防火墙的基础知识

zhou_00101

防火墙的基础知识
现在的网络已经是这个社会的一个生活必备工具。无论是办公，娱乐，付款和国防军事等等都需要电脑，并且绝大多数都是在网络上进行。随着网络越来越普及，一些不法之徒也随之出现，人们把那些人称之为“hacker”。网络安全也随之变得让人也越来越关注。现在人们在电脑上普遍的装上杀毒软件，防火墙。作为保护自己一些重要的文件不被破坏和偷窃。而一些大的企业为了保证自己公司的利益也专门购买一些用于企业保证的防火墙和聘用一些专门从事网络安全的一些人才。也有不法的公司为了盗取其他的公司的工作结晶用“hacker”来侵犯它人的利益。在现在的电子信息时代中，这些问题都在不断的从覆着。
现在的公司大多都是用防火墙在保护自己的网络不被他人所侵犯。
安全建设的四大趋势
“响应防御”转入“主动风险防御”阶段
“响应防御”是安全建设的第一个阶段，在这一阶段，信息化建设有两个基本的应用特征：一是应用较单一，如打打字、简单的文件传输，离开它业务几乎不受影响；二是网络中数据损失不会引起灾难。由于能够承受得起此时的安全风险，因为病毒造成的危害也只是让人们重新打一遍字而已此，所以这一阶段安全的特征是，发现问题后再进行安全修补。此时的安全实现方式是“产品叠加型”，目前许多企业与政府仍处在这一阶段。
“主动风险防御”是安全建设的第二个阶段，在这一阶段，信息化应用也有两个基本特征：一是信息化应用系统复杂且重要，信息系统与业务流程紧密相连，离开了信息系统，业务即中断，如企业的ERP系统、政府的网上报税、网上身份证申请、网上分数查询系统等；二是数据至关重要，人们已难以承受因数据遭破坏而带来的损失，此时的安全防范成为主流，安全建设的特征要求以风险为核心，主动发现隐患，整体设计，根据信息系统的重要程度与风险隐患，系统地设计安全体系。在建设好安全体系后，还要建设一个快速问题处理的机制，用于紧急问题的处理，以保证系统的万无一失，此时的安全实现方式是先对系统的风险与信息资产进行评估，其次是根据风险与信息资产的状况进行安全系统设计，然后是根据设计进行技术与产品整合的实施，最后是快速响应机制的建立，目前金融、政府及超大型企业正在进行“主动风险防御”安全建设。
越来越多的客户将由“响应防御型”进入“主动风险防御型”，这之后，将进入“系统安全阶段”，但这可能要用3-5年才能实现。
“产品孤立”向“集中管理”过渡
安全是系统性的，在各分支中安装了安全产品后，如果一点被攻破，整个系统就有不安全的风险，因此为保证各个安全节点上的安全，有必要对各安全设备进行规范的统一的安全策略设置，同时定时对安全节点进行安全检查。
这就不难看出，统一的安全管理十分必要。
从关注“产品性能”到关注“产品的使用效果”
安全产品与其他IT产品如PC机有显著不同，在购买PC时，我们更关注其运行速度，286、386、奔III、奔Ⅳ等等，在安全产品选型初期，大家也习惯于只关注于产品性能，然而一段时间以后，网络还是被攻击，病毒还是在侵扰，人们开始意识到在产品的性能符合条件的基础上，应该更加关注产品的使用效果。比如很多企业都安装了防病毒系统，但还常常被病毒困扰，而有的企业的防病毒系统就很少失去作用。产品是一样的，结果却不一样，这是重视了使用效果的缘故。
安全产品的服务与PC的服务有本质的不同，安全产品的服务是专业应用服务，而PC服务是产品的维护与维修服务，一个着眼于使用效果，一个着眼于设备的正常运行。
