防火牆介紹

一、什麼是防火牆?

防火牆指的是一個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障，用來隔離非授權使用者並過濾網路中有害的流量或資料包。防火牆其實是一種隔離技術。

在計算機中，防火牆是基於預定安全規則來監視和控制傳入和傳出網路流量的網路安全系統。該計算機流入流出的所有網路通訊均要經過此防火牆。防火牆對流經它的網路通訊進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通訊，封鎖木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通訊。

二、防火牆的功能

①防火牆是網路安全的屏障

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並透過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能透過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

②防火牆可以強化網路安全策略

透過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

③對網路存取和訪問進行監控審計

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

④防止內部資訊的外洩

透過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了區域性重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊，這樣一臺主機的域名和IP地址就不會被外界所瞭解。

⑤支援虛擬專用網

除了安全作用，防火牆還支援具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

三、防火牆分類

以發展歷程來分:

第一代: 包過濾防火牆

介紹：第一代防火牆是1989年產生的，僅能實現簡單的訪問控制。包過濾防火牆認為資料包之間是割裂的個體，網路更容易受到入侵。

技術：屬於三層技術, 使用ACL( 訪問控制列表技術 )，與nat結合使用

優點：簡單、速度快

缺點：但是檢測的顆粒粗

第二代: 代理防火牆

介紹：在應用層代理內部網路和外部網路之間的通訊。

技術：應用層，中間人技術（代理技術）

優點：安全較高，能防禦應用層威脅，內容威脅

缺點：技術複雜，速度慢，只能對特定的應用提供代理支援，應用劍不能通用。

中間的就是代理防火牆，下面是代理防火牆的兩條安全策略：

在規則2當中，目的埠也沒有設定為任意埠，因為我們無法確定PC訪問WEB到底用的哪個埠，要想使得WEB伺服器的回應報文順利透過防火牆到達PC，只能將規則2當中的目的埠設定為任意埠。

任意埠其實也就是所有埠，這樣會有很大的安全隱患，外部的惡意報文者偽裝成WEB伺服器，就可以暢通無阻的穿過防火牆，PC將會面臨嚴重的安全風險。

造成安全隱患的原因就是防火牆不知道PC訪問WEB伺服器的源埠到底是哪個？為了保證通訊，不得以放行了在入方向的任意埠，第三代防火牆–狀態檢測防火牆就解決了這個問題。

第三代: 狀態檢測防火牆 (發展史上的里程碑)

介紹：透過跟蹤網路連線的過程，以流量為單位，確定連線是否可靠。目前最常見的防火牆。在包過濾（ACL表）的基礎上增加一個會話表，資料包需要檢視會話表來實現匹配。狀態監測防火牆認為報文與報文之間是存在聯絡的，從而尋求資料包之間的“合作發展”，最後實現高效率、高安全、可持續發展

技術：會話追蹤技術，首包機制

優點：顆粒度細，速度快（會話表可以用hash來處理形成定長值，使用CAM晶片處理，採用二元匹配機制，達到交換機的處理速度）

工作原理：當WEB伺服器回應PC的報文到達防火牆後，防火牆會把報文中的資訊與會話中的資訊進行比對。如果發現報文當中的資訊與會話當中的資訊相匹配，並且該報文符合HTTP協議規定的規範，則認為這個報文屬於PC訪問WEB伺服器行為的後續回應報文，直接允許這個報文透過。如果是首包，報文中的資訊與會話中的資訊是不匹配的，會再去看ACL表，透過ACL表以後就產生了會話表，第二個包訪問就先訪問會話表，如果與會話表中的資訊匹配並符合HTTP協議的規範，則之間進入下一步。

執行模式：狀態檢測"機制，是以流量為單位 來對報文進行檢測和轉發，即：對一條流量的第一個報文(首包)進行包過濾規則檢查，第一次來的包（防火牆可以區分是去的，還是回的），並將判斷結果作為該條流量的"狀態"記錄進會話表項，建立兩個快取的session(一個去包快取、一個回包快取)，後續屬於同一資料流的資料包匹配快取表後放行

會話表：會話表當中包含PC發出的報文資訊如地址和埠等

第四代: 統一威脅管理 (簡稱 UTM)

介紹：人們給狀態監測防火牆上整合了VPN、防病毒、郵件過濾關鍵字過濾等功能，目的是想實現對網路統一地、全方位地保護，漸漸形成了第四代防火牆：UTM（統一威脅管理）。即將防病毒、入侵檢測和防火牆安全裝置劃歸統一威脅管理(Unified Threat Management，簡稱UTM)新類別。由IDC提出的UTM是指由硬體、軟體和網路技術組成的具有專門用途的裝置，它主要提供一項或多項安全功能，將多種安全特性整合於一個硬裝置裡，構成一個標準的統一管理平臺。

