导图社区 防火墙技术原理与应用
主要介绍了防火墙的概念以及工作原理,并重点分析了防火墙的实现技术和防火墙的评价指标,然后对防火墙的防御体系机构类型进行了归纳总结分析,主要有双宿主主机机构,代理性结构,屏蔽子网结构,最后给出了防火墙的应用案例。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
第8章 防火墙技术原理与应用
8.1 防火墙概述
防火墙是网络安全区域边界保护的重要技术
8.1.1 防火墙概念
安全区域
公共外部网络
如 Internet
内联网
如某公司或组织专用网络,网络访问限制在组织内部
外联网
内联网的扩展延伸,组织与合作方间进行通信
军事缓冲区DMZ
介于内部网络与外部网络之间的网络段,放置公共服务设备
在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,可以隔离有害通信,进而阻断网络攻击,这个设备就是防火墙,用于网络通信安全控制,由专用硬件或软件组成。
8.1.2 防火墙工作原理
是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用
防火墙一般用来将内部网络与因特网或者其他外部网络互相相隔离,限制网络互访,保护内部网络的安全
白名单
只允许符合安全规则的包通过防火墙,其他通信包禁止
黑名单
禁止与安全规则相冲突的包通过防火墙,其他通信包都允许
防火墙访问控制主要作用与网络接口层,网络层,传输层,应用层
功能
过滤非安全网络访问
网络访问审计
限制网络访问
网络宽带控制
协同防御
8.1.3 防火墙安全风险
网络安全旁路
防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信不能为力
仅对通过防火墙的网络通信包有效,隐蔽信道、拨号上网、绕过无效
功能缺陷,导致一些网络威胁无法阻断
病毒文件攻击、数据驱动攻击、后门攻击
防火墙安全机制形成单点故障和特权威胁
自身安全
防火墙无法有效防范内部威胁
主动连接,灰鸽子、钓鱼
防火墙效用受限与安全规则
更新不及时
8.1.4 防火墙发展
1. 防火墙控制力度不断细化。控制规则从 IP 包地址信息延伸到 IP 包内容。
2. 检查安全功能持续增强。检测 IP 包内容越来越细,DPI(Deep Packet Inspection)
3. 产品分类更细化。专用防火墙设备,如工控防火墙、WAF、数据库防火墙
4. 智能化增强。大数据+人工智能
8.2 防火墙类型与实现技术
类型
8.2.1 包过滤
8.2.2 代理防火墙
8.2.3 下一代防火墙
8.2.4 web应用防火墙
8.2.5 数据库防火墙
8.2.6 工控防火墙
实现技术
包过滤
是在 IP 层实现的防火墙技术,根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过,对用户透明。基于包过滤技术的防火墙简称为包过滤型防火墙(Packet Filter)
规则集:“规则号、匹配条件、匹配操作”
access-list list-number{deny|permit} protocol source source-wildcard source-qualifiers destination destination-wildcard destination-qualifiers[log|log-input]
优点:低负载、高通过率、对用户透明
缺点:不能在用户级别过滤不能识别地址伪造 容易被绕过
状态检测
利用 TCP 会话和 UDP “伪”会话的状态信息进行网络访问控制。建立并维护一张会话表,当有符合已定义安全策略的 TCP 连接或 UDP 流时,防火墙会创建会话项,依据状态表项检查,与会话相关联的包才能通过。
主要步骤:
1. 接收到的数据包
2. 检查数据包有效性,若无效,则丢弃并审计
3. 查找会话表,若找到,进一步检查数据包的 序列号和会话状态 ,如有效,则进行地址转换和路由,转发该数据包;否则,丢弃并审计
4. 当会话表中没有新到的数据包信息时,查找策略表 ,若符合,则 增加会话条目 ,进行地址转换和路由,转发数据包了否则,丢弃并审计
应用服务代理
代替受保护网络的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。由代理服务程序和身份验证服务程序构成,能够提供应用级别网络安全访问控制,如 FTP 代理、Telnet 代理、HTTP 代理。
优点:
不允许外部主机直接访问内部主机
支持多种用户认证方案
可以分析数据包内部的应用命令
可以提供详细的审计记录
缺点:
速度比包过滤慢
对用户不透明
与特定的应用协议相关联
网络地址转换NAT
本质:解决 IPv4 公开地址不足问题。安全方面:能透明地对所有内部地址做转换,使外部网络无法了解内部网络的内部结构,从而提高内部网络的安全性。
实现方式:
静态 NAT(static NAT):内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT 池(pooled NAT):在外部网络中配置合法的地址集,采用动态分配的方法映射到内部网络
端口 NAT(PAT):内部地址映射到外部网络的一个 IP 地址的不同端口上。
web防火墙技术
用于保护 Web 服务器和 Web 应用的网络安全机制。