安全产品如防火墙的运行效果，一是要保证其良好运行，这类服务是维修服务，更重要的是保证其有效运行，这是专业应用服务。如防火墙发挥作用必须根据网络结构与应用特点进行防火墙策略制定与策略实施。同时，一旦其网络结构改变或应用策略改变，防火墙响应策略就有必要调整，配置就必须重新修改，否则防火墙就如同虚设的门，一点作用也起不到。
人们越来越多的认识到了这一点，安全产品的专业应用服务已经成为购买安全产品的关键因素。
“单一防御”向“整体防御”深入
安全建设是随着风险的一个个出现，人们在一个个防范中构建起来的，先买防病毒系统，以防止病毒入侵，再买防火墙系统，防非法攻击，再买入侵检测系统，实时检测网络安全状况等等，从一个侧面防范到整体防范，防范的面越来越全。
如何将这么多安全面、安全设备有机整合起来，有序加以管理，是安全建设中的第四大趋势。
对安全厂商的新要求
具有长期履行服务的能力
随着网络技术的发展和客户应用的加强，需要对安全产品进行策略的再配置等安全服务工作，至少每年两次甚至更多次的技术升级，以跟上客户需求的脚步。因此提供安全服务的厂商，自身必须有为客户长期履行服务的能力。体现在两个方面，一是企业在竞争中有竞争力，不至于很快垮掉，能够保护客户的投资。如果企业不存在了也就无所谓提供服务，客户的安全投资也就浪费了。二是有足够的资源用于技术的跟踪与积累，安全产品或服务是技术性很强的领域，而技术需要资本来支持，跟得上技术的发展，才能为客户提供良好有效、持续的服务。
“一站式”服务能力
由于企业或政府中安全人才十分匮乏，而安全系统又越来越复杂、专业。因此客户在信息安全建设中需要厂商有“一站式”服务的能力，即一个服务商能够帮助协调解决所有安全问题，以确保安全建设的责任到位。
安全服务商所承担的安全责任越来越重，它需要有全面解决实际问题的能力，不仅仅是将产品集成，而是需要像大夫一样能看“病”，具体讲就是：
（1）具有风险评估与信息资产确认的能力；
（2）根据网络结构，应用特点及关键部分进行针对性安全设计的能力；
（3）方案与产品功能甄选的能力；
（4）集成实施能力；
（5）快速响应的服务能力。
本地化即时响应能力
安全由于其统一性，使客户在进行安全建设时，更加注重一致性，一致性的安全标准，一致性的安全策略，同时考虑到“安全”与“紧急”往往是划等号的，贴近用户的本地化一致性服务至关重要。如联想在给某大金融企业实施全国防火墙系统时，用户最关注的就是联想遍布全国各地的本地服务机构与可调动的服务资源，它能很好地保障客户的及时性需求。
现在我们来理解一些关于防火墙的一些技术和概念
1．防火墙的基本概念：
是指在2个可以互相访问地安全域中加上一个设备用于控制2个安全域访问的行为，把2个安全域分成2个单独的安全域，从而保证这个设备是2个安全域之间通信流的唯一通道。那么我们就可以控制2个安全域任何信息的交换。从而我们可以给防火墙设置一个定义：防火墙就是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许，拒绝，监视，记录）进出网络的访问行为。
2．防火墙的大致分为：硬件防火墙和软件防火墙
硬件防火墙：类是与路由器，是一种特殊的计算机
软件防火墙：就要一个平台才可以运行
3．防火墙的发展历程：
防火墙不是一开始就有的。
