防火墙基本功能介绍
一、基础概念
防火墙(Firewall)是网络安全的核心组件之一,用于监控和控制网络流量,保护内部网络或设备免受未经授权的访问、恶意攻击或数据泄露。
“防火墙” 这一名称源于现实生活中的建筑防火墙,其概念通过类比延伸到计算机领域,具体由来和含义如下:
在建筑学中,防火墙是一种用于分隔建筑空间、阻止火灾蔓延的实体墙。
20 世纪 80 年代,随着互联网的发展,计算机网络面临日益增多的安全威胁(如黑客攻击、恶意程序)。为了保护内部网络安全,工程师借鉴建筑防火墙的概念,提出了 “网络防火墙” 的设想。
二、防火墙功能介绍
1、基础功能
(1)访问控制(Access Control)
原理:基于预定义规则(规则表)允许或拒绝流量。规则通常基于以下参数:
五元组:源IP、目的IP、源端口、目的端口、协议(TCP/UDP/ICMP等)。
扩展参数:时间范围(如仅允许工作时间访问)、地理位置(如阻止特定国家的IP)。
(2)网络地址转换(NAT)
功能:隐藏内部网络真实IP,提升隐私性。
静态NAT:一对一IP映射(如将内部服务器IP 192.168.1.100映射为公网IP 203.0.113.10)。
动态NAT:多对多IP池映射(适用于员工上网)。
PAT(端口地址转换):多台设备共享单一公网IP,通过端口区分(如家庭宽带)。
(3)流量监控与日志记录
监控内容:连接数、带宽占用、协议分布。异常行为(如高频端口扫描、DDoS流量激增)。
2、防御功能
(1)状态检测(Stateful Inspection)
核心机制:维护动态连接表(Conntrack Table),记录会话状态(如TCP三次握手、UDP伪连接)。
TCP状态跟踪:仅允许已建立连接的流量通过,拦截伪造的ACK/RST包。
防御示例:阻止SYN Flood攻击(通过限制半开连接数或启用SYN Cookie)。
(2)应用层过滤(Application Filtering)
深度包检测(DPI):
解析HTTP/HTTPS、FTP、DNS等应用层协议。
拦截SQL注入(通过正则表达式匹配’ OR 1=1–等模式)。
过滤恶意文件(如阻断.exe文件下载)。
SSL/TLS解密:
中间人解密(需预装CA证书到客户端)。
检测加密流量中的威胁(如勒索软件C2通信)。
(3)入侵防御(IPS/IDS集成)
功能:
签名检测:匹配已知攻击特征(如Exploit代码片段)。
异常检测:基于流量基线识别偏离行为(如DNS隧道流量)。
联动响应:自动阻断攻击源IP或关闭高危端口。
三、防火墙的技术原理
1、包过滤(Packet Filtering)
工作层级:OSI第3层(网络层)和第4层(传输层)。
核心逻辑:
根据五元组(源IP、目的IP、源端口、目的端口、协议类型)匹配规则。
使用ACL(访问控制列表)逐条检查数据包,匹配后执行允许(ACCEPT)或拒绝(DROP)动作。
示例规则(以iptables为例):
bash
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT # 允许来自192.168.1.0/24的SSH访问
iptables -A INPUT -p tcp --dport 22 -j DROP # 拒绝其他所有SSH连接
局限性:无法检测会话状态(如TCP握手是否完成),易受IP欺骗攻击。
2、状态检测(Stateful Inspection)
关键技术:维护动态连接表(Conntrack Table),记录TCP/UDP/ICMP会话状态。
工作流程:
首次数据包触发规则检查,通过后创建会话条目(如TCP SYN包)。
后续数据包直接匹配会话表,无需重复规则遍历(如已建立的TCP连接)。
超时机制自动清除无效会话(如FIN/RST包或空闲超时)。
防御能力:阻止伪造的“已建立连接”数据包(如无效ACK包)。
3、代理防火墙(Application Proxy)
工作层级:OSI第7层(应用层)。
工作模式:
正向代理:客户端主动配置代理,代理代表客户端访问目标服务器(常用于企业内网)。
反向代理:服务器端部署,对外隐藏真实服务器(如Nginx反向代理)。
深度检测能力:
解析HTTP头、URL参数、SSL/TLS解密(需导入证书)。
拦截SQL注入(通过正则匹配SELECT * FROM users WHERE 1=1等模式)。
4、下一代防火墙(NGFW)核心技术
深度包检测(DPI):
识别应用协议),即使使用非标准端口。
基于特征库检测恶意载荷(如病毒签名、Exploit代码片段)。
用户身份集成:
与AD/LDAP对接,实现基于用户的策略(如“仅允许财务组访问财务系统”)。
沙箱联动:可疑文件自动上传沙箱进行动态行为分析。