一、防火墙的概述
1.防火墙概念
-
是一款具备安全防护功能的三层及三层以上的网络设备
-
将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护。
路由器是连接不同网段的,配好IP和路由表不会对网络进行隔离,而防火墙就是隔离网络的
-
防火墙的本质工作是在三层和四层上隔离网络、放行流量,而不是防病毒和木马的!(虽然现在有五层防火墙有这个功能,但是不是它的本质工作)
2.防火墙与路由器异同
- 都是三层以上的设备,且防火墙包含路由器的全部功能
- 路由器:配好IP和路由表后,默认情况下对不同网络之间通信不做任何限制,我们配置ACL表的目的是做限制和过滤
- 防火墙:配好IP和路由表后,默认情况下是禁止不同网络间任何通信的,我们配置策略是为了放行一小部分数据
3.防火墙基本功能
-
访问控制(策略)
-
攻击防护(更多的是三层四层攻击的防护:ddos攻击、IP分片攻击、泛洪攻击等;少数有五层的防护,但还不完善)
-
路由、交换功能
-
NAT
-
虚拟专网VPN–可以设置点到点VPN,也可以设置远程访问VPN做VPN服务器(防火墙自带一两个VPN功能免费试用,其他的需要买授权才能使用)
-
冗余设计 – 公司中可以购买多个防火墙同时工作,有点类似于路由器的HSRP、VRRP
-
日志记录 – 生成报表记录攻击方、时间、IP、上网记录等
4.防火墙厂家与参数
-
防火墙厂家:H3C(国内),juniper(国外),天融信,启明星辰,思科、锐捷也做防火墙(大厂家什么都做)等
-
参数
-
可以检测dos攻击和ddos攻击:黑客以极大的通信量或者大量的连接请求发送给服务器,但是一旦占用后或者发送连接请求后不做任何回应,只是单纯的占用,使可用的资源或者操作系统资源被占用,那么当资源被占用,其他人再请求也是无法使用资源的,所以会是网络速度变慢,且大量占用无法正常提供服务,又称拒绝服务。如果竖一道防火墙在重要服务器或者设备前,所有经过的流量都需要先检查一遍,比如你发送一条请求服务给服务器,防火墙会先替服务器处理一下信息,给发送方一个回应,如果对方没有声音了,就会将帧丢弃,因为dos攻击是不会回应的,不然你发大量的通信量你还要再回应的话伤敌一千,自损八百。但是如果发送量太大了,让防火墙一直在处理这些无意义的消息,那么也会将防火墙攻击瘫痪,此时唯一的解决办法就是请运营商对防火墙进行流量清洗
-
了解会话:
我们知道一般开启一个软件或者程序时,是需要占用服务的端口号的,也就是会建立一条或多条会话
cmd查看端口状态:如果端口状态显示监听,这一条不是一个会话,只是表示此端口是开启状态;如果显示建立,则这一条表示一条会话:哪一个IP的哪个端口正在访问我IP的哪一个端口,或者我IP的哪一个端口正在访问哪一个IP的哪个端口;close_wait表示这个会话已经结束了。
比如我们打开浏览器,会建立一条或多条对话。
并发连接数范围:如果你打开多个网页或者再打开几个游戏,那么电脑上就会同时打开多条会话,由于这些操作都要与外界的服务器之间通信经过防火墙,所以公司防火墙会会维持这些会话。如果公司中有很多人,开启的程序都会有多条会话,且都会经过防火墙,那么防火墙就要维持这些会话,能维持的会话的数量就是并发连接数
新建/并发连接数:每一个人的多条会话经过防火墙,防火墙会记录这些会话都是这一个人,维持这个人的会话。那么每有一个人发来会话,防火墙就会新建连接数,记录这些会话都是哪些人的,方便进出防火墙。所以新建连接数就是能同时记录并维持几个人的一条或多条会话
安全过滤带宽:一次能检查过滤的信息量
网络吞吐量:表示一次能接受的信息量,吞吐量一般都是大于安全过滤带宽的
-
5.衡量防火墙性能5大指标
- 吞吐量:在不丢包的情况下单位时间内通过的数据包数量
- 时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
- 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
- 并发连接数:防火墙能够同时处理的点对点连接的最大数目
- 新建连接数:在不丢包的情况下每秒可以建立的最大连接数
二、防火墙的部署
1.防火墙区域概念
-
一般防火墙会划分三个区域
