当前位置：首页 > news >正文

3-防火墙

news 2025/8/9 14:37:02

防火墙

一防火墙概述

防火墙概述

防火墙是一个位于内部网络与外部网络之间的安全系统（网络中不同区域之间），是按照一定的安全策略建立起来的硬件或软件系统，用于流量控制的系统（隔离），保护内部网络资源免受威胁（保护）。

防火墙主要用于防止黑客对安全区域网络的攻击，保护内部网络的安全运行。

二防火墙基本术语

安全区域和接口

一台防火墙具有多个接口，每个接口属于一个安全区域，每个区域具有唯一的名称，所以防火墙至少具有两个接口。

一个接口一个区域，一个区域可以有多个接口。

多安全区域

多接口防火墙的每个接口指定不同的安全区域

默认安全规则（ACL与安全级别）

根据访问控制规则决定网络进出行为

访问控制规划存在的形式：访问控制列表ACL和安全级别（0-100）

三防火墙工作层次

OSI参考模型与防火墙

防火墙的服务层面

防火墙系统能工作在OSI 7层模型的5个层次上，能从越多的层处理信息，它在过滤处理的粒度就更细。

四防火墙发展历程

防护墙发展（下一代防火墙）

ASIC专用集成电路（贵）

五防护墙分类

根据防火墙的服务层不同分类（防火墙：集线器+交换机+路由器的结合体）
包过滤防火墙：3、4层
状态防火墙：3、4、5层
NAT防火墙：3、4层
应用网关防火墙：3、4、5、7层
基于主机（服务器和个人）的防火墙：3、4、7层
混合/硬件专用平台防火墙：2、3、4、5、7层如：PIX、ASA等

六防火墙发展历程详细

1. 简单包过滤防火墙技术

概述

类似交换机、路由器的ACL
工作层面：3、4层

实现原理

检查IP、TCP、UDP信息

优点

速度快、性能高，可以用硬件实现实现原理
检查IP、TCP、UDP信息

缺点

不能根据状态信息进行控制
前后报文无关
不能处理传输层以上的信息
ACL过多配置复杂，不能处理应用层的攻击，不支持连接认证，只对某些类型的攻击比较敏感。（比如：ICMP重定向攻击）

2. 状态检测防火墙

流与会话

流，是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类

TCP流：通过五元组唯一标识
UDP流：通过五元组唯一标识
ICMP流：通过三元组（源IP地址、目的IP地址、协议号）+ ICMP type + ICMP code唯一标识
RAW IP流：不属于上述协议的，通过三元组标识

会话，以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方，另一个为会话响应方。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。

概述

根据通信和应用程序状态确定是否允许包的通行
用于识别或者控制数据流是返回的数据流还是首发的数据流
在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则
与过滤防火墙不同，状态防火墙保持连接状态的跟踪；连接是否处于初始化、数据传输、终止状态；它们通过查看TCP头中的SYN、RST、ACK、FIN和其他控制代码来确定连接的状态；维持一张连接状态表；数据通过时查找这张表。
工作层面：3、4、5层。

会话的创建

对于TCP报文，三次握手 + ALG后创建会话（NAT ALG：为了多TCP，多通道应用层协议正常进行NAT转换）

对于UDP/ICMP/Raw IP报文，首包创建会话

会话

是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：

原理流程图

优点

知晓连接状态，更加安全

缺点

不能检测应用层协议内容，如URL过滤
不能阻止应用层攻击，不能连接认证
不是所有的协议都有状态：UDP ICMP
不能支持多连接或多通道连接如FTP 等

基本转发流程

3. 应用层网关防火墙技术

概述

通常称为代理防火墙，一般使用软件来完成；首先截取用户初始化连接请求并发送给用户一个认证信息的请求；认证通过后允许流量通过；存储合法用户信息xauth表；可以对应用协议以及数据进行分析检测。
工作层面：3、4、5、7层

原理流程图

优点

可以支持连接身份认证，能检测应用层数据；如，上网认证，URL过滤，关键字等行为管理（认证是上网安全的基础）

缺点

用软件来处理，消耗系统资源；仅支持TCP应用（如http、telnet、https、ftp）；可能需要额外的客户端软件

ALG的作用

七下一代防火墙

1. 传统防火墙防御模式

传统安全产品的形态

FW（防火墙）

IPS（Intrusion Prevention System，入侵防御系统）

功能原理：是一种主动的、积极的入侵防范阻止系统。它工作在网络层或应用层，通过深入分析网络流量，实时监测和分析网络中传输的数据，依据预设的规则，对可能存在的入侵行为（如端口扫描、恶意软件传播、SQL 注入等）进行检测，并在发现攻击时及时采取措施，如丢弃恶意数据包、阻断连接等，以防止攻击行为对网络或系统造成损害。
应用场景：常用于企业网络、数据中心等对网络安全要求较高的环境，保护内部网络免受外部攻击和内部非法访问。

AV（Antivirus，防病毒软件）

功能原理：主要用于检测、预防和清除计算机系统中的病毒、蠕虫、木马、恶意软件等威胁。它通过病毒特征库比对、行为监测等技术手段，扫描计算机中的文件、内存、网络流量等，发现病毒或恶意软件后进行清除或隔离，保障计算机系统的正常运行和数据安全。
应用场景：广泛应用于个人计算机、服务器等设备，保护设备中的数据不被病毒破坏，防止病毒在网络中传播扩散。

WAF（Web Application Firewall，Web 应用防火墙）

功能原理：专门针对 Web 应用进行安全防护。它位于 Web 服务器和外部网络之间，通过对 HTTP/HTTPS 流量进行分析，检测并阻止针对 Web 应用的各种攻击，如 SQL 注入攻击、跨站脚本攻击（XSS）、命令注入攻击、恶意扫描等。WAF 可以根据预设的安全策略，对请求和响应进行过滤、阻断、修改等操作，保护 Web 应用免受恶意攻击，确保 Web 服务的可用性、完整性和机密性。
应用场景：适用于各类 Web 应用系统，如企业官网、电子商务网站、在线支付平台、社交网络平台等，保障 Web 应用的安全运行。

传统的安全防护UTM

UTM存在的问题