网络攻防技术十三：网络防火墙

一、网络防火墙概述

定义：对经过的数据流进行解析并实现访问控制及安全防护功能的网络安全产品。根据安全目的、实现原理不同将防火墙分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙等。

1、网络型防火墙（网络防火墙）

  部署在内部网络和外部网络的边界位置，有单一主机防火墙和路由器集成防火墙两种。保护整个内网。

2、Web应用防火墙

  部署在Web服务器前端，对HTTP和HTTPS访问和响应分析,，具备Web应用的访问控制及安全防护功能。保护Web应用服务器。

3、数据库防火墙

  部署在数据库前端，具备数据库的访问控制及安全防护功能。

4、主机防火墙（个人防火墙）

  提供网络层访问控制，应用程序访问限制和攻击防护功能的网络安全产品。

5、网络防火墙的功能

网络层控制：访问控制(包过滤)和流量管理(带宽管理、会话管理)。
应用层管理：用户管控、应用类型控制、应用内容控制。
攻击防护：识别并阻止特定网络攻击的流量。
安全审计、告警与统计：监视内外网所有的通信流量。

二、防火墙工作原理

1、无状态包过滤防火墙

概念：主要在网络层和传输层起作用，过滤规则是包过滤防火墙的核心，按序排列的过滤规则构成ACL。每条过滤规则都由匹配规则和防火墙操作两部分组成。包过滤防火墙相当于一个具有包过滤功能的路由器（也称筛选路由器）

正常工作所需满足6项基本要求：
① 包过滤设备必须存储包过滤规则；
② 当包到达端口时，分析IP、TCP或UDP报文头中的字段。
③ 包过滤规则的存储顺序与应用顺序相同；
④ 如果一条规则阻止包传输，此包便被丢弃；
⑤ 如果一条规则允许包传输，此包可正常通过；
⑥ 如果一个包不满足任何一条规则，则丢弃。

缺陷：
（1）依赖于对网络层和传输层包头首部信息的判定，不对负载进行检查。
（2）规则配置较为困难。
（3）支持的规则数量有限。
（4）IP欺骗，无用户认证，攻击者可能绕过包过滤防火墙实施攻击。

2、有状态包过滤防火墙（状态检测/动态包过滤防火墙）

优点：

  克服了包过滤防火墙的局限性，能够根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。

  提升了攻击者渗透防火墙进行网络攻击的难度，其安全特性是最好的：

缺点：

很多协议没有状态信息，如UDP和ICMP。

一些协议在通信过程中会动态建立子连接传输数据，如FTP，此时防火墙必须跟踪连接信息，才能确保子连接通过防火墙。

为了建立和管理连接状态表，有状态的包过滤防火墙需要付出高昂的处理开销。

状态检测防火墙的安全特性是最好的，但其配置非常复杂，会降低网络效率。

3、应用防火墙

  以代理服务器技术为基础，作用在应用层，在内网主机与外网主机之间进行信息交换。

优点：
  由于代理直接和应用程序交互，它可以根据应用上下文进行决策和判定，而不仅仅依据IP地址和端口号。可以做出更为准确的判定。
  应用代理可以被配置来识别尝试攻击应用程序安全漏洞的恶意流量，进而保护运行了不安全应用的系统。

缺点：
对每一类应用，都需要专门的代理。
从性能上看，应用代理往往比包过滤防火墙性能要差。
从价格上看，应用代理服务器比相应的包过滤防火墙更加昂贵。
从配置和管理复杂性上看，要针对应用服务类型逐一进行设置，管理的复杂性较高。

三、防火墙体系结构

1、过滤路由器或屏蔽路由器结构

优点：硬件成本低、结构简单、易于部署
缺点：
（1）没有或有很简单的日志记录功能
（2）规则表随着应用的扩展会变得很大、复杂
（3）依靠一个单一的部件来保护网络系统

2、双穴主机或双宿主机结构

定义：用一台装有两块网卡的堡垒主机（称为双穴主机或双宿主主机）做防火墙。

优点：
  双宿主主机网关优于屏蔽路由器的地方是堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。

缺点：
  一旦入侵者侵入堡垒主机并使其只具有路由功能（转发内外网数据包），则任何网上用户均可以随便访问内部网络

3、屏蔽主机或主机过滤结构

定义：一个包过滤路由器(或称为屏蔽路由器)连接外部网络，再通过一个堡垒主机与内部网络相连，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，确保内部网络不受未被授权的外部用户的攻击。