- 内部区域:也叫受信任区域,一般都是公司内网员工和一些核心服务器所在区域
- DMZ区域:也称"隔离区",这块区域主要都是公司内网的不重要服务器或者对外开放的服务器所在区域
- 外部区域:也称不信任区域,一般是连接互联网
2.防火墙策略根据区域来写
-
防火墙的策略要根据区域来写
我们学过路由器的ACL表需要应用到某个接口的出方向或者进方向做过滤;而防火墙不认什么接口和方向;防火墙上的策略只会依据区域来过滤。比如从内部区域到到外部区域的流量依据策略来做过滤
-
且防火墙策略都是写单向策略
-
如果我们想放行一些从内部区域到外部区域的流量,就会在防火墙上写策略,且应用方向是从内部区域到外部区域。而不用再设置从外部区域到内部区域,因为防火墙认识请求包和此请求包发送后的对方的回包
-
比如:如果现在设置了内部区域到外部区域的策略,那么表示如果内部区域的PC向外部区域的PC发送帧,防火墙是允许此帧通过的!那么外部区域的PC收到此帧后需要回包,通过防火墙,防火墙也会认得这个回包是刚出去那个帧的回包,则也会放行!但是如果此时外部区域的PC向主动访问内部区域的PC,防火墙就不允许此帧通过。
-
如果想让外部区域的某些帧可以访问内部区域,则还需要写一条外到内区域的单向策略
-
三、防火墙分类
1.按防火墙形态分类
- 软件防火墙:如电脑上的自带防火墙;360防火墙;腾讯管家。一般都是保护个人,没那么大性能
- 硬件防火墙:功能比较强大,一般企业使用较多
2.按技术分类
-
包过滤防火墙:最早的防火墙技术之一,主要对三层过滤,且无法检测回包,功能简单,配置复杂(已经被淘汰)
-
状态检测防火墙:现代主流防火墙,速度快,配置方便,功能较多
-
应用(代理)防火墙:最早的防火墙技术之二,对五层进行过滤,连接效率低,速度慢
-
WAF防火墙
比如现在公司中的DMZ区域要向外部开放一个网页服务器,可以允许外部区域访问这个web服务器的80端口,那么就需要在外部区域到DMZ区域写一条策略,允许放行外网访问DMZ区域的的web服务器的80端口。但是如果现在有一个黑客写一些sql语句发送到web服务器80端口做网页渗透,由于此时一般防火墙只对三层四层有过滤只限制哪些IP可以访问哪个端口防御一些三四层的攻击,但不会检查五层数据中是否与sql注入,所以此时可以在web服务器前面再设置一个防火墙,专门防御web应用,检查web交互。这种防火墙种类叫WAF防火墙,功能专一
-
应用层防火墙
-
防火墙的补充
-
IPS–入侵防御系统(可以将此系统内置到防火墙里,让防火墙有此功能,是防火墙的一种补充。因为IPS已经没有区域的概念了,只是对入侵做检测防御,且不区分方向,入的和出的都会检查)
在普通的防火墙后面进入DMZ区域之前再设置一到防火墙,这个防火墙不用再检查IP和端口了,以为前面的普通防火墙已经做过过滤了,这个防火墙专门针对一些五层的字符串检查,检查是否满足木马或者病毒的一些特征,满足则干掉。所以此防火墙中应该有厂家提供的病毒木马特征库,厂家会根据新出的木马病毒实时更新特征库并推送到防火墙中。公司需要购买license,厂家才会给你提供
-
IDS–入侵检测系统(可以将此系统内置到防火墙里,让防火墙有此功能,是防火墙的一种补充。因为IPS已经没有区域的概念了,只是对入侵做检测防御,且不区分方向,入的和出的都会检查)
一般入侵检测系统防火墙不设置在路线上(直路设置),而是旁路设置,通过的数据在向DMZ区域走时也会镜像的向IDS也走一份,IDS会检测并生成报告,我们根据IDS的报告记录来进行相关的改善。所以只是警告和记录。IDS的好处是不会降低性能。比如IPS收到帧后先对帧进行解封装–检查五层内容–封装好–再发送出去,会花时间处理帧,性能就会下降;但是IDS只是在旁路检查,帧该怎么走怎么走,只是向IDS也走一份。
-
四、几种防火墙的工作原理
1.应用代理防火墙
-
当输入数据流经过防火墙,会解封装到第五层,对应用层的数据进行过滤,此时防火墙用自己的身份给发送方回包,也就和对方建立了一个会话;然后有回应并且满足策略后,防火墙又会以自己的身份发一个新的包给输入数据要访问的服务器,此时又与要访问的对象建立了一个会话。可以达到隐藏内网的作用。综上防火墙需要建立两个会话,对外代理访问员工,对内代理服务器
