8.1 防火墙概述

8.1.1 防火墙概述

为了应对网络威胁，将内部信任网络与公共的不可信任的网络进行隔离。

8.1.2 防火墙区域划分

根据网络的安全信任程度和需要保护的对象，人为划分若干安全区域，包括：

·公共外部网络，如Internet;

·内联网 (Intranet)，如某个公司或组织的专用网络，网络访问限制在组织内部；

·外联网 (Extranet)，内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；

·军事缓冲区域 (DMZ)，介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。

8.1.3 防火墙工作原理

防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。一般用来将内部网络与因特网或者其他外部网络互相隔离，限制网络互访。

华为防火墙对流量的操作：permit、deny

Linux防火墙对流量的操作：

Accept:接受

Reject:拒绝数据包或信息通过，通知信息源

Drop:拒绝数据包或信息通过，不通知信息源

8.1.4 防火墙安全策略

防火墙的安全策略有两种类型：

(1) 白名单策略：只允许符合安全规则的包通过防火墙，其他通信包禁止；

(2) 黑名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。

8.1.5 防火墙功能与安全风险

防火墙功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御。

防火墙安全风险：采用防火墙安全措施的网络仍然存在以下网络安全风险：

(1)网络安全旁路。防火墙对未经过它的网络通信无能为力，例如从内部直接拨号访问外网。

(2)防火墙功能缺陷，导致一些网络威胁无法阻断。主要安全缺陷包括：防火墙不能完全防止感染病毒的软件或文件传输；防火墙不能防止基于数据驱动式的攻击；防火墙不能完全防止后门攻击。

(3)防火墙安全机制形成单点故障和特权威胁。一旦防火墙自身的安全管理失效，就会对网络造成单点故障和网络安全特权失控。

(4)防火墙无法有效防范内部威胁。

(5)防火墙效用受限于安全规则。防火墙依赖于安全规则更新。

防火墙发展：防火墙控制粒度不断细化、检查安全功能持续增强、产品分类更细化、智能化增强。

8.2 防火墙类型与实现技术

8.2.1 防火墙类型与实现技术 - 包过滤防火墙

·包过滤：在IP层实现的防火墙技术，根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

• 包过滤防火墙优点：低负载、高通过率、对用户透明。

• 包过滤防火墙缺点：不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以轻易通过包过滤器。

包过滤规则由“规则号、匹配条件、匹配操作”三部分组成

根据源IP地址、目的IP地址、源端口号、目的端口号，协议类型 (UDP/TCP/ICMP)、通信方向、规则运算进行匹配。

匹配操作有拒绝、转发、审计三种。

【案例分析】下列规则作用是只允许内、外网的邮件通信，其他的通信都禁止。

8.2.2 防火墙类型与实现技术 - 状态检测技术

状态检查技术：通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。

防火墙首先建立并维护一张会话表，当有符合已定义安全策略的TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，判断是否允许通过防火墙。主要步骤如下：

●(1)接收到数据包。

●(2)检查数据包的有效性，若无效，则丢掉数据包并审计。

●(3)查找会话表；若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计。

●(4)当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包；否则，丢掉该数据包并审计。

8.2.3 防火墙类型与实现技术-应用服务代理

应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的“中间人”角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机。

代理服务器按照所代理的服务可以分为FTP, Telnet, Http, Socket, 邮件代理等。

优点：不允许外部主机直接访问内部主机；支持多种用户认证方案；可以分析数据包内部的应用命令；可以提供详细的审计记录。

缺点：速度比包过滤慢；对用户不透明；与特定应用协议相关联，代理服务器并不能支持所有的网络协议。

8.2.4 网络地址转换技术NAT

NAT是为了解决公网地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。NAT技术用在网络安全应用方面，能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。实现网络地址转换的方式有：

静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

NAT池：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。

端口NAT (PAT)：把内部地址映射到外部网络的一个IP地址的不同端口上。

8.2.4 下一代防火墙技术

下一代防火墙除了集成传统防火墙包过滤、状态监测、地址转换等功能外，还具有应用识别和控制、监测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。

