网络安全笔记7——防火墙技术

参考课程：中国大学MOOC《网络安全》——北京航空航天大学

防火墙概述

防火墙是由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，属于网络边界防护设备，由系统管理员设置访问控制规则，对进出网络边界的数据流进行过滤。

防火墙是Internet安全的最基本组成部分，但对于防御内部的攻击以及绕过防火墙的连接却无能为力。

---

防火墙对数据流的处理方式

根据安全策略，防火墙对数据流的处理方式有如下3种：

• 允许：允许满足规则的数据流通过防火墙。
• 拒绝：拒绝不满足规则的数据流通过，并回复一条消息，提示发送者该数据流已被拒绝。
• 丢弃：直接将数据流丢弃，不对这些数据包作任何处理，也不会向发送者发送任何提示信息。

---

防火墙需满足的要求

• 所有进出网络数据流都必须经过防火墙。
• 只允许经授权的数据流通过防火墙。
• 防火墙自身对入侵免疫，即确保自身安全。

防火墙默认规则：凡是没有明确允许的，一律都是禁止的。

防火墙的类型及结构

防火墙的发展史

防火墙的分类

防火墙分类：

• 包过滤防火墙
• 电路级防火墙
• 应用级网关防火墙

防火墙设计结构：

• 静态包过滤
• 动态包过滤
• 电路级网关
• 应用层网关
• 状态检查包过滤
• 切换代理
• 空气隙（物理隔离）

OSI模型与防火墙的关系

防火墙工作于OSI模型的层次越高，能提供的安全保护等级就越高。

防火墙工作原理：不同类型的防火墙，将分别对IP头、TCP头、应用级头、数据/净荷等部分数据进行过滤。

静态包过滤防火墙

工作在网络层

操作

1. 防火墙接收到从外部网络到达防火墙的数据包，对数据包过滤。
2. 对数据包施加过滤规则，对数据包IP头和传输字段内容进行检查。
3. 如果没有规则与数据包头信息匹配，则对数据包施加默认规则。

对于静态包过滤防火墙来说，决定接收还是拒绝一个数据包，取决于对数据包中IP头和协议头等特定域的检查和判定。

工作原理

• 过滤规则
  防火墙可根据数据包的源地址、目的地址、端口号确定是否允许和丢弃数据包；符合，则允许；不符合，丢弃。
• 过滤位置
  可以在网络入口处过滤
  也可在网络出口处过滤
  入口和出口同时对数据包进行过滤
• 访问控制策略
  网管需预先编写一访问控制列表
  需明确规定哪些主机或服务可接受，哪些主机或服务不接受

实例

• 拒绝来自130.33.0.0的数据包，这是一种保守策略。
• 拒绝来自外部网络的Telnet服务(端口号为23)的数据包。
• 拒绝试图访问内网主机193.77.21.9的数据包。
• 禁止HTTP服务(端口号为80)的数据包通过防火墙。

某大学的防火墙过滤规则设置

某公司的防火墙过滤规则设置

优缺点

优点

• 对网络性能影响较小
• 成本较低

缺点

• 安全性较低
• 缺少状态感知能力
• 容易遭受IP欺骗攻击
• 创建访问控制规则比较困难

动态包过滤防火墙

工作在传输层

动态包过滤防火墙：

• 具有状态感知能力
• 典型动态包过滤防火墙工作在网络层
• 先进的动态包过滤防火墙位于传输层

检查的数据包头信息：

• 源地址
• 目的地址
• 应用或协议
• 源端口号
• 目的端口号

工作原理

• 与普通包过滤防火墙相似，大部分工作于网络层。有些安全性高的动态包过滤防火墙，则工作于传输层。
• 动态包过滤防火墙的不同点：对外出数据包进行身份记录，便于下次让具有相同连接的数据包通过。
• 动态包过滤防火墙需要对已建连接和规则表进行动态维护，因此是动态的和有状态的。
• 典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。

实现动态包过滤器有两种主要的方式：

1. 实时地改变普通包过滤器的规则集
2. 采用类似电路级网关的方式转发数据包

优缺点

优点

• 采用SMP技术时，对网络性能的影响非常小。
• 动态包过滤防火墙的安全性优于静态包过滤防火墙。
• “状态感知”能力使其性能得到了显著提高。
• 如果不考虑操作系统成本，成本会很低。

缺点

• 仅工作于网络层，仅检查IP头和TCP头。
• 没过滤数据包的净荷部分，仍具有较低的安全性。
• 容易遭受IP欺骗攻击。
• 难于创建规则，管理员创建时必须要考虑规则的先后次序。
• 如果在建立连接时没有遵循三步握手协议，会引入风险。

电路级网关

工作在会话层

与包过滤的区别：

• 除了进行基本的包过滤检查外，还要增加对连接建立过程中的握手信息SYN、ACK及序列号合法性的验证。

检查内容：

• 源地址
• 目的地址
• 应用或协议
• 源端口号
• 目的端口号
• 握手信息及序列号

电路级网关通常作为应用代理服务器的一部分，在应用代理类型的防火墙中实现。

• 它的作用就像一台中继计算机，用于在两个连接之间来回地复制数据；
• 它也可以记录和缓存数据。

---

• 采用C/S结构，网关充当了服务器的角色；
• 作为代理服务器，在Internet和内部主机之间过滤和转发数据包。

---

• 它工作于会话层，IP数据包不会实现端到端流动；
• 在有些实现方案中，电路连接可自动完成。

过滤内容

工作原理

• 在转发该数据包前，首先将数据包的IP头和TCP头与规则表相比较，以决定将数据包丢弃，还是通过。
• 若会话合法，包过滤器将逐条扫描规则，直到发现一条规则与数据包中的有关信息一致。否则，丢弃。
• 电路级网关与远程主机之间建立一个新连接，这一切对内网中用户都是完全透明。

