- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
行业资讯
网络安全设备之“防火墙”
前言:在企业安全中,防火墙在整个企业网络中占有很重要的地位,那么什么是防火墙?有什么作用?具体是怎么工作的?下面将来跟大家一起探讨一下。
防火墙的基本概念:
一、定义:是一款具备安全防护功能的网络设备。
二、作用:
1.网络隔离:将要保护的网络与不信任的网络进行隔离,隐藏信息并进行安全防护
2.流量控制:对进出防火墙的数据流进行限制
3.记录分析:对进出数据进行检查,记录相关信息(必须配置相关策略才进行相关信息记录)
三、基本功能:
1.访问控制:主要在2,3,4层的进行访问控制
2.攻击防护:ARP泛洪,icmp泛洪,ARP欺骗,DDOS攻击,IPSpoofing攻击等等,主要分布在2,3层的网络攻击,某些防火墙集成了应用层检查,可对http链接与域名进行访问控制,需要注意不是完全工作在2-4层。
3.冗余设计:HSRP,VRRP,HA(有负载与单活模式-个人感觉单活模式有点资源浪费,但好处是避免了硬件故障导致的网络可用性降低)三层冗余,STP等二层冗余。
4.路由,交换:路由与交换功能。
5.日志记录:配置相关流量记录策略功能,形成流量访问记录日志。
6.虚拟专网VPN:VPN功能(有的不支持)
7.NAT/IP映射:内部地址转换功能与内外网IP地址对应。
四、防火墙分类:
1.从表现形式上分:
(1)硬件防火墙:专门做网络数据包过滤的,通常基于硬件实现的
(2)软件防火墙:例如Windows防火墙,Linux的iptables防火墙,或其他的基于软件实现的防火墙
(3)芯片级防护墙:芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片使得处理速度更快,常见的有NetScreen、FortiNet、Cisco等。
2. 从技术应用上分:
(1)包过滤防火墙:也叫分组防火墙,初期防火墙,基于ACL实现,工作在3层,需要放行出去,及回包策略(已经被淘汰)
(2)状态检测防火墙:工作在4层,根据 TCP的状态,TCP状态重新装载实现,回包依据前一个会话状态的数据交互实现,只需要放行去哪儿的包,哪儿给它的回包根据会话表自动放行。(目前较为常用的一种)
(3)应用层防火墙:工作在应用层,可以检测木马,病毒,SQL注入,XSS,或过滤某个链接等。(此处请注意“应用层防火墙”与“Web应用防火墙”的区别,Web应用防火墙,数据库防火墙此类防火墙具有特定的应用防护特点)
(4)应用代理防火墙:较大程度地隔绝通信两端的直接通信,所有通信都要由应用层代理层转发,访问者不允许与服务器建立直接的TCP连接,也不是所有的应用都可以代理,比如QQ,FTP等,常见代理有Http,https代理等。(此处概念摘自百度及其他地方,部分符合个人观点)。
(5)下一代防火墙:集成了各个模块,比如,从二层的安全防护,DNS保护,ARP攻击,三层的spoofing攻击,DDOS,到应用层攻击,病毒,木马,蠕虫,XSS,SQL注入,邮件病毒检测,IDS,IPS,VPN等,集成了大规模的模块化应用的防火墙,目前并未大量应用,处于研究发展阶段。
此外还有根据性能划分的防火墙种类,大致分为,百兆,千兆,万兆等类型。
五、防火墙性能衡量指标:
1.吞吐量:在不丢包的情况下单位时间内通过数据包的数量
2.时延(也叫延时):数据包从第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
3.丢包率:通过防火墙传送时所丢失的数据包占所发送数据包的比率
4.并发连接数:防火墙能够处理点对点最大连接数的数目
5.新建连接数:在不丢包的情况,每秒钟能够建立的最大连接数量
防火墙的区域:
1.内部区域(inside zone):内网区域,可信度最高。
2.DMZ区域(demilitarized zone): 称为隔离区,非军事化区域/停火区,可信度为中。
3.外部区域(outside zone):外网区域,可信度最低。
划分区域的原因:更好的管控流量,降低明细的防火墙策略配置,当把某接口划分到某区域接口时,则改接口下所有的网络或主机都归属为此区域内的资源。
各个防火墙厂商对基本的三个区域之间的流量管控默认是不一样的,例如cisco默认高可信区域流量可以流向低可信区域,但低可信区域的流量将禁止流向高可信区域;天融信防火墙(没有默认区域概念),区域认为进行划分,默认全部为禁止,需要手动开启相应流量管控;可能H3C,网御等等一大堆又是另外一个标准,因此,只需要明白区域划分的概念与好处即可。
重点聊一下DMZ区:DMZ区域,这个区域需要外部用户与内部用户的同时访问,因此DMZ区是外所有人开放的状态,然而,对于DMZ区的流量,可能需要管控服务器的外出流量,很多单位是不允许DMZ区流量主动向外发起,从而减少了一些网络攻击的风险。如只对内外用户开放业务端口,将管理端口开放给运维堡垒主机等,严格得从网络层面减少了攻击面,一定程度增加了恶意者攻击难度;如果业务与数据库分离,那么,需要对DMZ域服务器到数据库端口的流量放行,因此DMZ域的流量大致如此,如需特殊的需求,则需要对DMZ区服务器的访问需求控制到端口级,在此先说这么多,在以后的篇章中,我们将出网络及应用安全部署的基本要求专题探讨。
防火墙的部署模式:
1.透明模式:只做流量过滤,这种模式不改变网络结构,对现有的网络结构影响最小,这种模式一般不部署在边界,此种模式可以看做带有安全策略的交换机。
2.路由模式:接口配置IP地址,改变现有网络结构,至少改变网段,而且需要配置路由(静态或动态),在拥有着路由器功能的同时,还带有流量安全管控功能。
3.混杂模式:防火墙的接口中,既有二层接口,还有三层接口,还有trunk接口,物理接口可以配置子接口。
我一般喜欢称为4种模式,透明,路由,混合,Trunk模式,根据个人喜好进行区分,明白原理即可,access模式可以根据实际VLAN进行VLAN划分的,因此也有二层接口配置trunk的,在trunk配置中,可以配置允许哪些VLAN数据通过。
常见部署模式:其中之一,NAT模式,如下图:
双机热备模式,如下图:(如需划分其他区域,将在防火墙配置接口,并接入相应交换机即可)
Trunk模式:
此外还有VPN模式,VPN,后面将会出VPN专题,供大家参考。
防火墙有白名单与黑名单模式,最后在这里跟大家探讨一下:
白名单:默认所有流量都是恶意流量,只有经过申请,并确认为安全的流量才予以开放访问的策略,较多见,常见。推荐使用白名单模式。
黑名单:默认所有流量全为善意流量,发现恶意流量后,对恶意地址进行加入黑名单,予以禁止。
最佳实践是:在白名单基础上,因为对外发布的应用需要内外网用户访问,因此是需要any访问应用web的,但发现在any中有IP进行对web进行恶意扫描,攻击尝试时,予以在permit any-->应用端口的策略之前开启黑明单策略,将内网恶意IP地址加入到黑名单策略。最底层默认策略any --->any 禁止即可。