技術：將閘道器、IDS、IPS等裝置進行序列連線，UTM裝置應該具備的基本功能包括網路防火牆、網路入侵檢測/防禦和閘道器防病毒功能。

功能：FW、IDS、IPS、AV

**特點：**把應用閘道器和IPS等裝置在狀態防火牆的基礎上進行整合和統一。

優點：整合所帶來的成本降低、降低資訊保安工作強度、降低技術複雜度

第五代: 下一代防火牆 (簡稱 NG)

介紹：下一代防火牆，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應對應用層威脅的高效能防火牆。

技術：工作範圍在2-7層

功能：FW、IDS、IPS、AV、WAF

優點：

與UTM相比增加的web應用防護功能，功能更全

UTM是序列處理機制，NGFW是並行處理機制，效率更高

NGFW的效能更強，管理更高效

注意:

我們現在常見的防火牆都是第五代防火牆。

第五代防火牆的名字就叫“下一代防火牆”，沒有指代之意。

擴充：

入侵檢測系統（IDS）：網路攝像頭

部署方式：旁路部署，可多點部署

工作範圍：2-7層

工作特點：根據部署位置監控到的流量進行攻擊事件監控，屬於一個事後呈現的系統，相當於網路上的監控攝像頭

目的：傳統防火牆只能基於規則執行“是”或“否”的策略，IDS主要是為了幫助管理員清晰的瞭解到網路環境中發生了什麼事情。

入侵防禦系統（IPS）：抵制2~7層已知威脅

部署方式：串聯部署

工作範圍：2-7層

工作特點：根據已知的安全威脅生成對應的過濾器（規則），對於識別為流量的阻斷，對於未識別的放通

目的：IDS只能對網路環境進行檢測，但卻無法進行防禦，IPS主要是針對已知威脅進行防禦

防病毒閘道器（AV）：基於網路側識別病毒檔案

判斷資訊：資料包

工作範圍：2-7層

目的：防止病毒檔案透過外網路進入到內網環境

和防火牆的區別：

Web應用防火牆（WAF）：保護Web應用

判斷資訊：HTTP協議資料的request和response

工作範圍：應用層（7層）

目的：防止基於應用層的攻擊影響Web應用系統

主要技術原理：

代理服務：會話雙向代理，使用者與伺服器不產生直接連結，對於DDOS攻擊可以抑制

特徵識別：透過正規表示式的特徵庫進行特徵識別

演演算法識別：針對攻擊方式進行模式化識別，如SQL隱碼攻擊、DDOS、XSS等

以存在形式來分:

軟體防火牆（iptables,）

軟體防火牆也稱為個人防火牆，它是最常用的防火牆，通常作為計算機系統上的程式執行。它是可定製的，允許使用者控制其功能。軟體防火牆單獨使用軟體系統來完成防火牆功能，將軟體部署在系統主機上，其安全性較硬體防火牆差，同時佔用系統資源，在一定程度上影響系統效能。與基於硬體的防火牆不同，軟體防火牆只能保護安裝它的系統。

硬體防火牆

硬體防火牆是指把防火牆程式做到晶片裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。

軟體防火牆與硬體防護牆的區別

軟體防火牆只有包過濾的功能，硬體防火牆中可能還有除軟體防火牆以外的其他功能，例如CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及VPN等等的功能。

軟體防火牆效能比硬體防火牆低、成本低

防火牆如何處理雙通道協議

ftp、VOIP等協議，通道是隨機協商出來的，因此防火牆不能設定策略，也難以形成會話表

使用ASPF（針對引用層的包過濾）技術， ASPF功能 可以自動檢測某些報文的應用層資訊並根據應用層資訊放開相應的訪問規則,開啟ASPF功能後，FW透過 檢測協商報文的應用層攜帶的地址和埠資訊，自動生成相應的Server-map表，用於放行後續建立資料 通道的報文，相當於自動建立了一條精細的“安全策略”。

server-map是一種對映關係，當資料連線匹配了動態Server-map表項時，不需要再查詢包過濾策略，保證了某些特殊應用的正常轉發。

Server map：為特殊應用能夠安全順利透過防火牆，而產生的一種動態、特殊的會話表項

防火牆如何處理nat 地址轉換

nat server會產生正反的server-map表項，還是一樣的，它只起到地址轉換的作用，幫助外網主機進行目的地址轉換，同時可以透過正向server-map表項幫助內網伺服器進行地址轉換

chibohandong