优点：
  如果受保护网络是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。
  危险区域只限制在堡垒主机和屏蔽路由器。

缺点：
   堡垒主机与其他主机在同一个子网，一旦包过滤路由器被攻破，整个内网和堡垒主机之间就再也没有任何阻挡。
   一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内部网络（与双穴主机结构弱点一样）。

4、过滤子网或屏蔽子网结构

定义：在外界网络和内部网络之间建立一 个双方都可以访问的独立的子网络，用两 台包过滤路由器将这一子网分别与内部网 络和外部网络分开。

优点：增加了外网攻击者实施攻击的难度，安全性高
缺点：管理和配置较为复杂，只有在两台包过滤防火墙和一台堡垒主机都配置完善的条件下，才能充分发挥安全防护的作用

四、防火墙部署方式

1、透明模式（桥接模式、透明桥接模式）

  当防火墙处于“透明”模式时，防火墙只过滤通过的数据包，但不会修改数据包包头中的任何信息，适用于原网络中已部署好的路由器和交换机。

  透明模式的防火墙部署在原有网络的路由器和交换机之间，或者部署在互联网和路由器之间，内网通过原有的路由器上网。

优点：
（1）无须改变原有网络规划和配置。
（2）当网络进行扩容时也无须重新规划网络地址。
缺点：
（1）灵活性不足，无法实现更多的功能，如路由、网络地址抓换等

2、网关模式（路由模式）

定义：防火墙所有网络接口都 处于不同的子网中，不仅要过滤通过的数据包 ，还需根据数据包中的IP地址执行路由功能。防火墙在不同安全区（可信区/不可信区/DMZ区） 间转发数据包时，一般不会改变IP包头中的源地 址和端口号（除非明确采用了NAT）

  适用于内外网不在同一网段的情况， 防火墙一般部署在内网设置网关地址实现路 由器的功能，为不同网段进行路由转发。

优点：
（1）具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的机密性。

3、NAT模式

  不仅对通过的数据包进行安全检查，还需执行网络地址转换。

  NAT模式可以适用于所有网络环境，为被保护网络提供的安全保障能力也最强。

五、防火墙评价标准

性能指标
（1）连接速率：建立连接的速率
（2）并发连接数：反映防火墙对多个连接的访问控制能力和连接状态跟踪能力
（3）吞吐量：指在保证不丢失数据帧的情况下，设备能够达到的最大数据帧转发速率延迟。高性能的万兆产品，吞吐量至少达到80Gbit/s
（4）丢包率：指在网络状态稳定的情况下，应当被转发但由于防火墙设备缺少资源而没有转发、被防火墙丢弃的数据包在全部发送数据包中所占的比例。
（5）应用识别与分析能力:能够劫持多少种网络应用，其次是应用识别和控制的精细度.
（6）背靠背缓冲：指防火墙接收到以最小数据帧间隔传输的数据帧时，在不丢弃数据的情况下，能够处理的最大数据帧数目。体现了防火墙的缓冲容量。
（7）最大TCP连接建立速率：在所有TCP连接成功建立的前提下，防火墙能够达到的最大连接建立速率。

其他指标
  防火墙产品的功能：可管理性：安全性能（防火墙自身的安全性主要体现在自身设计和管理两个方面。)

六、防火墙的不足与发展趋势

不足之处：
（1）防火墙的防护并不全面
（2）防火墙发挥的安全防护作用在很大程度上取决于防火墙配置是否正确、完善。
（3）防火墙不能防止病毒、木马等恶意代码的网络传输
（4）网络带宽化的进程加速，防火墙的处理能力难以与之适应
（5）防火墙不能防止内网用户的主动泄密
（6）一些利用系统漏洞或者网络协议漏洞进行的攻击，防火墙难以防范，同时防火墙本身也可能存在漏洞

  未来防火墙技术的发展趋势：智能化、高性能、并行体系结构、多功能、专业化、防病毒、IPv6网络需求。