-
优点:安全性高,检测内容
-
缺点:连接性能差、可伸缩性差,很多服务代理不了
2.状态检测防火墙
- 优点:减少检查工作量,提高效率;连接状态可以简化规则的设置
- 缺点:对应用层检测不够深入
1)内到外
-
当防火墙此时配置了路由表和PAT以及内部区域到外部区域的策略
-
那么当内部区域的员工PC访问外部区域的互联网,状态检测防火墙收到帧,解封装后会先和自己记录的会话状态表进行状态匹配,但是防火墙在没有收到帧时,会话状态为空,所以此时先将发的帧中的三层的IP包头中源、目标IP,还有四层的源端口、目标端口记下来,即把帧的状态记录下来
-
接着再检查策略表,是否满足条件,满足则通过,不满足则干掉;
-
允许通过后会继续匹配路由表,如果没有匹配则将帧丢弃,匹配到则路由到相应的出接口
-
接着防火墙会随机生成一个源端口号替换,目标端口号不变,然后将源、目标端口记下来。再通过PAT转换IP地址,将源IP转换为公网IP地址。之后将转换好的源、目标IP记下来
-
由于还要得到下一跳设备的MAC地址,所以先会查看ARP缓存表,如果有直接封装好源MAC目标MAC,如果没有则发送ARP广播获取对方的MAC,再封装好,将源、目标MAC地址记录下来
-
到此一张完整的会话状态形成了被防火墙记录下来:记录了内部员工的状态和访问的外部状态。之后将帧发出去
-
当如果继续接收到此内部员工向外部同一个目标剩下的帧时,则先解封装进行状态匹配,如果和会话状态中记录状态一致,则无需再检查策略表,路由表,PAT地址转换表以及ARP缓存,直接根据对应的会话状态中的信息快速将帧封装好发送出去
2)外到内
-
防火墙收到帧解封装后还是会先状态匹配,如果收到的是刚才内部到外部发的帧的回包,状态检测防火墙是可以识别到的,因为会话状态中记录了对应的发包和回包的对应关键信息。那么如果匹配到是回包则同样根据对应的会话状态中的记录将帧快速封装好,然后发送出去
所以防火墙只需要配单向策略
-
如果收到的是外部区域某PC向内部区域某PC主动发送帧访问,防火墙还是会先检查状态匹配,如果不匹配,则继续检查策略表,也没有匹配到的话,则会将帧丢弃。即外部区域无法主动访问内部区域
综上:状态检测防火墙关键部分原理示意图
五、防火墙的工作模式
我们一般会根据不同防火墙的功能,配置防火墙到特定工作模式,使之效果更好的工作。防火墙的工作模式有:1、透明模式 2、路由模式 3、混杂模式
1.透明模式
-
一般将网络分为内部网、DMZ区和外部网
-
说明:图中由于与防火墙连接的网络的网段都是相同的,即防火墙此时的所有端口都工作在二层(防火墙虽然工作在三层,但是防火墙内部其实有二层的构造的,所以端口可以工作在二层,就像三层交换机),那么由于端口是二层,则无法给端口配置IP,即NAT功能和路由功能都交给了图中的路由器来做,但是即使是二层端口,防火墙也可以将端口分为不同的区域:内部区域、外部区域、DMZ区域,所以还是可以根据区域来下发策略,依然可以实现防火墙的本质工作–做区域隔离
-
透明模式何时使用:透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下, 用户需要加装防火墙以实现安全区域隔离的要求,而不改变公司中已经建设好的网络。所以可以将防火墙布置在如下图所示的位置,将端口工作在二层,划分区域但是又不影响整个公司中任何网段,即不用对公司的任何网络做改变,只需要将防火墙布置好,划分区域完成本质工作即可。这种防火墙的工作模式就是透明模式。再比如此时只想对某台服务器做防护,所以直接部署在某天服务器前,并调成透明模式即可,不用对服务器等其他设备的IP、网段、网关等设置有任何影响
2.路由模式
-
路由模式何时使用:路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。那么此时就可以给防火墙端口配置IP,做PAT,配置路由表等
3.混杂模式
-
一般网络情况为透明模式和路由模式的混合。可以理解为防火墙的内部构造和三层交换机类似,比如下图中,与外部区域相连的是内部的二层交换机,即透明模式;与内部区域向量的是一个路由器,即路由模式。但是不要以为外部网与DMZ区域的网段相同,但是防火墙依然可以把它们划分到不同区域,对区域下发策略。
