软考-信息安全-防火墙技术原理与应用

8.1 防火墙概述

• 防火墙是网络安全区域边界保护的重要技术，主要介绍防火墙基本概念，防火墙工作原理，防火墙安全风险，并分析防护墙技术的发展趋势。

8.1.1 防火墙概念

• 根据网络的安全信任程度和需要保护的对象，人为地划分若干安全区域，这些安全区域如下：
  • 公共外部网络，如：Internet；
  • 内联网（Intranet），例如：某个公司或组织的专用网络，网络访问限制在组织内部，就是我们通常所说的专线；
  • 外联网（Extranet），内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；
  • 军事缓冲区域，简称DMZ，该区域是介入内部网络和外部网络之间的网段，常放置公共服务设备，向外提供信息服务；
• 在安全区域划分的基础尚，通过一种网络安全设备，控制安全区域间的通信，可以隔离有害通信，进而阻断网络攻击。这种安全设备的功能类似于 防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，她一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。

8.1.2 防火墙工作原理

• 防火墙是由一些软，硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或者转发，能够屏蔽保护网络内部的信息，拓扑结构和运行状况，从而起到网络安全屏障的作用。
• 防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离，限制网络互访，保护内部网络的安全。
• 防火墙根据网络包所提供的信息实现 网络通信访问控制：如果网络通信包符合网络访问控制策略，就允许该网络通信包通过防火墙，否则不允许，具体防火墙策略有两种类型：
  • 1）白名单策略：只允许符合安全规则的包通过防火墙，其他通信包禁止。
  • 2）黑名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。
• 防火墙简单的可以用路由器，交换机实现，复杂的就用一台计算机，甚至一组计算机实现。
• 按照TCP/IP协议层次，防火墙的访问控制可以作用于 网络接口层，网络层，传输层，应用层。
• 防火墙的功能主要有以下几个方面：
  • 过滤非安全网络访问；
  • 限制网络访问：只允许外部网络访问受保护网络的指定主机或网络服务。
  • 网络访问审计；
  • 网络带宽控制：防火墙可以控制网络带宽的分配使用，实现部分网络质量服务（QoS）保障。
  • 协同防御：防火墙和入侵检测系统通过交换信息实现联动。

8.1.3 防火墙安全风险

• 1）网络安全旁路
  • 防火墙只能对通过它的网络通信包进行访问控制，而未经过它的网络通信就无能为力。
• 2）防火墙功能缺陷
  • 防火墙不能完全防止感染病毒的软件或文件传输。
  • 防火墙不能防止基于数据驱动式的攻击。
  • 防火墙不能完全防止后门攻击。
• 3）防火墙安全机制形成单点故障和特权威胁
  • 防火墙处于不同网络安全区域之间，所有区域之间的通信都经过防火墙，受其控制，从而形成安全特权，一旦防火墙自身的安全管理失效，就会对网络造成单点故障和网络安全特权失控。
• 4）防火墙无法有效防范内部威胁
• 5）防火墙效用受限于安全规则。
  • 防火墙依赖于安全规则更新，特别式采用黑名单策略的防火墙，一旦安全策略更新不及时，极易导致防火墙的保护功能失效。

8.1.4 防火墙发展

• 防火墙控制粒度不断细化。
  • 控制规则从以前的IP包地址信息延伸到IP包内容。
• 检查安全功能持续增强。
  • 检测IP包内容越来越细，DPI（Deep Packet Inspection）应用于防火墙。
• 产品分类更细化。
  • 针对保护对象的定制安全需求，出现专用防火墙设备，如工控防火墙，Web应用防火墙，数据库/数据防火墙等。
• 智能化增强。
  • 通过网络安全大数据和人工智能技术的应用，防火墙规则实现智能化更新。

8.2 防火墙类型与实现技术

• 包过滤防火墙
• 代理防火墙
• 下一代防火墙
• Web应用防火墙
• 数据库防火墙
• 工控防火墙
• 防火墙实现技术主要有包过滤，状态检测，应用服务代理，网络地址转换，协议分析，深度包检查等。

8.2.1 包过滤

• 包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址，目的IP地址，源端口，目的端口及包传递方向等包头信息判断是否允许包通过。
• 另一种可以分析包中的数据区内容的智能型包过滤器，基于包过滤技术的防火墙，简称为包过滤型防火墙（Packet Filter）。

8.2.2 状态检查技术

• 基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。
• 采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。

