防火墙的内容补充
前言:
- 防火墙通过攻击防范主动抵御威胁,利用流量统计与监控实时掌握网络状况,并借助日志记录所有事件以供审计追溯,三者共同构成了集“防护、洞察、追溯”于一体的网络安全功能
- 该章节为防火墙系列的第四章,主要来介绍防火墙的攻击防范、流量统计与监控和日志,实现防火墙的核心功能,继续加深对防火墙的学习
攻击防范
攻击防范可以检测出多种网络的攻击行为,并采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统的正常运行
网络攻击的类型:
网络攻击一般分为拒绝服务型攻击、渗透入侵型攻击、应用层逻辑攻击、欺骗型攻击和畸形报文攻击三大类:
一、 拒绝服务攻击(破坏可用性)
这类攻击的核心目标是耗尽目标的资源,使其无法提供正常服务
拒绝服务攻击和其他类型的攻击不同之处在于:攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户访问资源或防火墙
拒绝服务攻击 / 分布式拒绝服务攻击:这是最典型的拒绝服务型攻击
流量型DDoS:通过海量的“僵尸主机”向目标发送巨量的UDP、ICMP等无效数据包,堵塞目标网络带宽,像高速公路堵车无法通行一样
协议型DDoS:利用网络协议缺陷进行攻击,如 SYN Flood 攻击,通过发送大量伪造的TCP连接请求,占满服务器的连接队列,使其无法处理合法请求
应用层DDoS:模拟大量看似正常的用户请求(如HTTP GET/POST),攻击特定的Web应用功能,耗尽服务器的CPU、内存等计算资源
二、 渗透入侵型攻击(破坏安全性与完整性)
这类攻击的核心目标是绕过安全防御,潜入目标系统,窃取数据或获取控制权。它是一个多阶段的攻击链。
信息收集:在发动真正的网络攻击之前,攻击者首先需要收集目标的情报,这个过程就叫做信息搜集。“扫描窥探”,正是信息搜集阶段最核心、最常见的技术手段
扫描窥探攻击是利用ping扫描(包括ICMP和TCP)来标识网络上存活着的系统,从而准确地指出潜在的目标。利用TCP和UDP等进行端口扫描,就能检测出操作系统的种类和潜在的服务种类
信息搜集:先收集目标的情报
主机与端口发现:确定网络上有哪些活跃的主机和开放的服务端口
服务与漏洞探测:识别目标运行的应用程序、操作系统类型及版本,并探测其可能存在的已知漏洞
社会工程学:通过钓鱼邮件、欺诈电话等方式欺骗内部人员泄露敏感信息或执行恶意操作
漏洞利用:在发现漏洞后,发动实质性攻击
远程代码执行:利用应用程序或系统服务中的安全漏洞,向目标发送精心构造的恶意数据,从而在远程系统上执行任意代码
权限提升:在获得初步访问权限后,利用系统本地漏洞将权限从普通用户提升至管理员,完全控制设备
口令猜解与爆破:对登录接口进行自动化、大规模的密码尝试,以弱口令或默认口令为突破口
恶意代码投放:通过漏洞或社会工程学手段,在用户系统中植入恶意程序
病毒与蠕虫:病毒需要依附于其他程序,而蠕虫可以独立自我复制和传播,消耗资源、破坏数据
木马程序:伪装成合法软件,为攻击者创建隐蔽的后门,实现长期控制
勒索软件:加密用户文件,并勒索赎金后才予以解密,造成直接的经济损失和业务中断
三、 应用层逻辑攻击(针对业务)
这类攻击不直接利用系统漏洞,而是利用Web应用程序的逻辑缺陷或设计疏漏
注入攻击:
SQL注入:在Web输入参数中插入恶意SQL代码,欺骗后端数据库执行非授权命令,从而窃取、篡改或删除数据
命令注入:利用应用程序的输入验证不严,在服务器上执行非授权的操作系统命令
跨站脚本攻击:将恶意脚本植入网页,当其他用户浏览该网页时,脚本会在其浏览器中执行,可用于盗取会话Cookie、钓鱼欺诈等
文件与目录攻击:
文件上传漏洞:攻击者利用网站的文件上传功能,将Webshell等后门文件传到服务器,从而远程控制整个网站
目录遍历:利用程序未能正确过滤用户输入中的“../”等目录跳转符,访问Web根目录以外的敏感系统文件
四、 欺骗型攻击(利用双方的信任)
这类攻击的核心是通过伪装身份或劫持会话,破坏通信双方之间的信任
中间人攻击:攻击者秘密插入到两个通信方之间,拦截、窃听甚至篡改所有通信内容
ARP欺骗/IP欺骗:伪造自己的MAC或IP地址,冒充可信主机,从而截获数据或发起其他攻击
会话劫持:通过窃取用户的会话凭证(如Cookie、Session ID),来冒充合法用户身份
五、 畸形报文攻击(利用协议栈漏洞)
这是最基础的一类攻击。攻击者发送有缺陷的、不符合RFC标准的IP数据包,利用目标系统在处理这些报文时的程序漏洞,导致系统崩溃、重启或拒绝服务。例如,Ping of Death、Teardrop 等
流量统计与监控
流量统计与监控功能的核心作用:是掌握网络运行状况、定位异常问题,并为优化网络策略和带宽分配提供数据依据
防火墙不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,进行大量的统计计算与分析
防火墙的流量统计与监控主要服务:
掌握网络运行状态:通过可视化的界面和报表(如总览页面的流量趋势),掌握网络中的流量大小、主要访问关系、活跃应用等
发现异常与攻击:系统可以检测异常的IP,并基于IP或安全区域监控连接数,当连接数超过阈值时采取限制措施,这有助于发现如DoS攻击等异常情况
优化策略与带宽:通过分析ACL规则的命中情况和策略助手中的策略命中情况,可以识别冗余或无效的策略,从而进行优化。同时,流量TOP统计和带宽使用量监控能帮助识别带宽消耗最大的用户或应用,为带宽管理提供依据
日志
日志是安全审计和事件追溯的关键 。防火墙日志可以实时记录防火墙的动作和状态(例如实施了某种防火墙措施、检测到某种网络攻击或者正在进行的入侵)
防火墙日志的类型:
黑名单日志
设备在发现有地址扫瞄、端口扫瞄等攻击的时候,在黑名单开启的情况下会动态生成黑名单日志。手动加入的黑名单同样也会生成黑名单日志
动态生成的黑名单、手动加入的静态黑名单到老化时间之后,会生成解除黑名单日志
攻击日志
设备发现各种攻击类型后,会自动生成攻击日志,记录攻击类型和参数
流量监控日志
当系统全局、区域出入的会话数超过所配置的连接数阈值上限时,设备会生成流量监控日志,当会话数低于所配置的连接数阈值下限时,设备会生成流量恢复日志
包过滤日志
包过滤功能对报文进行过滤所记录的日志
流日志
设备的流日志是在会话表老化后,封装流日志信息,发送到日志服务器
同时,日志也是进行安全分析和故障排查的核心依据。定期查看访问控制日志,有助于发现异常访问行为,并验证配置的黑名单、白名单及防护规则是否生效