fang火墙概述

fang火墙是由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,属于网络边界防护设备,由系统管理员设置访问控制规则,对进出网络边界的数据流进行过滤。

fang火墙是Internet安全的最基本组成部分,但对于防御内部的攻击以及绕过fang火墙的连接却无能为力。

根据安全策略,fang火墙对数据流的处理方式有如下3种:
  • 允许:允许满足规则的数据流通过fang火墙
  • 拒绝:拒绝不满足规则的数据流通过,并回复一条消息,提示发送者该数据流已被拒绝。
  • 丢弃:直接将数据流丢弃,不对这些数据包作任何处理,也不会向发送者发送任何提示信息。
fang火墙须满足的要求:
  1. 所有进出网络数据流都必须经过fang火墙
  2. 只允许经授权的数据流通过fang火墙
  3. fang火墙自身对入侵免疫,即确保自身安全。
fang火墙默认规则:凡是没有明确允许的,一律都是禁止的。

fang火墙的类型和结构

fang火墙的发展史:
  • 第一代fang火墙:包过滤fang火墙
  • 第二fang火墙:电路级网关fang火墙
  • 第三代fang火墙:应用级网关fang火墙
  • 第四代fang火墙:动态包过滤fang火墙
  • 第五代fang火墙:自适应代理fang火墙
  • 第六代fang火墙:智能fang火墙
fang火墙的分类:包过滤fang火墙、电路级网关fang火墙、应用级网关fang火墙
fang火墙设计结构:静态包过滤、动态包过滤、电路级网关、应用层网关、状态检查包过滤、切换代理、空气隙(物理隔离)
OSI模型与fang火墙类型的关系

fang火墙工作于OSI模型的层次越高,能提供的安全保护等级就越高。
IP数据包结构:

fang火墙工作原理:不同类型的fang火墙,将分别对IP头、TCP头、应用级头、数据/净荷等部分数据进行过滤。

网络地址转换NAT
  • 亚洲国家IP地址资源相对匮乏:NAT可解决地址紧缺的问题。
  • NAT的优点:隐藏内部网络的拓扑结构,提升网络安全性。
  • 静态NAT:内部网络地址与外部Internet IP地址是一一对应的关系。
  • 动态NAT:可用Internet IP地址限定在一定范围内, 小于内网IP地址范围。
  • PAT:端口地址转换。在进行网络地址转换时,不仅网络地址发生改变,而且协议端口也会发生改变。
  • SNAT:源网络地址转换。当内部用户使用专用地址访问Internet时,必须将IP头部中的数据源地址转换成合法Internet地址。
  • DNAT:目标网络地址转换。必须将数据包中的目的地址转换成服务器的专用地址,使合法的Internet IP地址与内网中服务器的专用地址相对应。
NAT的分类
根据NAT的实现方式对NAT进行分类:


实现NAT的路由器配置

NAT路由器的工作过程

  • 外部数据包进入内部网络
  1. 在外部数据包进入内部网络之前,其目的地址字段总包含NAT路由器的外部地址。
  2. 因此,对于所有输入数据包,NAT路由器必须采用最终目标主机的IP地址替换数据包的目的地址。
  • 内部数据包离开内部网络
  1. 在内部数据包离开内部网络时,其源地址字段总包含NAT路由器的外部地址。
  2. 因此,对于所有输出的数据包,NAT路由器用其外部地址替换数据包的源地址。

静态包过滤器fang火墙(工作于网络层)

采用过滤模块实现:较低的安全性
直接使用路由器软件过滤:无需购买专门设备、减少投资
fang火墙接收到从外部网络到达fang火墙的数据包,对数据包过滤。
对数据包施加过滤规则,对数据包IP头和传输字段内容进行检查。
如果没有规则与数据包头信息匹配,则对数据包施加默认规则。
对于静态包过滤fang火墙来说,决定接收还是拒绝一个数据包,取决于对数据包中IP头和协议头等特定域的检查和判定。
目的地址、数据源地址、目的端口号、源端口号、应用或协议。
示例
  • 拒绝来自130.33.0.0的数据包,这是一种保守策略。
  • 拒绝来自外部网络的Telnet服务(端口号为23)的数据包。
  • 拒绝试图访问内网主机193.77.21.9的数据包。
  • 禁止HTTP服务(端口号为80)的数据包通过fang火墙

包过滤器的工作原理

过滤规则
fang火墙可根据数据包的源地址、目的地址、端口号;
确定是否允许和丢弃数据包:符合,则允许;不符合,丢弃。
过滤位置
可以在网络入口处过滤,也可在网络出口处过滤,也可以入口和出口同时对数据包进行过滤。
访问控制策略
网管需预先编写一访问控制列表;需明确规定哪些主机或服务可接受,哪些主机或服务不接受