常见功能:允许/禁止 HTTP 请求类型、HTTP 协议头各个字段长度限制、后缀名过滤、URL 内容关键字过滤、Web 服务器返回内容过滤。
抵御典型攻击:SQL 注入、XSS 跨站脚本攻击、Web 应用扫描、 Webshell、Cookie 注入攻击、CSRF 攻击
开源框架:ModSecurity、WebKnight、Shadow Daemon
数据库防火墙技术
一种用于保护数据库服务器的网络安全机制
技术原理:
协议深度分析:“源地址、目标地址、源端口、目标端口、SQL 语句”
虚拟补丁:创建安全屏障层,监控所有数据库活动
工控防火墙技术
用于保护工业设备及系统的网络安全机制。
工控协议深度分析(Modbus TCP、IEC 61850、OPC 、Ethernet/IP、DNP3)
下一代防火墙技术(NGFW)
1. 应用识别和管控。不依赖端口,通过数据包深度内容分析,实现应用层协议与应用的识别和控制。
2. 入侵防护(IPS)。
3. 数据防泄漏。对传输的文件和内容进行识别和过滤
4. 恶意代码防护。基于信誉的恶意检测技术。
5. URL 分类与过滤。构建 URL 分类库
6. 带宽管理与 QoS 优化。
7. 加密通信分析。对 SSL、SSH 等加密的网络流量进行监控分析
防火墙共性关键技术
深度包检测DPI
对包的数据内容及包头信息进行检查分析;核心技术;面临模式规则维护管理复杂性、自身安全性、隐私保护、性能等问题。
操作系统
操作系统安全性直接影响防火墙的自身安全
网络协议分析
8.3 防火墙主要产品与技术指标
8.3.1 防火墙主要产品
1. 网络防火墙。(不同安全域之间)
2. Web 应用防火墙。(针对 HTTP 请求和响应)
3. 数据库防火墙
4. 逐级防火墙
5. 工控防火墙
6. 下一代防火墙
7. 家庭防火墙
8.3.2 防火墙主要技术指标
依据:
《信息安全技术 防火墙安全技术要求和测试评价方法》
《信息安全技术 工业控制系统专用防火墙技术要求》
防火墙安全功能指标
网络接口
能够保护的网络类型(以太网、千兆以太网、ATM、令牌环)
协议支持
(IP、AppleTalk、IPX、Modbus;VPN:PPTP、IPSec)
路由支持
(静态、策略、动态)
设备虚拟化
(虚拟系统、虚拟化部署)
加密支持
(DES、RC4、IDEA、AES、国产系列)
认证支持
(RADIOUS、Kerberos、TACACS、口令、数字证书)
访问控制
(包过滤、NAT、状态检测、IP/MAC 绑定)
流量管理
(宽带管理、负载均衡、连接控制)
应用层控制
(用户管控、应用类型管控、应用内容管控)
攻击防护
(DDoS、Web 攻击、数据库攻击防护、恶意代码防护)
管理功能
(SNMP管理、管理通信协议、带宽管理、失效管理、远程管理)
审计和报表
(远程审计、本地审计)
防火墙性能指标
最大吞吐量
在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率,如网络层吞吐量、HTTP 吞吐量
最大连接速率
TCP 新建连接速率、HTTP 请求速率、SQL 请求速率
最大规则数
在添加大量规则情况下,性能变化情况
并发连接数
防火墙在单位时间内所能建立的最大 TCP 连接数,每秒连接数
防火墙安全保障指标
测评防火墙的安全保障程度,主要包括开发、指导性文档,生命周期支持、测试、脆弱性评定
环境适应性指标
网络环境:IPv4/v6 网络、云计算环境、工控网络
物理环境:天气、电磁兼容、绝缘、接地
防火墙自身安全指标
身份识别与鉴定、管理能力、管理审计、管理方式、异常处理机制、操作系统安全等级、抗攻击能力
8.4 防火墙防御体系结构类型
8.4.1 基于双宿主主机防火墙结构
由一台同时连接内、外网络的主机提供安全保障
8.4.2 基于代理性防火墙
代理服务器和路由器共同构建一个网络安全边界防御架构。
8.4.3基于屏蔽子网防火墙
屏蔽字网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。
应用代理位于屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络智能访问被屏蔽子网,不能直接进入内部网络
A路由器作用是过滤外部网络对被屏蔽子网的访问;B路由器作用是过滤被屏蔽子网对内部网络的访问
优点:安全级别高
缺点:成本高、配置复杂
8.5 防火墙技术应用
8.5.1 防火墙应用场景类型
上网保护
网站保护
数据保护
终端保护
网络安全应急响应
8.5.2 防火墙部署基本方法
根据组织或公司的安全策略要求,将网络划分成若干安全区域
在安全区域之间设置针对网络通信的访问控制点
针对不同的访问控制点的通信业务需求,制定相应的边界安全策略
依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
在防火墙上,配置实现对应的网络安全策略
测试验证边界安全策略是否正常执行
运行和维护防火墙
8.5.3 IPtables防火墙应用参考
8.5.4 web应用防火墙应用参考
8.5.5 包过滤防火墙应用参考
8.5.6 工控防火墙应用参考
8.6 本章小结
主要介绍了防火墙的概念以及工作原理,并重点分析了防火墙的实现技术和防火墙的评价指标,然后对防火墙的防御体系机构类型进行了归纳总结分析,主要有双宿主主机机构,代理性结构,屏蔽子网结构,最后给出了防火墙的应用案例
