何为防火墙
防火墙(Firewall),也称防护墙,它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
总的来说,防火墙的五大基础的作用:
1) 过滤进出网络中的的各种数据
2) 管理和分析访问网络的进出流量中的行为
3) 禁止网络访问中的特定禁止业务或流量
4) 记录通过防火墙信息内容和活动
5) 对来自网络的各种攻击机检测和警告
防火墙的发展历程
防火墙从诞生开始,已经历了四个发展阶段:
◾ 基于路由器的防火墙
◾ 用户化的防火墙工具套
◾ 建立在通用操作系统上的防火墙
◾ 具有安全操作系统的防火墙
从实现原理角度,防火墙产品可划分为包过滤防火墙、应用代理防火墙、状态检测防火墙和多检测机制融合防火墙等;从保护对象和资产角度,防火墙产品可划分为主机型防火墙、网络型防火墙、Web应用防火墙和数据库防火墙等;从应用环境角度,防火墙产品可划分为虚拟化防火墙、工控防火墙和物联网防火墙等。新版防火墙国家标准创新性地将各类防火墙国家标准、技术特性进行了系统、全面梳理,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,形成了统一的技术框架。
防火墙的基本类型
从应用及结构层分为三种:
1) 网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
2) 应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用代理防火墙主要的工作范围就是在OIS的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
3) 数据库/应用防火墙
从工作机制上或按访问控制方式分类(最主流的划分方法),防火墙分类分为以下三种:
a) 包过滤防火墙 (Packet Filtering)
b) 代理型防火墙(Application Gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对客户端来说防火墙是一个服务器,对服务器来说防火墙是一个客户端。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
c) 状态检测防火墙
状态检测是一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙。
防火墙工作原理
(1) 包过滤技术
这其中最核心技术就是指定安全策略中的:访问控制表
(2) 防火墙安全策略
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙,就是根据定义的规则对经过防火墙的流量进行筛选,由关键字确定筛选出的流量如何进行下一步操作。
安全策略主要起到两个主要作用:
对跨域防火墙的网络互访进行控制:控制内网访问外网的权限、控制内网不同安全级别的子网间访问权限等。
a) 状态检测机制
状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项。
b) 会话表项
防火墙的性能
吞吐量:该指标直接影响网络的性能,检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率,如网络层吞吐量、HTTP 吞吐晕、SQL 吞吐量。
并发连结数:并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,TCP 新建连接速率、HTTP 请求速率、SQL 请求速率。也是防火墙在单位时间内所能建立的最大 TCP 连接数,每秒的连接数。
每秒新建连接数:每秒新建连接数指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络病毒防范能力很差。
时延:入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔。
丢包率:在稳态负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。
防火墙工作模式
1、路由模式
2. 透明模式
3. 混合模式
与其他网络设备的关联
(一) 防火墙与路由器对比
a) 产品形态方面
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的产品形态,但基本都是中低端设备。
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP过滤这样的功能。
b) 功能方面
防火墙是产生于人们对于安全性的需求。数据包是否可以正确地到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理。路由器主要作用在于能否将不同的网段的数据包进行路由从而进行通讯。即一句话,路由器是保持网络和数据的“通”。防火墙是保证任何非允许的数据包“不通”。
路由器核心技术的ACL列表是基于简单的包过滤,属于OSI第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。而在启用的不同安全策略过程中路由器的默认配置对安全性的考虑不够周全,需要做高级配置才能达到一些防范攻击的作用,其针对安全性的规则的部分比较复杂,配置出错的概率较高。有些防火墙的默认配置即可以防止各种攻击,更人性化的防火墙都是使用WEB图形界面进行配置的,配置简单、出错率低。
c) 性能方面
最大的不同点在于防攻击能力方面,通常情况下,普通路由器不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级路由器的系统软件,就像操作系统一样。
(二) 防火墙与IPS
而IPS不仅可以检测威胁,还可以实时阻断入侵流量,从而及时防止更大的损失。IPS与被动检测防火墙相比,最大的不同在于主动检测。入侵检测技术通过研究入侵行为的过程和特征,使信息安全系统能够实时响应入侵的时间和过程。IPS异常检测和特征检测技术使用,特别是特征库需要经常根据攻击情况,不断升级,以便应对当下最新的攻击类型,防火墙这很少。
防火墙是针对黑客攻击的一种被动的防御,而 IPS 是早起 IDS 加上防火墙的组合,两者最主要的区别就是防火墙是被动防御,他只是本地网络和外部网络直接的一道屏障,而 IPS 是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,用来补充防病毒和防火墙的补充,可以对攻击进行识别和主动防御。
防火墙的局限性
最后,来说说防火墙的不足或天然“劣势”。首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。防火墙很难防范来自于网络内部的攻击或滥用例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet 的直接连接。防火墙基于数据包包头信息的检测阻断方式,主要对主机提供或请求的服务进行访问控制,无法阻断通过开放端口流入的有害流量,并不是对蠕虫或者黑客攻击的解决方案。