(1)应用识别和管控。不依赖端口，通过对网络数据包深度内容的分析，实现对应用层协议和应用程序的精准识别，提供应用程序级功能控制，支持应用程序安全防护。

(2)入侵防护(IPS)。能够根据漏洞特征进行攻击检测和防护，如SQL注入攻击。

(3)数据防泄露。对传输的文件和内容进行识别过滤，可识别常见文件的真实类型如Word，Excel，PPT，PDF等，并对敏感内容进行过滤。

(4)恶意代码防护。采用基于信誉的恶意检测技术，能够识别恶意的文件和网站。构建Web信誉库，通过对互联网站资源(IP，URL、域名等)进行威胁分析和信誉评级，将含有恶意代码的网站资源列入Web信誉库，然后基于内容过滤技术阻挡用户访问不良信誉网站，从而实现智能化保护终端用户的安全。

(5)URL分类与过滤。构建URL分类库，含不同类型的URL信息(如不良言论、网络“钓鱼”、论坛聊天)，对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤。

(6)带宽管理与Qos优化。通过智能化识别业务应用，有效管理网络用户/IP使用的带宽，确保关键业务和关键用户的带宽，优化网络资源的利用。

(7)加密通信分析。通过中间人代理和重定向等技术，对SSL，SSH等加密的网络流量进行监测分析。

8.2.5 其他防火墙技术

Web防火墙技术

Web应用防火墙可抵御的典型攻击主要是SQL注入攻击、XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。

数据库防火墙技术

主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。监控数据库风险行为，阻断违规SQL操作、阻断或允许合法的SQL操作执行。

虚拟补丁技术通过在数据库外部创建一个安全屏蔽层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术

工控防火墙是用于保护工业设备及系统，主要通过工控协议深度分析，防止恶意攻击。

工控协议：Modbus TCP协议、IEC61850协议、OPC协议、Ethernet/IP协议和DNP3等。

工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求。

8.2.6 防火墙主要产品

网络防火墙：部署在不同安全域之间，解析和过滤经过防火墙的数据流，具备网络层访问控制及过滤功能的网络安全产品。

Web应用防火墙：提供Web应用安全防护。

数据库防火墙：基于数据库协议分析与控制技术，实现对数据库的访问行为控制和危险操作阻断。

主机防火墙：部署在终端计算机上，监测和控制网络级数据流和应用程序访问。

工控防火墙：保护工控系统安全。

下一代防火墙：集成应用识别和管控、恶意代码防护、入侵防护、事件关联等多种安全功能。

家庭防火墙：防火墙功能模块集成在智能路由器中，具有IP地址控制、MAC地址限制、不良信息过滤控制、防止蹭网、智能家居保护等功能的网络安全产品。

8.3 防火墙防御体系结构类型

8.3.1 防火墙防御体系结构类型-基于双宿主主机防火墙结构

基于双宿主主机防火墙结构最基本的防火墙结构。

这种系统至少具有两个网络接口卡的主机系统。内部网络和外部网络分别连接在不同的网卡，使内外网不能直接通信。从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。内外网络直接的IP数据流完全在双宿主主机的控制之中，如图所示：

8.3.2 防火墙防御体系结构类型-基于代理型防火墙结构

基于代理型防火墙结构：由一台主机同外部网连接，该主机代理内部网和外部网的通信，代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构，如图：

·过滤路由器可按如下规则配置：

·允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。

·任何外部网 (或Internet) 的主机只能与内部网络的代理主机建立连接。

·任何外部系统对内部网络的操作都必须经过代理主机。同时，代理主机本身要有较全面的安全保护。

·优点：代理型结构比双宿主主机结构提供更好的安全保护，同时操作也更加简便。

·缺点：攻击者攻破代理主机，攻击者变成了内部合法用户，可以侦听到内部网络上的所有信息。

8.3.3 防火墙防御体系结构类型-基于屏蔽子网的防火墙结构

屏蔽子网结构在代理型结构中增加一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网，减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息，不能对内部网络直接操作。其特点如下：

应用代理位于被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网，不能直接进入内部网络。

过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证。

优点：安全级别最高。缺点：成本高，配置复杂。

8.4 防火墙技术应用

8.4.1 防火墙安全功能指标

网络接口：是指防火墙所能够保护的网络类型，如以太网、快速以太网、干兆以太网、ATM，令牌环及FDDI等。

协议支持：除支持IP协议之外，还支持AppleTalk, DECnet, IPX及NETBEUI等协议；建立VPN通道的协议：IPSec, PPTP，专用协议等；数据协议分析类型、工控协议分析类型、应用协议识别类型；IPV6协议支持。