8.2.3 应用服务代理

• 应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人”的角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机。
• 采用代理服务技术的防火墙简称 代理服务器，能够提供在应用级的网络安全访问控制。
• 代理服务器按照所代理的服务可以分为FTP代理，Telnet代理，HTTP代理，Socket代理。
• 应用服务代理技术的优点：
  • 不允许外部主机直接访问内部主机；
  • 支持多种用户认证方案；
  • 可以分析数据包内部的应用命令；
  • 可以提供详细的审计记录；
• 应用服务代理技术的缺点：
  • 速度比包过滤慢；
  • 对用户不透明；
  • 与特定应用协议相关联，代理服务器并不能支持所有的网络协议；

8.2.4 网络地址转换技术

• NAT是 Network Address Translation的英文缩写，中文含义网络地址转换、。
• NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。
• 网络地址转换方式主要有：
  • 静态NAT（StaticNat）
    • 静态NAT设置起来最为简单，内部网络中的每个主机都被 永久映射成外部网络中的某个合法地址。
  • NAT池（pooledNAT）
    • 在外部网络中配置合法的地址集，采用动态分配的防范映射到内部网络。
  • 端口NAT（PAT）
    • 内部地址映射到外部网络的一个IP地址的不同端口上。

8.2.5 Web应用防火墙技术

• Web应用防火墙是一种用于保护Web服务器和Web应用的网络安全机制。

8.2.6 数据库防火墙技术

• 数据库防火墙是一种用于保护4数据库服务器的网络安全机制。
• 技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。

8.2.7 工控防火墙技术

• 工业控制系统专用防火墙简称为工控防火墙。
• 技术原理主要是通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备。

8.2.8 下一代防火墙技术

• 集成传统防火墙的包过滤，状态检测，地址转换等功能外，还具有应用识别和控制，可应对安全威胁演变，检测隐藏的网络活动，动态快速响应攻击，支持统一安全策略部署，智能化安全管理等新功能。
  • 应用识别和管控。
  • 入侵防护（IPS）
  • 数据防泄漏
  • 恶意代理防护
  • URL分类与过滤
  • 带宽管理与QoS优化
  • 加密通信分析（通过中间人代理和重定向等技术，对SSL，SSH等加密的网络流量进行监测分析）。

8.2.9 防火墙共性关键技术

• 1）深度包检测
  • 深度包检测（Deep Packet Inspection，DPI）是一种用于对包的数据内容及包头信息进行检查分析的技术方法。
• 2）操作系统
  • 防火墙的操作系统主要有Linux，Windows，设备定制的操作系统等。
• 3）网络协议分析
  • 防火墙通过获取网络中的包，然后利用协议分析技术对包的信息进行提取，进而实施安全策略检查及后续包的处理。

8.3 防火墙主要产品与技术指标

8.3.1 防火墙主要产品

• Web应用防火墙，数据库防火墙，主机防火墙，工控防火墙，下一代防火墙，家庭防火墙。

8.3.2 防火墙主要技术指标

• 参考《信息安全技术 防火墙安全技术要求和测试评价方法》，《信息安全技术 工业控制系统专用防火墙技术要求》。
• 1）防火墙安全功能指标
• 2）防火墙性能指标
• 3）防火墙安全保障指标
• 4）环境适应性指标
• 5）防火墙自身安全指标

8.4 防火墙防御体系结构类型

• 主要有基于双宿主主机防火墙，基于代理型防火墙，基于屏蔽子网的防火墙。

8.4.1 基于双宿主主机防火墙结构

• 这是最基本的防火墙结构，实质上是至少具有两个网络接口卡的主机系统。
• 一般是将一个内部网络和外部网络分别连接在不同的网卡上，使内外网络不能直接通信。
• 对从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信，如果不合法，则阻止通信。

8.4.2 基于代理型防火墙结构

• 由一台主机同外部网连接，该主机代理内部网和外部网的通信，同时代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构。

8.4.3 基于屏蔽子网的防火墙结构

• 屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制，是内部网络和外部网络有两层隔离带。

8.5 防火墙技术应用

• 防火墙技术是常见的网络安全边界保护措施，主要给出分析防火墙技术的应用场景类型，例如：iptables防火墙，Web应用防火墙，包过滤防火墙，工控防火墙。

8.5.1 防火墙应用场景类型

• 1）上网保护
• 2）网站保护
• 3）数据保护
• 4）网络边界保护
• 5）终端保护
• 6）网络安全应急响应

8.5.2 防火墙部署基本方法

8.5.3 iptables防火墙应用参考

8.5.4 Web应用防火墙应用参考

8.5.5 包过滤防火墙参考

8.5.6 工控防火墙应用参考

标签：网络安全,信息安全,软考,防火墙,技术,网络,安全,代理
来源： https://www.cnblogs.com/autopwn/p/16468933.html