53 张图详解防火墙的 55 个知识点,超详细
53 张图详解防火墙的 55 个知识点,超详细
防火墙是网络安全的重要组成部分,它能够防止未经授权的访问、保护内部网络免受攻击,并控制进出网络的流量。本文将通过53张图,详细讲解防火墙的55个知识点,帮助读者全面了解防火墙的工作原理和应用场景。
1. 什么是防火墙?
防火墙(Firewall)最初是指防止火灾发生时火势蔓延的墙体。在网络领域,防火墙用于防止未经授权的访问和攻击,保护内部网络的安全。它不仅用于防范来自外部网络的入侵,还可以防止内部网络的DoS攻击或非法访问,以及防止信息泄露和被用作攻击跳板。
硬件防火墙可以实现CIA(机密性、完整性、可用性)三种类型的对应策略。小企业通常会在局域网和互联网的边界部署防火墙。
2. 防火墙有哪些类型?
防火墙主要分为软件防火墙和硬件防火墙两大类。其中,软件防火墙又可分为个人防火墙和网关防火墙。
- 个人防火墙运行在PC上,用于监控PC和外网的通信信息。Windows操作系统中集成了Windows防火墙,杀毒软件产品厂家的个人防火墙一般包含在安全软件套件里。
- 网关防火墙在网络中的网关上配置防火墙的功能,能对网络中的流量进行策略控制。网关防火墙分为两种:一种是在Windows、Linux等操作系统上安装并运行防火墙软件的软件网关防火墙,另一种是使用专用设备的硬件网关防火墙。
个人防火墙主要监控PC的通信流量,而网关防火墙是监控网络中所有终端的通信流量,在网关处进行策略控制。
硬件防火墙通过硬件设备实现,外形跟路由器相似,接口类型通常有千兆网口、万兆光口。
3. 防火墙有哪些技术类型?
防火墙的技术类型主要包括包过滤防火墙、应用网关防火墙、代理服务器等。其中,代理服务器是应用网关防火墙的一种。它会替代客户端向HTTP服务器发送请求,并代替HTTP服务器向客户端回复。代理服务器在应用层进行检查,可以隐藏客户端的IP地址。
4. 防火墙有哪些接口模式?
防火墙有四种接口模式:L3模式、L2模式、L1模式和TAP模式。L1~L3模式是将防火墙进行串连,TAP模式是防火墙进行旁挂。
5. 防火墙能防范哪些威胁?
防火墙能够防范的威胁包括窃听、篡改、破坏、冒充、信息泄露、攻击跳板和垃圾邮件等。例如,通过窃听网络数据获取银行卡号、密码等重要信息;将网站主页、邮件等通信内容恶意修改;通过电脑病毒或DoS攻击等破坏系统的正常工作;冒充他人发送邮件进行钓鱼、诈骗等行为;电脑或服务器上的重要信息或文档泄露;作为病毒部署或DoS攻击的跳板;以营利为目的发送大量邮件。
6. 哪些人会威胁安全?
- 黑客(hacker):是指精通计算机技术的人,并非特指网络攻击者。
- 破解者(cracker):对网络进行非法访问、窃听信息、篡改等行为的人。
- 攻击者(attacker):使用DoS等攻击系统,以造成系统宕机为目的的人。
- 妨碍者:发送大量垃圾邮件、在论坛粘贴大量广告、发布大量无意义信息的人。
- 普通用户:尽管不会主动攻击,但在病毒、蠕虫等感染电脑后,成为威胁网络安全的对象。
- 僵尸(bot):作为攻击跳板的终端,被植入具有攻击程序的病毒,遭受感染的终端叫做僵尸,由大量僵尸程序组成的网络叫做僵尸网络。
7. 防火墙有哪些功能?
防火墙常见的功能包括会话管理、报文结构解析、安全区域、安全策略、NAT、VPN、DoS防御、报文攻击防御、内容扫描、监控和报告、报文抓包等。
8. 什么是会话?
