0%

第8章 防火墙技术原理与应用

防火墙概述

安全区域:

  • 公共外部网络
  • 内联网
  • 外联网,用作组织与合作伙伴之间进行通信
  • 军事缓冲区域,DMZ,介于内部网络和外部网络之间,放置公共服务设备,向外提供服务

防火墙工作原理

两种类型安全策略:白名单策略、黑名单策略

功能:

  • 过滤非安全网络访问
  • 限制网络访问:只允许访问指定主机或网络服务
  • 网络访问审计
  • 网络带宽控制
  • 协同防御

防火墙安全风险

  1. 网络安全旁路。只能对通过它对网络通信包进行访问控制。
  2. 防火墙功能缺陷,导致一些网络威胁无法阻断。
    • 不能完全防止感染病毒的软件或文件传输
    • 不能防止基于数据驱动式的攻击
    • 不能完全防止后门攻击
  3. 防火墙安全机制形成单点故障和特权威胁
  4. 防火墙无法有效防范内部威胁
  5. 防火墙效用受限于安全规则

防火墙类型与实现技术

包过滤

IP层(网络层):根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

控制依据:规则集

过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成。

优点:低负载、高通过率、对用户透明

弱点:不能在用户级别进行过滤,IP伪装绕过

状态检查技术

通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。

应用服务代理

代替受保护网络的主机向外部网发送服务请求,并将响应结果返回。提供在应用级的网络安全访问控制。

优点:

  • 不允许外部主机直接访问内部主机
  • 支持多种用户认证方案
  • 可以分析数据包内部的应用命令
  • 可以提供详细的审计记录

缺点:

  • 速度比包过滤慢
  • 对用户不透明
  • 与特定应用协议相关联,代理服务器并不能支持所有的网络协议

网络地址转换技术

实现网络地址转换的方式主要有三种类型:

  • 静态NAT:内部每个主机被永久映射成外部网络某个合法地址
  • NAT池:采用动态分配的方法映射内部网络
  • 端口NAT(PAT):把内部地址映射到外部网络一个IP地址的不同端口上

Web防火墙技术

常见功能:允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤

开源Web应用防火墙有:ModSecurity、WebKnight、ShadowDaemon等

数据库防火墙技术

技术原理:基于数据通信协议深度分析和虚拟补丁,根据安全规则对数据库访问操作及通信进行安全访问控制,防止数据库系统受到攻击威胁。

工控防火墙技术

技术原理:深度分析工控协议,监控访问请求和响应

工控协议:Modbus TCP协议、IEC61850、OPC、Ethernet/IP和DNP3协议

下一代防火墙技术

除传统防火墙功能外,还具有:

  • 应用识别和管控
  • 入侵防护(IPS)
  • 数据防泄漏
  • 恶意代码防护
  • URL分类与过滤
  • 带宽管理与Qos优化
  • 加密通信分析

防火墙共性关键技术

  1. 深度包检测(DPI):对包的数据内容及包头信息进行检查分析,运用模式(特征)匹配、协议异常检测等方法。
  2. 操作系统
  3. 网络协议分析

防火墙主要产品与技术指标

防火墙主要产品

网络防火墙、Web应用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙

防火墙主要技术指标

  1. 防火墙安全功能指标

  2. 防火墙性能指标:最大吞吐量、最大连接速率、最大规则数、并发连接数

  3. 防火墙安全保障指标:主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定

  4. 环境适应性指标

  5. 防火墙自身安全指标

防火墙防御体系结构类型

基于双宿主主机防火墙机构

使用具有两个网络接口卡的主机,分别连接内外网,从一块网卡上送来IP包,经过安全模块检查,合法则转发到另一块网卡。

基于代理型防火墙机构

主要缺点:只要攻破代理主机,整个内部网络与代理主机之间没有任何障碍

基于屏蔽子网的防火墙结构

特点:

  • 应用代理、公开服务器位于屏蔽子网,外部只能访问屏蔽子网,不能进入内部网络
  • 包过滤路由器A:过滤外部网对屏蔽子网的访问,B:过滤被屏蔽子网对内部网络的访问。所有外部网络访问都必须经过应用代理的检查和认证
  • 优点:安全级别最高
  • 缺点:成本高,配置复杂

防火墙技术应用

防火墙应用场景类型

常见场景:上网保护、网站保护、数据保护、网络边界保护、终端保护、网络安全应急响应

防火墙部署基本方法

  1. 根据安全策略要求,划分网络安全区域
  2. 在安全区域之间设置针对网络通行的访问控制点
  3. 针对不同访问控制点的通信业务需求,制定相应的边界安全策略
  4. 依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
  5. 在防火墙上,配置实现对应的网络安全策略
  6. 测试验证边界安全策略是否正常执行
  7. 允许和维护防火墙

IPtables防火墙应用参考、Web应用防火墙应用参考、包过滤防火墙应用参考、工控防火墙应用参考见P176-P82

-------本文结束  感谢您的阅读-------