第一代防火墙是基于路由器的防火墙
*利用路由器本身对分组的解析.进行分组过滤
*过滤判断依据:地址,端口号.IP旗标及其他网络特征
*防火墙与路由器合为一体,只有过滤功能
(适用于对安全性要求不高的网络环境)
第二代防火墙可以称之为防火墙工具套
*将过滤功能从路由器中独立出来.并加上审计和告警功能
*针对用户需求,提供模块化的软件包
*软件可通过网络发送,用户可根据需要构造防火墙
(与第一代防火墙相比,安全性提高,价格降低)
第三代是基于通用操作系统的防火墙
*是批量上市的专用防火墙产品
*包括分组过滤或者借用路由器的分组过滤功能
*装有专用的代理系统,监视所有协议的数据和指令
*保护用户编程空间和用户可配置内核参数的设置
(安全性和速度大为提高)
第四代是基于安全操作系统的防火墙
*防火墙厂商具有操作系统的源代码,并可实现安全内核
*去掉不必要的系统特性,加固内核,强化安全保护
*在功能上包括了分组过滤,应用网关,电路级网关
*增加许多附加功能: 加密,鉴别,审计,NET转换
(透明性好,易于使用)
4.防火墙的核心技术:
现在的防火墙的核心技术:
简单包过滤防火墙
1.简单包过滤防火墙不检查
2.简单包过滤防火墙不建立
3.前后饱文无关
4.应用层控制很弱
状态检测包过滤防火墙
1.不检查数据区
2.建立连接状态表
3.前后报文相关
4.应用层控制很弱
应用代理防火墙
1.不检查IP.TCP报头,只检查数据
2不建立连接状态表
3.网络层保护比较弱
包过滤与应用代理复合型防火墙
1可以检查整个数据包内容
2.根据需要建立连接状态表
3.网络层保护强
4.应用层控制细
5.会话控制较弱
还有核监测防火墙
[font=宋体]其区别列如上表
5防火墙的体系和结构：
1）体系结构
在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能
2）基于内核的会话检测技术
*什么叫会话检测技术呢？
例如：客户端发起一个访问请求提交给防火墙。防火墙模拟服务器端对客户端的信息进行高程的还原。还原成我们可以理解的信息。如果这个信息符合安全策略，就会从另一个端口进行封包转发。同时服务器转回的信息也可以交给内核，由内核对信息进行还原，看看信息里面是不是包含一些恶意的代码。在对其封包从另一个端口发送。
在这里防火墙就像虚拟的客户端和服务器端对其信息进行会话，从写，对其访问和控制所以说：在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能
*基于内核的会话检测技术
一般的防火墙的                       
进行规则匹配,应用层过滤
频繁在系统核心和应用层之间切换
消耗掉大量的系统资源
生成大量的进程
影响防火墙的性能
基于内核的会话检测技术的防火墙
      
直接在系统核心进行应用层过滤
不需要频繁在系统核心和应用层之间切换
在大量并发情况下不会生成大量进程,有效的保护系统资源
大大提高会话检测的效率
这个也是为什么后者的并发可以达到120万以上,前者只能达到20万.这个是2者核心技术的根本区别
6防火墙构造体系：
上面是防火墙的体系构造我们现在明白了。假设防火墙选购完了，我们把防火墙拿来，我们要如何连接，部署我们的防火墙呢？
这个就是防火墙构造体系所要明白的.
