信息安全基础知识笔记01防火墙基础介绍和分类
在数据通信过程中,由于网络中的不安全因素将会导致信息泄密、信息不完整,信息不可用等问题,因此在部署网络时需要用到防火墙设备。
本笔记主要介绍华为防火墙的分类以及典型组网方式等基础知识。
防火墙特征
防火墙(Firewall)技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。
本节笔记主要讨论的是硬件防火墙。它主要拥有以下特点:
① 将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。
② 可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。
③ 用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。
现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口。因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。
在每一个被防火墙分割的网络内部(即区域)中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
Tips:防水墙(Waterwall)的概念
与防火墙相对,防水墙是一种防止内部信息泄漏的安全产品。 网络,外设接口,存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。
防火墙分类
防火墙发展至今已经历经三代,分类方法也各式各样,按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照访问控制方式进行分类。
若按照访问控制方式来区分,可以分为三类:包过滤防火墙,代理防火墙,状态检测防火墙。
网络防火墙,能够分布式保护整个网络,其特点:
① 安全策略集中
② 安全功能复杂多样
③ 专业管理员维护
④ 安全隐患小
⑤ 策略设置复杂
(1)包过滤防火墙
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
Tips:常见的防火墙安全过滤的五元组
源IP,目的IP,源端口号,目的端口号,协议号。
包过滤防火墙的缺点主要表现以下几点:
① 随着ACL复杂度和长度的增加,其过滤性能呈指数下降趋势;
② 静态的ACL规则难以适应动态的安全要求,无法适应多通道协议;
③ 包过滤防火墙不检查会话状态也不分析数据,这很容易产生安全风险。攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
Tips:多通道协议概念。
多通道协议例如FTP协议。FTP在控制通道协商的基础上,生成动态的数据通道端口,而后的数据交互主要在数据通道上进行。
(2)代理防火墙
代理(Proxy)服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
如上图所示,外网终端和内网服务器Server之间使用了一台代理防火墙进行隔断。
当外网终端发送连接请求想要访问内网Server时,代理防火墙将代表内网Server接收该请求数据包,经过安全策略的检查过滤后,以自身的名义向内网Server转发连接请求。
而内网Server收到连接请求后,会发送响应报文给代理防火墙,代理防火墙收到后,以自身的名义向外网终端转发响应报文。
由始至终,无论是外网终端还是内网Server,他们均不会感知到对方的真实存在。
对于外网终端来说,与之交互的是代理防火墙,而无法感知内网Server的存在。
对于内网Server来说,与之交互的也是代理防火墙,而无法感知到外网终端的存在。
因此,代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。但因此也拥有者对应的缺点。其缺点主要表现在:
① 软件实现限制了处理速度,易于遭受拒绝服务攻击;
② 需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
(3)状态检测防火墙
状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时,不仅将每个数据包看成是独立单元,还要考虑前后报文的历史关联性。
我们知道,所有基于可靠连接的数据流(即基于TCP协议的数据流)的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程(即“三次握手”过程),这说明每个数据包都不是独立存在的,而是前后有着密切的状态联系的。基于这种状态联系,从而发展出状态检测技术。
基本原理简述如下:
状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。
状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。
Tips:我们知道UDP传输协议是无连接的,不能保证准确有序地到达目的地,那么防火墙如何为其建立会话呢?
这里防火墙用到了一个“伪会话”的技术。
UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接,以对UDP连接过程进行状态监控的会话。
状态检测防火墙具有以下优点:
① 后续数据包处理性能优异
状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的数据包。连接会话表里的记录可以随意排列,与记录固定排列的ACL 不同,于是状态检测防火墙可采用诸如二叉树或哈希(Hash)等算法进行快速搜索,提高了系统的传输效率。
② 安全性较高
连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭,保障了内部网络的实时安全。同时,状态检测防火墙采用实时连接状态监控技术,通过在会话表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
防火墙组网方式(工作模式)
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。
① 方式一:路由模式
防火墙位于内部网络和外部网络之间时,与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置成不同网段的IP地址,防火墙负责在内部网络、外部网络中进行路由寻址(相当于路由器)。
采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
② 方式二:透明模式
防火墙只进行报文转发,不能进行路由寻址,与防火墙相连两个业务网络必须在同一个网段中。此时防火墙上下行接口均工作在二层,接口无IP地址。
防火墙此组网方式可以避免改变拓扑结构造成的麻烦,只需在网络中像放置网桥(Bridge)一样串入防火墙即可,无需修改任何已有的配置。IP报文同样会经过相关的过滤检查,内部网络用户依旧受到防火墙的保护。
③ 方式三:混合模式
如果防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。
混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址(以后的笔记会补充这方面的知识)。
在某些书本上,混合模式也可称为混杂模式。
下一节笔记,我们继续讨论防火墙的转发原理,若有空余篇幅,还将介绍防火墙在华为学习模拟器eNsp的基本环境搭建。