包过滤器fang火墙的配置

  1. 管理员必须明确企业网络的安全策略
  2. 必须用逻辑表达式清楚地表述数据包的类型
  3. 必须用设备提供商可支持的语法重写这些表达式
某大学的fang火墙过滤规则设置:

某公司的fang火墙过滤规则设置:


静态包过滤fang火墙优缺点
优点
  • 对网络性能影响较小
  • 成本较低
缺点
  • 安全性较低
  • 缺少状态感知能力
  • 容易遭受IP欺骗攻击
  • 创建访问控制规则比较困难

动态包过滤fang火墙(工作于传输层)


动态包过滤fang火墙:
  • 具有状态感知能力
  • 典型动态包过滤fang火墙工作在网络层
  • 先进的动态包过滤fang火墙位于传输层
检查的数据包头信息:
  • 源地址
  • 目的地址
  • 应用或协议
  • 源端口号
  • 目的端口号

动态包过滤fang火墙的工作原理

  • 与普通包过滤fang火墙相似,大部分工作于网络层。有些安全、性高的动态包过滤防火墙,则工作于传输层。
  • 动态包过滤fang火墙的不同点:对外出数据包进行身份记录,便于下次让具有相同连接的数据包通过。
  • 动态包过滤fang火墙需要对已建连接和规则表进行动态维护,因此是动态的和有状态的。
  • 典型的动态包过滤fang火墙能够感觉到新建连接与已建连接之间的差别。
实现动态包过滤器有两种主要的方式:
  1. 实时地改变普通包过滤器的规则集
  2. 采用类似电路级网关的方式转发数据包

动态包过滤fang火墙的优缺点

优点
  1. 采用SMP技术时,对网络性能的影响非常小。
  2. 动态包过滤fang火墙的安全性优于静态包过滤fang火墙。
  3. “状态感知” 能力使其性能得到了显著提高。
  4. 如果不考虑操作系统成本,成本会很低。
缺点
  1. 仅工作于网络层,仅检查IP头和TCP头。
  2. 没过滤数据包的净荷部分,仍具有较低的安全性。
  3. 容易遭受IP欺骗攻击。
  4. 难于创建规则,管理员创建时必须要考虑规则的先后次序。
  5. 如果在建立连接时没有遵循三步握手协议,会引入风险。

电路级网关fang火墙(工作于会话层)

与包过滤的区别:除了进行基本的包过滤检查外,还要增加对连接建立过程中的握手信息SYN、ACK及序列号合法性的验证。
检查内容:源地址、目的地址、应用或协议、源端口号、目的端口号、握手信息及序列号。

电路级网关通常作为应用代理服务器的一部分,在应用代理类型的fang火墙中实现。
  • 它的作用就像一台中继计算机,用于在两个连接之间来回地复制数据;
  • 它也可以记录和缓存数据。
  • 采用C/S结构,网关充当了服务器的角色;
  • 作为代理服务器,在Internet和内部主机之间过滤和转发数据包。
  • 它工作于会话层,IP数据包不会实现端到端流动;
  • 在有些实现方案中,电路连接可自动完成。
电路级网关所过滤的内容

电路级网关的工作原理

  • 在转发该数据包前,首先将数据包的IP头和TCP头与规则表相比较,以决定将数据包丢弃,还是通过。
  • 若会话合法,包过滤器将逐条扫描规则,直到发现一条规则与数据包中的有关信息一致。否则,丢弃。
  • 电路级网关与远程主机之间建立一个新连接,这一切对内网中用户都是完全透明。
电路级网关实例——SOCKS
SOCKS由David和Michelle Koblas设计并开发,是现在已得到广泛应用的电路级网关(SSL),事实上,SOCKS是一种网络代理协议。
其执行步骤是:
  1. 内网主机请求访问互联网;
  2. 与SOCKS服务器建立通道;
  3. 将请求发送给服务器;
  4. 收到请求后向目标主机发出请求;
  5. 响应后将数据返回内网主机。
电路级网关优缺点
优点
  • 性能比包过滤fang火墙稍差,但是比应用代理防火墙好。
  • 切断了外部网络到fang火墙后的服务器直接连接。
  • 比静态或动态包过滤fang火墙具有更高的安全性。
缺点
  • 具有一些固有缺陷。例如,电路级网关不能对数据净荷进行检测,无法抵御应用层攻击等。
  • 仅提供一 定程度的安全性。
  • 当增加新的内部程序或资源时,往往需要对许多电路级网关的代码进行修改。