现在在防火墙专业上面有四种构造体系:( 前3种是一个演变过程,最后一个是我们现在常用的)
*筛选路由器
用一个简单的包过滤器,2个接口一个接内网,一个接外网,难后在中间作简单的包过滤规则通过这种方式来对内网和外网的简单控制
优点是简单,但是安全性能差
*多宿主主机
多宿主主机(就是有多个网卡所组成的主机,也可以说是代理服务器)
一个网卡接内网,一个网卡接外网,内网和外网的通信必须经过代理服务器,多宿主主机就可以对2个进行交互,控制和检查
但是其缺点是安全防护就只有一重措施,一旦主机受到攻击,那么整个内网就完全暴漏在外网之下,因此这个不是很好的构造体系
*被屏蔽主机
第3种就是在第一和第二种中加固,这里有一个概念叫堡垒主机(就是一个很难攻破的一个主机,并且这里还有一个包过滤防火墙,我们可以用一个策略,就是只允许堡垒主机可以穿过防火墙与互联网进行通信.其他的主机就不能访问,其他的主机如果要访问必须经过堡垒主机
优点:如果我的堡垒主机被攻破,但是包过滤器是好的.那么互联网的主机就不能访问我的其它的主机
缺点是:堡垒主机与其他主机在同一个子网,一旦包过滤器被攻破或者被越过但是堡垒主机还是好的,那么整个内网和堡垒主机之间就在没有任何阻挡.那么这个网络是不安全的
*被屏蔽子网
在这里面有2个路由器一个内部,一个外部.中间还有一个堡垒主机他的安全策略是让内部网的通信穿过2个防火墙经过堡垒主机.这个好处就是一个坏了还有2个在保护中.其大大的争强了防护性能.也是我们常用的.这种区域也就是我们常称为的DMA区域
不止2个还可以用3个防火墙来保护
这个就是为什么防火墙一般要有3个端口的原因.就是要求我们构建DMA区域
7防火墙的功能与原理:
在第一个我们已经知道防火墙是高级访问控制设备，那么我们就应该知道了一些防火墙的控制技术
防火墙的基本的访问控制技术:
*基于源IP地地址
*基于目的IP地址
*基于源端口
*基于目的端口
*基于时间
*基于流量
*基于文件
*基于网址
*基于MAC地址
这些的控制技术
除此之外在企业上面还有一些功能和技术
主要有防止服务器负载均衡
负载均衡算法
1)    顺序选择地址+权值
2)    根据PING的时间间隔来选择地址+权值
3)    根据CONNECT的时间间隔来选择地址+权值
4)    根据CONNECT难后发送请求并得到应答的时间间隔来选择地址+权值
它还有一定的适应功能.就是防火墙对TRUNK协议的支持
例如:
还有防火墙支持第三方认证服务器
很多大的企业有自己的认证服务器和比较大的认证数据库,他们不希望买了防火墙以后又在防火墙中又增加一个认证数据库,用户也不想记多套认证口令这样很麻烦,并且在管理上面也很不方便.所以在防火墙上面有第三方认证服务器来完成.
1)    支持第三方RADIUS服务器认证
2)    支持OTP认证服务器
3)    支持TACAS及TACAS+服务器
4)    支持S/KEY认证服务器
除了支持以上功能外.还有分级带宽管理功能.这个也是网管所担心的一个部分
例如:我们的带宽有512K,我们要充分的利用我们的资源,我们可能有DMA区,内网,内网里面还有财务部子网,采购部子网和生产子网等.要怎样才能保证我们的资源可以都被利用起来呢?并且不让一些人在乱下载东西把整个带宽都给占住.在这里我们可以利用分级带宽管理.先把其中256K分给DMA区,其他的分给内网,难后在内网中慢慢细分
日志分析:
1)    不做日志
2)    做通信日志: 即传统日志
*通信源地址,目的地址,源目端口,通信时间,通信协议,字节数,是否允许通过
3)    做应用层命令日志:
*在通信日志的基础之上,记录下各个应用层命令及其参数.例如HTTP请求及其要取的网页名
4)做访问日志
*即在通信日志的基础之上,记录下用户对网络资源的访问.它和应用层命令日志的区别是:应用层命令日志可以记录下大量的数据，有些用户可能不需要。如协商通信参数过程等。例如针对FIP协议，访问日志只记录下读，写文件的动作
5)做内容日志：
l    即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但是因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含