会话是两个终端系统之间的逻辑连接,从开始到结束的通信过程。在TCP中,客户端和服务器通信,使用3次握手建立1个TCP连接,客户端发送请求(request),服务器进行回应(response),直至结束的过程就是进行了1个会话通信。在UDP中,客户端和服务器的源端口和目的端口一致,之后的一系列通信都叫做会话。在ICMP中,Echo request和对应的Echo reply组成1个会话。
数据流是一组有序,有起点和终点的数据序列。一个会话有两个数据流(flow):一个是“客户端到服务器”(client to server),另一个是“服务器到客户端”(server to client)。
9. 什么是TCP连接管理?
在数据通信前,客户端发送一个SYN包作为建立连接的请求。如果服务器发来回应,则认为可以开始数据通信。如果未收到服务器的回应,就不会进行数据通信。在通信结束时,会使用FIN包进行断开连接的处理。
SYN包和FIN包是通过TCP头部的控制字段来管理TCP连接。一个连接的建立与断开,正常过程至少需要来回发送7个包才能完成。建立一个TCP连接需要发送3个包,这个过程叫作三次握手。断开一个TCP连接需要发送4个包,这个过程也称作四次挥手。创建一个TCP连接,会产生一个32位随机序列号,因为每一个新的连接使用一个新的随机序列号。
10. 防火墙如何建立会话?
防火墙收到报文后,首先检查会话表,确认是否有相同的会话。如果是不同会话,那么检查报文,通常是查看路由表或MAC地址表来确定转发路径。如果可以转发,就确定对应的转发出接口和目的网段。如果不能转发,就丢弃这个数据。
报文检查目的地址是否需要进行NAT。如果需要,就先完成NAT,然后转发到相应出接口和目的网段。
对报文和目的信息进行安全策略检查,源信息是源接口、源区域和源地址,目的信息是目的接口、目的区域和目的地址。如果有匹配的安全策略,就根据策略进行处理,允许通信就进行转发,拒绝通信就进行丢弃。如果没有匹配的安全策略,就根据默认拒绝的策略丢弃数据。
当报文被允许通信时,防火墙的会话表中就会生成相应的会话信息。
11. 什么是会话生存时间?
自动生成的会话表信息,是有一定的生存时间。会话建立后,一段时间内一直没有进行通信,防火墙会删除生存时间到期的会话表项。会话时间可以根据协议的不同,分别进行设置。TCP的话,会话的超时时间通常是30分钟到1小时,UDP是30秒。
12. 会话如何正常终止?
客户端完成数据传输后,发送FIN消息,即使用FIN标志位的TCP数据段。服务器收到FIN消息后,在回复消息中,使用FIN和ACK标志位,并将ACK编号设置为“接收的Seq编号+1”。客户端相同处理方式,在回复消息中,使用ACK标志位,并将ACK编号设置为“接收的Seq编号+1”。
如果客户端或服务器在连接过程发生故障,只有一方是侦听状态,这叫做半侦听或半关闭。如果通信恢复,接收到故障前的数据段,那么会回复RST消息,强制终止TCP连接。
当防火墙收到FIN或RST消息时,会启动一个30秒的定时器。即使FIN→FIN-ACK→ACK的终止过程没完成,防火墙也会强制删除会话表项。
13. 什么是UDP数据流?
UDP不需要像TCP一样3次握手,客户端和服务器直接使用应用程序的UDP数据进行交互。UDP数据流是指源IP地址、源端口号、目的IP地址和目的端口号这4个参数都相同的一系列UDP数据。
DNS和SNMP这类应用程序,只需要1个UDP数据,就能构成1个数据流。音频和视频使用的RTP,就需要多个UDP数据,来构成1个数据流。
14. 没有端口号的协议如何生成会话?
像ICMP这类没有端口号的协议,是直接根据IP头部的协议号来生成会话。防火墙通过识别ICMP不同的请求消息和对应的响应消息,来判断这些消息序列是否属于同一个会话。
15. 两台防火墙,如何管理会话?
通常两台防火墙会使用主备方式的冗余结构,对主防火墙和备防火墙的会话信息进行同步。主防火墙负责建立用户通信的会话,并把会话信息记录到会话表中,同时将信息转发到备防火墙。
16. 会话管理有什么防御功能?