路由支持：静态路由、策略路由、动态路由。

设备虚拟化：虚拟系统、虚拟化部署。

加密支持：是指防火墙所能够支持的加密算法，例如DES、RC4、IDEA、AES以及国产加密算法。

认证支持：是指防火墙所能够支持的认证类型，如RADIUS, Kerberos, TACACS/TACACS+、口令方式、数字证书等。

访问控制：包过滤、NAT、状态检测、动态开放端口、IP/MAC地址绑定。

流量管理：带宽管理、连接数控制、公话管理。

应用层控制：用户管控、应用类型控制、负载均衡。

攻击防护：拒绝服务攻击防护、Web攻击防护、数据库攻击防护、恶意代码防护、其他应用攻击防护、自动化工具威胁防护、攻击逃逸防护、外部系统协同防护。

管理功能：是指防火墙所能够支持的管理方式，如基于SNMP管理、管理的通信协议、带宽管理、负载均衡管理、失效管理、用户权限管理、远程管理和本地管理等。

审计和报表：是指防火墙所能够支持的审计方式和分析处理审计数据的表达形式，如远程审计、本地审计等。

8.4.2 防火墙性能指标

最大吞吐量：检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率，如网络层吞吐量、HTTP吞吐量、SQL吞吐量；

最大连接速率：TCP新建连接速率、HTTP请求速率、SQL请求速率；

最大规则数：检查在添加大数量访问规则的情况下，防火墙性能变化状况；

并发连接数：防火墙在单位时间内所能建立的最大TCP连接数，每秒的连接数。

防火墙安全保证指标：用于测评防火墙的安全保障程度，主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定。

环境适应性指标：用于评估防火墙的部署和正常运行所需要的条件，主要包括网络环境、物理环境。网络环境通常指IPv4/IPv6网络、云计算环境、工控网络等。物理环境通常包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等。

防火墙自身安全指标：主要有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力。

8.4.3 防火墙部署

防火墙部署的基本过程包含以下几个步骤：

①根据组织或公司的安全策略要求，将网络划分成若干安全区域；【划分区域】

②在安全区域之间设置针对网络通信的访问控制点；【设控制点】

③针对不同访问控制点的通信业务需求，制定相应的边界安全策略；【定策略】

④依据控制点的边界安全策略，采用合适的防火墙技术和防范结构；【选技术】

⑤在防火墙上，配置实现对应的网络安全策略；【配策略】

⑥测试验证边界安全策略是否正常执行；【测试验证】

⑦运行和维护防火墙。【运维维护】

8.4.4 防火墙应用案例 - linux防火墙

# 4. Allow ALL incoming SSH

# iptables-A INPUT -i eth0-p top--dport 22-m state - -state NEW,BSTABLISHED-j ACCEPT

# iptables -A OUTPUT -o eth0-p top - -sport 22-m state - -state ESTABLISHED -j ACCEPT

#5. Allow incoming SSH only from a sepcific network

# iptables-A INPUT - i eth0 -p top -s X. Y. Z.0/24- -dp ort 22 -m state - -state NEW,ESTABLISHED -j ACCEPT

# iptables-A OUTPUT -o eth0-p top - -sport 22-m state - -state ESTABLISHED -j ACCEPT

#6. Allow incoming HTTP

# iptables-A INPUT -i eth0-p tcp--dport 80-m state - -state NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o eth0-p top - -sport 80-m state - -state ESTABLISHED -j ACCEPT

# Allow incoming HTTPS

# iptables-A INPUT -i eth0-p tep--dport 443-m state--state NEW,ESTABLISHED -j ACCEPT# iptables-A OUTPUT -o eth0-p tcp - -sport 443-m state - -state ESTABLISHED -j ACCEPT

8.4.4 防火墙应用案例 - 华为包过滤防火墙acl（基本）

·配置需求：

在Router上部署基本ACL后, ACL将试图穿越

Router的源地址为192.168.1.0/24网段的数据包过滤掉，并放行其他流量，从而禁止

192.168.1.0/24网段的用户访问Router右侧的服务器网络。

8.4.5 防火墙应用案例 - 华为包过滤防火墙acl（高级）

配置需求：

某公司通过Router实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

现要求Router能够限制两个网段之间互访，防止公司机密泄露。