l    Firewall 5G对所有的应用层协议都可以进行通信日志，而命令日志，访问日志，内容日志目前支持HTTP,FTP,SMTP,POP3,TELNET,RSH,RLOGIN等协议
6)提供日志分析工具
l    自动产生各种报表，智能化的指出网络可能的安全漏洞
同时可靠性也是防火墙所必备的主要指标：所以一般的防火墙都提供双机热备功能，在双机热备上用户需要防火墙支持更高要求是支持状态传输协议。什么叫状态传输协议我们为什么要这个协议呢？我们来组一个列子（假如我们内网有一台主机，跟外网的某台主机正在通信，在通信连接已经建立好，在通信还没结束的时候突难这个防火墙断机，难后另一个防火墙进行连接保护但是上面没有前面那个防火墙的连接信息，使通信不能进行。而这个状态传输协议可以帮忙了。通过STP协议可以交换2台防火墙的状态信息，当一个防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上面，用户不会察觉到
防火墙接口备份：1前提：防火墙工作在负载均衡模式下
          2 如果某台防火墙的一个接口出现故障，另一台均衡防火墙的接口将接管故障接口的全部通信
          3 故障防火墙的其他接口则继续参与通信
防火墙的负载均衡：用负载功能来实现2个Firewall的负载均衡（在一些高的环境下，可以用这个功能在实现负载的分配）
防火墙与IDS的安全联动：目前安全互动已经成为了网络安全的安全标准，同时，一些大的安全公司就有比较大的安全协议。这些协议就会慢慢的演变成业界的标准。通过不同的产品，不同的技术用标准把安全协议整合在一起，来形成一个动态的安全防护体系。在这些情况下，防火墙就可以和IDS，病毒服务器连接达到互动。
双地址路由功能：
IP与MAC(用户)的绑定:例如(如果有别人的主机IP不能上网,那么别人可以用你的主机IP达到他上网的。但是这个功能就是让IP与MAC一起被绑定，就算别人把他的IP改成你的IP地址但是还是不能上网，除非他把你的网卡也换过来。这样就保护了你的资源不会被别人乱用)但是要记住这个只能在同一个网络段中才能用
对DHCP应用环境的支持：比如我们的服务器是DHCP服务器。是动态分配地址，那么这个时候不同的主机没有固定的IP地址那么我们要怎么可以访问控制呢？那么有2种解决方式：1在防火墙中内置DHCP服务器把先的去掉，缺点是防火墙内置服务器会导致防火墙本身的不安全，如果防火墙出现问题。那么会导致整个网络出现问题。2防火墙本身支持MAC地址的访问控制，好处就是本身的防火墙出现问题，网络本身不会出现问题，因为还有一个DHCP服务器。
时间策略：
1）    在访问策略中配置某条规则起作用的时间
2）    假如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则
3）    注意：这个时间段不是允许访问的时间段，而是指规则起作用的时间段
MAP(端口映射):
另外我们还可以对防火墙进行端口映射。这个功能要怎么用，我们为什么要这个功能呢？如果我们有一个外部服务器，另一个是外部客户端，通过远程对这个外部客户端或域名进行访问，就可以访问到这个网页。但是这个是直接对外部服务器进行访问，那么和不安全。如果有防火墙以后我们可以把外部服务器的地址映射到防火墙架设的地址。那么映射完以后我们可以把这些地址保留起来或用私有地址，不公开保护起来。难后对外公开我的服务器地址，那么我们可以直接输入我们公开的地址我们就可以直接访问到我们的外部服务器。所以有2种好处：1公开服务器可以使用私有地址。2隐藏内部网络的结构。别人攻击的就是那个被公开的地址，那个IP随便怎么攻击都可以，因为那个是防火墙的端口。难后与它相对应的是NAT（地址转换）：例如我的内网是私有地址，我们可以利用防火墙对地址转换的功能，实行地址的转换。那么防火墙就随机的选用一个静态合法地址或动态地址。对这个也有3种好处。第一种是可以隐藏了内部网络的结构，从而保护。第二种内部网络可以使用私有IP地址。第三种公开地址不足得网络可以使用这种方式提供IP复用功能。
SNMP管理的支持：现在一些大的用户，希望防火墙可以跟交换机一样也支持简单的网络管理协议，他们可以利用统一得网管平台，可以对网络设备和安全设备进行管理。所以呢，要求支持SNMP简单管理协议，甚至可以支持V3版的SNMP管理协议这样安全性也就会更高