包过滤fang火墙与应用级网关的区别

包过滤fang火墙
  • 过滤所有不同服务的数据流
  • 不需要了解数据流的细节,它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。
应用级网关
  • 只能过滤特定服务的数据流
  • 必须为特定的应用服务编写特定的代理程序,被称为“服务代理”在网关内部分别扮演客户机代理和服务器代理的角色。
当各种类型的应用服务通过网关时,必须经过客户机代理和服务器代理的过滤。

应用级网关的工作层次

工作特点
  • 必针对每个服务运行一个代理。
  • 对数据包进行逐个检查和过滤。
  • 采用“强应用代理”在更高层上过滤信息。
  • 自动创建必要的包过滤规则。
  • 当前最安全的fang火墙结构之一。
  • 代理对整个数据包进行检查,因此能在应用层上对数据包进行过滤。
  • 应用代理与电路级网关有两个重要区别:代理是针对应用的;代理对整个数据包进行检查,因此能在OSI模型的应用层上对数据包进行过滤。
应用级网关优缺点
优点:
  1. 在已有的安全模型中安全性较高。
  2. 具有强大的认证功能。
  3. 具有超强的日志功能。
  4. 规则配置比较简单。
缺点:
  1. 灵活性很差,对每一种应用都需要设置一个代理。
  2. 配置烦琐,增加了管理员的工作量。
  3. 流量吞吐性能不高,有可能成为网络的瓶颈。

状态检测fang火墙在所有7层上进行过滤


  • 应用状态:能够理解并学习各种协议和应用,以支持各种最新的应用;能从应用程序中收集状态信息并存入状态表中,以供其他应用或协议做检测策略。
  • 操作信息:状态监测技术采用强大的面向对象的方法。
  • 通信信息:防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
  • 通信状态:状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出数据包的状态信息。

状态检测fang火墙优缺点

优点
  1. 具备动态包过滤所有优点,同时具有更高的安全性。
  2. 它没有打破C/S结构,因此不需要修改很多应用程序。
  3. 提供集成的动态(状态)包过滤功能。
  4. 当以动态包过滤模式运行时,其速度很快。
  5. 当采用对称多处理器SMP模式时,其速度更快。
缺点
  1. 采用单线程进程,对防火fang性能产生很大影响。
  2. 因未打破C/S结构,可能会产生很大的安全风险。
  3. 不能满足对高并发连接数量的要求。

切换代理

切换代理的工作过程


  1. 切换代理首先起电路级代理的作用,以验证RFC建议的三步握手。
  2. 再切换到动态包过滤的工作模式下。

切换代理优缺点

优点
  1. 与传统电路级网关相比,对网络性能造成影响要小。
  2. 由于对三步握手进行了验证,降低了IP欺骗的风险。
缺点
  1. 它不是一个电路级网关。
  2. 它仍然具有动态包过滤器遗留的许多缺陷。
  3. 由于没检查数据包的净荷部分,因此具有较低的安全性。
  4. 难于创建规则(受先后次序的影响)。
  5. 其安全性不及传统的电路级网关。

空气隙fang火墙的工作原理


  • 外部客户机与fang火墙之间的连接数据被写入一个具有SCSI接口的高速硬盘。
  • fang火墙切断了客户机到服务器的直接连接,并且对硬盘数据的读/写操作都是独立进行的。
  • 内部的连接再从该SCSI硬盘中读取数据。
空气隙fang火墙优缺点
优点
  1. 切断与fang火墙后面服务器的直接连接,消除隐信道攻击的风险。
  2. 采用应用代理对协议头长度进行检测,消除缓冲器溢出攻击。
  3. 与应用级网关结合使用,空气隙fang火墙能提供很高的安全性。
缺点
  1. 降低网络的性能。
  2. 不支持交互式访问。
  3. 适用范围窄。
  4. 系统配置复杂。
  5. 结构复杂,实施费用高。
  6. 带来瓶颈问题。

分布式fang火墙的工作原理

网络fang火墙
  • 内部网与外部网之间、内部网各子网之间
  • 对内部子网之间的安全防护层
主机fang火墙
  • 对服务器和桌面机进行防护
  • 内核模式应用,过滤和限制信息流
管理中心
  • 服务器软件
  • 管理、分发总体安全策略;汇总日志
分布式fang火墙的优缺点
优点
  1. 增强了系统安全性。
  2. 提高了系统性能。
  3. 提供了系统的扩展性。
  4. 可实施主机策略。
缺点
  1. 系统部署时间长、复杂度高,后期维护工作量大。
  2. 可能受到来自系统内部的攻击或系统自身安全性的影响。

fang火墙的发展趋势:智能化、多功能化、云防火墙。