电路级网关实例——SOCKS

SOCKS由David和Michelle Koblas设计并开发
是现在已得到广泛应用的电路级网关(SSL)
事实上，SOCKS是一种网络代理协议

1. 内网主机请求访问互联网
2. 与SOCKS服务器建立通道
3. 将请求发送给服务器
4. 收到请求后向目标主机发出请求
5. 响应后将数据返回内网主机

优缺点

优点

• 性能比包过滤防火墙稍差，但是比应用代理防火墙好。
• 切断了外部网络到防火墙后的服务器直接连接。
• 比静态或动态包过滤防火墙具有更高的安全性。

缺点

• 具有一些固有缺陷。例如，电路级网关不能对数据净荷进行检测，无法抵御应用层攻击等。
• 仅提供一定程度的安全性。
• 当增加新的内部程序或资源时，往往需要对许多电路级网关的代码进行修改。

应用级网关

工作在应用层

与包过滤的区别

• 包过滤防火墙：过滤所有不同服务的数据流
  不需要了解数据流的细节，它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。
• 应用级网关：只能过滤特定服务的数据流
  必须为特定的应用服务编写特定的代理程序，被称为“服务代理”，在网关内部分别扮演客户机代理和服务器代理的角色。

当各种类型的应用服务通过网关时，必须经过客户机代理和服务器代理的过滤。

工作特点

• 必针对每个服务运行一个代理。
• 对数据包进行逐个检查和过滤。
• 采用“强应用代理”
• 在更高层上过滤信息自动创建必要的包过滤规则。
• 当前最安全的防火墙结构之一。
• 代理对整个数据包进行检查，因此能在应用层上对数据包进行过滤。
• 应用代理与电路级网关有两个重要区别:
  代理是针对应用的。
  代理对整个数据包进行检查，因此能在OSI模型的应用层上对数据包进行过滤。

优缺点

优点

• 在已有的安全模型中安全性较高。
• 具有强大的认证功能。
• 具有超强的日志功能。
• 规则配置比较简单。（对已经给定的应用配置规则比较简单）

缺点

• 灵活性很差,对每一种应用都需要设置一个代理。
• 配置烦琐，增加了管理员的工作量。（对新的应用重新配置应用规则比较繁琐）
• 流量吞吐性能不高，有可能成为网络的瓶颈。

状态检测防火墙

工作在所有七层上

• 应用状态
  能够理解并学习各种协议和应用，以支持各种最新的应用；能从应用程序中收集状态信息并存入状态表中，以供其他应用或协议做检测策略。
• 操作信息
  状态监测技术采用强大的面向对象的方法。
• 通信信息
  防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。
• 通信状态
  状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出数据包的状态信息

优缺点

优点

• 具备动态包过滤所有优点，同时具有更高的安全性。
• 它没有打破C/S结构，因此不需要修改很多应用程序。
• 提供集成的动态(状态)包过滤功能。
• 当以动态包过滤模式运行时，其速度很快。
• 当采用对称多处理器SMP模式时，其速度更快。

缺点

• 采用单线程进程，对防火墙性能产生很大影响。
• 因未打破C/S结构，可能会产生很大的安全风险。
• 不能满足对高并发连接数量的要求。

切换代理

工作过程

连接建立时安全层次提高到会话层，对会话信息进行检测，在连接建立完成回到正常通信状态后就将安全层次降低到网络层，对数据包进行简单的过滤提高效率。

优缺点

优点

• 与传统电路级网关相比，对网络性能造成影响要小。
• 由于对三步握手进行了验证，降低了IP欺骗的风险。

缺点

• 它不是一个电路级网关。
• 它仍然具有动态包过滤器遗留的许多缺陷。
• 由于没检查数据包的净荷部分，因此具有较低的安全性。
• 难于创建规则(受先后次序的影响)。
• 其安全性不及传统的电路级网关。

空气隙防火墙

在内外网之间有一个开关，不能同时只能接通内网和外网，存在物理隔离。

数据首先暂存在硬盘中，对其进行检查、杀毒、人工筛查等，然后再将数据整体转移到内网。

在高保密的军工企业中应用比较广泛。

效率较低，数据转移经常以分、时为单位。

优缺点

优点

• 切断与防火墙后面服务器的直接连接，消除隐信道攻击的风险。
• 采用应用代理对协议头长度进行检测，消除缓冲器溢出攻击。
• 与应用级网关结合使用， 空气隙防火墙能提供很高的安全性。

缺点

• 降低网络的性能。
• 不支持交互式访问。
• 适用范围窄。
• 系统配置复杂。
• 结构复杂，实施费用高。
• 带来瓶颈问题。

分布式防火墙

分布在网络的各个位置，内外网之间、内部各子网之间等，通过管理中心收集各防火墙的日志信息，对整体防火墙进行管理配置以达到最优的配置策略。

工作原理

网络防火墙

• 内部网与外部网之间、内部网各子网之间
• 对内部子网之间的安全防护层

主机防火墙

• 对服务器和桌面机进行防护
• 内核模式应用，过滤和限制信息流

管理中心

• 服务器软件
• 管理、分发总体安全策略；汇总日志

优缺点

优点

• 增强了系统安全性。
• 提高了系统性能。
• 提供了系统的扩展性。
• 可实施主机策略。

缺点

• 系统部署时间长、复杂度高，后期维护工作量大。
• 可能受到来自系统内部的攻击或系统自身安全性的影响。