如不良网站黑名单时间限制功能。防病毒与防黑客增强应对DoS攻击如SYN泛滥、IP欺骗的能力融合Web缓存、VPN、带宽管理等综合网络技术。模拟复习题一、 单项选择题4题1. 根据William Cheswick和Steve Beilovin1994对防火墙的定义以下哪项不属于防火墙的核心性质A. 只允许本地安全策略授权的通信信息通过B. 双向通信信息必须通过防火墙C. 防火墙本身必须具备查杀病毒的功能D. 防火墙本身不会影响信息的流通1. 【答案】C解析Cheswick和Beilovin定义的防火墙三大性质为只允许安全策略授权的通信通过双向通信必须经过防火墙防火墙本身不影响信息流通。防火墙本身不具备查杀病毒的功能即使集成第三方防病毒软件也不能查杀所有病毒这是防火墙的重要局限性之一。2. 在配置包过滤防火墙规则时当一个数据包进入防火墙防火墙对规则的匹配处理方式是A. 从下往上逐一匹配找到匹配规则后停止B. 随机匹配规则执行最严格的动作C. 自上而下匹配一旦找到匹配的规则就执行动作不再向下检查D. 检查所有规则综合所有匹配结果后决定动作2. 【答案】C解析包过滤防火墙的规则匹配逻辑是自上而下的。当数据包进入时从规则表的第一条开始向下比对一旦匹配到某条规则就执行相应动作允许或拒绝并且不再向下检查剩余规则。因此规则的排列顺序至关重要。3. 在防火墙硬件架构发展中哪种架构通过把指令或计算逻辑固化到芯片中获得了极高的处理性能成为实现千兆防火墙的主要选择A. X86架构B. NP网络处理器架构C. ASIC架构D. 软件架构3. 【答案】C解析ASIC架构专用集成电路将指令和逻辑固化到芯片中获得极高的处理能力是千兆/万兆骨干网防火墙的主要选择。X86架构受通用CPU和PCI总线限制难达千兆NP架构介于两者之间是折中方案。4. 关于基于区域的策略防火墙ZFW以下说法正确的是A. 不同区域之间的流量默认是全部允许的B. 同一区域内的接口流量默认自由流转不需要配置策略C. 必须为同一区域内的接口间流量配置Zone-PairsD. 一个接口可以同时指定给多个安全区域4. 【答案】B解析ZFW基于区域的策略防火墙的核心特性包括一个接口只能属于一个区域D错同一区域内的接口间流量默认自由流转不需要配置策略B对E错不同区域之间的流量默认全部丢弃必须配置策略Zone-Pairs来允许流量A错。二、 判断题3题5. 防火墙可以防止受病毒感染的文件的传输只要开启了包过滤功能就能拦截携带病毒的数据包。 5. 【答案】错误×解析包过滤防火墙只检查网络层的IP报头和传输层的端口等信息不查看数据报的内容因此根本无法识别文件是否携带病毒。即使是有查毒功能的防火墙也无法查杀所有病毒。6. 代理防火墙工作在应用层因此它不仅能进行深度的内容过滤还能有效防御底层的SYN泛洪、IP欺骗和拒绝服务攻击。 6. 【答案】错误×解析代理防火墙不能改进底层协议的安全性。因为它工作在TCP/IP的应用层对于底层的网络攻击如IP欺骗、SYN泛洪、ICMP欺骗和拒绝服务DoS攻击代理防火墙无能为力。7. 新一代防火墙中的安全服务器网络SSN技术与传统DMZ相比SSN与外部网之间有防火墙保护SSN与内部网之间也有防火墙保护因此安全性比DMZ更高。 7. 【答案】正确√解析传统DMZ只在内、外部网络网关之间存在一道防火墙DMZ被攻破后内部网络直接暴露。而SSN安全服务器网络与外网之间有防火墙与内网之间也有防火墙保护形成双重隔离一旦SSN受破坏内部网络仍安全。三、 简答题3题8. 简述包过滤防火墙的原理并列举其两个主要优点和两个主要缺点。8. 【参考答案】原理包过滤防火墙工作在网络层根据网络分包传输技术检查每个数据包的报头信息如源/目的IP地址、协议类型、源/目的端口、ACK位等与预先配置好的规则表进行匹配决定是转发还是丢弃。优点速度快、效率高只检查报头不检查内容部分由硬件实现。对用户透明不需要自定义软件或客户端配置。缺点不能彻底防止地址欺骗IP伪造容易。无法执行某些安全策略如只能限制主机不能限制用户不能控制高级协议。(注答出无法防范数据驱动攻击、不具备实时监控能力亦可)9. 应用层网关应用级代理与电路层网关在工作层次和检查深度上有何核心区别9. 【参考答案】应用层网关工作在OSI模型的应用层。它针对特定的应用层协议如HTTP、FTP深度检查数据包的内容校验数据格式能完全理解和控制应用协议的操作。电路层网关工作在OSI模型的会话层。它不检查应用层数据内容仅在内外网之间建立TCP连接电路/通道只监视两主机建立连接时的握手信息一旦连接建立仅复制传递数据不再进行过滤。10. 简述NAT技术在新一代防火墙中的作用并列举出三种地址翻译的模式。10. 【参考答案】NAT的作用NAT网络地址转换能透明地对所有内部地址作转换隐藏内部网络的内部结构使外部网络无法了解内部网络的真实IP和拓扑同时允许内部网络使用自己定制的IP地址和专用网络确保分组正确路由并详尽记录通信。三种地址翻译模式静态翻译动态翻译端口转换(注答出负载平衡翻译、网络冗余翻译亦可得分)