防火墙可以通过限制会话数量,能够防范DoS攻击,还能控制防火墙的负载,提高防火墙的性能。防火墙可以以TCP SYN、UDP、ICMP等协议为单位,通过指定源与目的的组合方式,来限制这类会话的数目。
17. 如何防范非法报文?
为了防止非法报文的流入和流出,防火墙会对报文的头部和数据进行解析。常见的有IP头部解析、TCP头部解析、UDP头部解析。
18. 什么是安全区域?
防火墙有安全区域(Security Zone,简称区域)的概念。防火墙的物理接口和逻辑接口会分配到不同的区域中,也就是将防火墙的网段分别划分到不同的区域中。一个网络接口只能属于一个区域。
在同一个区域内,可以自由进行通信,但是跨区域通信,必须符合安全策略才行。当然,防火墙也可以设置安全策略,根据源或目的地址等条件,判断在同一区域内能否允许通信。
19. 什么是安全策略?
防火墙的主要功能是访问控制,也就是判断特定源和特定目的之间是否允许进行特定的通信。访问控制是通过规则来实现,每一条规则都指定了源、目的和通信内容等信息。这些访问控制规则的集合,在路由器中,叫做访问控制列表,而在防火墙中,叫做安全策略或安全规则。
20. 路由器的访问控制列表是什么样的?
通常一个规则是由多条访问控制列表组成,一条访问控制列表也叫做一个表项。一个表项由对象(object)、行为(action)、选型(option)这3个元素组成。
21. 防火墙的安全策略是什么样的?
对比路由器的访问控制列表,防火墙的安全策略最大的不同点是对象,防火墙以区域作为对象,还可以以应用程序名称和用户名称等信息作为对象。
安全策略中,Any表示任何值都与策略匹配。如果是安全策略中,出现未定义的通信,比如从信任区到DMZ区域的通信,防火墙默认执行拒绝,这个策略叫做“默认拒绝”。
如果需要在防火墙没有匹配的情况下,执行Allow,可以在安全策略的最后一行设置对象为Any,行为为Allow的策略。
当然,防火墙的安全策略是会有上限,上限由产品规格决定。而且当表项越多时,设备性能也会随之下降。
22. 什么是内容安全策略?
防火墙不仅能够基于区域、IP地址、端口号、应用程序等设置安全策略,还可以使用内容安全策略进行通信控制。内容安全策略包括反病毒、IPS(入侵防御系统)、URL过滤、DLP(数据泄露防护)等基于内容的安全机制,能够拦截非法通信和避免不必要的通信流量。还可以对这些通信不进行拦截,而是记录到告警日志中后放行。
安全设备的默认设置是拦截严重程度高的攻击,严重程度低的攻击只记录到告警日志中。当然,严重程度的高低可以自定义,也可以修改设置为拦截严重程度低的攻击。
反病毒和IPS可能会出现误判,误判分为假阳性错误和假阴性错误两种。
23. 什么是NAT?
私有IP地址只能在内部网络通信,如果要访问外部网络(互联网),可以通过路由器或防火墙把私有IP地址转换为公网IP地址,这个过程叫做NAT(Network Address Translator)。
NAT以前是路由器的功能,后来位于网络边界的防火墙也常常使用这个功能。路由器和防火墙等运行NAT功能后,也叫做网关(gateway)。
24. 什么是VPN?
VPN,全称是Virtual Private Network,也就是虚拟私有网络。VPN是使用电信运营商提供的公共网络,搭建内部网络的技术。
内部网络的财务、人事等数据,对外而言是属于机密信息,必须在内部封闭的传输数据。如果只有一个办公场所,可以通过LAN搭建内网。但如果北京和上海都有分支机构时,就需要在不同的办公场所之间搭建内网。电信运营商有专线服务,可以完成不同地域的内网搭建。专线是单独使用的线路,不用担心数据被窃听,通信质量也能得到保证,但是专线费用昂贵。
还有ADSL这类互联网接入服务,虽然属于共享类型网络,但是价格低廉,搭建内网有成本优势。路由器、防火墙、VPN设备都支持IPsec-VPN功能,在各个分支机构内,使用这些设备建立IPsec隧道,完成VPN的搭建。
25. VPN有哪几种网络拓扑?
常见的VPN网络拓扑有点对点VPN、中心型VPN、远程接入VPN。