防火墙是受保护的或“内部”网与不太可信的或“外部网”之间对所有通信进行过滤的设备,可以隔离有害通信,进而阻断网络攻击,一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成.
根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域:
- 公共外部网络,如 Intermet
- 内联网(Intranet) ,如某个公司或组织的专用网络,网络访问限制在组织内部
- 外联网(Extranet) ,内联网的扩展延伸,常用作组织与合作伙伴之间进行通信
- 军事缓冲区域,简称 DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务
防火墙主要是实现网络安全的安全策略,这种安全策略是预先定义好的,是一种静态安全技术。
安全规则由匹配条件和处理方式两部分共同构成。
大多数防火墙规则中的处理方式主要有三种:
- Accept:允许数据包或信息通过。
- Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止。 ICMP一个错误信息
- Drop: 直接将数据包或信息丢弃,并且不通知信息源
缺省规则:
- 默认拒绝:即一切未被允许的就是禁止的,规则库主安全规则的处理方式一般是Accept。
- 默认允许:即一切未被拒绝的就是允许的,规则库主安全规则的处理方式一般是Reject或Drop。
防火墙工作原理
防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全
防火墙的安全策
略有两种类型:
- 白名单策略(默认拒绝):只允许符合安全规则的包通过防火墙,其他通信包禁止
- 黑名单策略(默认允许):禁止与安全规则相冲突的包通过防火墙,其他通信包都允许
防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层
防火墙的功能:
- 过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。
- 限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的 Mail、FTP、WWW 服务器等可让外部网访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。
- 网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有通过它的访问,并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。
- 网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。
- 协同防御。防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。
防火墙四个层面的访问控制
- 服务控制:确定哪些服务可以被访问,无论这些服务实在内部网络还是在外部网络。如:邮件服务、web服务、代理服务、文件服务等,控制方法可以控制端口或IP地址
- 方向控制:对于特定的服务,可以确定允许哪个方向能够通过防火墙。
- 用户控制:决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户(本地用户),也可以被应用到来自外部用户的访问。可以采用用户名、主机的IP、主机的MAC等标识用户。
- 行为控制:决定哪些具体的服务内容是否符合安全策略。比如防火墙可以通过过滤邮件来清除垃圾邮件,以及网络流量中是否含有病毒、木马等恶意代码
防火墙可以实现的功能
- 防火墙设立了单一阻塞点,使得未授权的用户无法进入网络。
- 防火墙提供了一个监控安全事件的地点。比如在防火墙中实施安全问题的检查和警报。
- 防火墙还可以提供一些其他功能,如NAT地址转换。
- 防火墙可以作为IPSec平台。如实现虚拟专用网络VPN
防火墙安全风险
- 网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力。例如,如果允许从内部网络直接拨号访问外部网,则防火墙就失效,攻击者通过用户拨号连接直接访问内部网,绕过防火墙控制,造成潜在的攻击途径。
- 防火墙功能缺陷,导致一些网络威胁无法阻断。防火墙的安全功能存在脆弱点,使得一些网络安全威胁可以通过防火墙的安全规则控制,主要安全缺陷如下
防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶领,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致不能指望防火墙逐个扫描每个文件查找病毒,只能在每台主机上安装反病毒软件。
防火墙不能防止基于数据驱动式的攻击。当有些表面有来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。 防火墙对此无能为力。
- 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制。例如 http tunnel 等。
- 防火墙安全机制形成单点故障和特权威胁。防火墙处于不同网络安全区域之间,所有区域之间的通信都经过防火墙,受其控制,从而形成安全特权。一旦防火墙自身的安全管理失效,就会对网络造成单点故障和网络安全特权失控。
- 防火墙无法有效防范内部威胁。处于防火墙保护的内网用户一旦操作失误,网络攻击者就能利用内部用户发起主动网络连接,从而可以躲避防火墙的安全控制。
- 防火墙效用受限于安全规则。防火墙依赖于安全规则更新,特别是采用黑名单策略的防火墙,一旦安全规则更新不及时,极易导致防火墙的保护功能失效。
- 防火墙不能防御绕过它的攻击,比如内容通过无线局域网或拨号上网接入外网。
- 防火墙不能消除来自内部的威胁。比如:内外勾结。
- 防火墙不能防止病毒感染过的程序和文件进出网络。
防火墙类型
常见的防火墙类型
- 包过滤防火墙
- 代理防火墙
- 下一代防火墙
- Web 应用防火墙
- 数据库防火墙
- 工控防火墙
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
,
