防火墙的基础知识

防火墙的必要性

机构必须和 Internet 连接,但是这个也会对它们造成威胁。防火墙是有效的防御手段。

防火墙通过在内部网络和外部网络之间建立一个可控的链路,有效地将内部系统与外部网络隔离。此外,防火墙还能提供一个能加强安全和审计的控制点,这对于实现纵深防御至关重要

防火墙的特征

流量控制

所有进出内部网络的流量都必须进过防火墙,这是防火墙最核心的特征之一。

策略执行

防火墙会根据预定义的安全策略,决定哪些流量被允许通过,哪些流量被阻止。

自身安全

防火墙本身必须是安全的,不能成为攻击者入侵的突破口

防火墙的访问策略

访问策略会详细列出允许通过防火墙的合法流量类型,包括地址范围、协议、应用程序和内容类型等。访问策略通常由企业的信息安全风险评估和策略部门决定

防火墙的功能和局限性

功能

  • 防火墙是一个控制点,可以监视安全事件。
  • 防火墙可以为多种 Internet 的功能的实现提供便利
  • 防火墙可以作为 IPSec 的平台

局限性

  • 防火墙不能阻止绕过它的攻击
  • 防火墙不能完全防止内部威胁
  • 不安全的无线局域网可能允许外部访问
  • 受感染的移动设备可能给内部网络带来风险

防火墙的类型

包过滤防火墙

根据预先设定好的一组规则,检查每一个经过它的 IP 数据包的头部信息。如果数据包的信息与某条规则匹配,防火墙就会根据该规则决定是转发包还是丢弃该数据包。

优点

简单,处理速度快

缺点

  • 安全性低,无法阻止利用应用层漏洞的攻击
  • 日志记录功能有限
  • 不支持高级用户认证
    • 意味着它无法根据用户的身份来实施细粒度的访问控制,例如只允许特定用户访问某些资源。
  • 对 TCP/IP 协议栈的弱点防御不足
    • TCP/IP 协议栈存在一些固有的安全弱点,例如 TCP 序列号预测、源 IP 地址欺骗等. 攻击者可以利用这些弱点进行攻击。
  • 不恰当的配置可能导致安全风险

状态检测防火墙

在包过滤的基础上,增加了对连接状态的跟踪。它会维护一个活动的连接目录,记录每个连接的状态信息,例如 TCP 连接的握手状态、 序列号等。防火墙会根据这些状态信息来决定是否允许数据包通过

应用级网关

在应用层充当流量的中继。当用户尝试使用某个应用程序时,他们首先连接到应用级网关,然后由网关代表用户与目标服务器建立连接。网关可以检查和过滤应用层的数据内容

优点

安全性非常高,可以细粒度地控制应用程序的行为

缺点

处理开销大,性能较差。需要为每种应用服务单独配置代理,扩展性差

电路级网关

电路级网关在传输层建立连接。它会为每个连接建立两条 TCP 连接,一条连接在内部主机和网关之间,另一条连接在网关和外部主机之间。建立连接后,网关知识简单地转发 TCP 分段,而不检查其内容

优点

处理开销小,性能较好

缺点

安全性低于应用网关,保护能力有限,主要判断哪些连接是允许的

防火墙的部署与配置

防火墙部署的基本原则

  • 分层防御 :单一的防御措施往往是不够的,防火墙通常应该作为分层安全体系的一部分
  • 最小权限原则:配置防火墙时,应坚持“最小权限原则”,即只允许必要的网络流量通过,其余一切流量都应该默认阻止
  • 安全区域划分:合理划分安全区域,例如内部网络,DMZ(Demilitarized Zone,隔离区)和外部网络,并对不同区域之间的流量进行严格控制

常见的防火墙部署方式

边界防火墙

防火墙被部署在内部网络和外部网络的边界上,防止外部网络中的恶意流量进入内部网络,并控制内部网络对外部网络的访问

内部防火墙

用于隔离内部网络中的不同区域,如将企业的敏感数据区域与普通办公区域隔离开,以防止内部攻击和数据泄露

DMZ 网络

DMZ 是一个位于内部网络和外部网络之间的缓冲区。通常,放置一些需要对外提供服务的服务器在 DMZ 中,这样既可以保护内部网络,又可以提供外部访问

需要对外提供服务的服务器

  • 例如,Web 服务器、邮件服务器、DNS 服务器、FTP 服务器等,通常会放在 DMZ 中.  
  • 这些服务器需要能够被外部网络访问,但同时又不能直接暴露内部网络。

分布式防火墙

位于不同的网络结点上

|500x665

典型的防火墙拓扑结构

屏蔽路由器

使用一个具有包过滤功能的路由器作为防火墙(最简单的方式)

独立堡垒主机

在内部网络和外部网络之间设置一个堡垒主机作为防火墙,所有进出内部网络的流量都必须经过堡垒主机。通常会允许一些代理服务以增强安全性

双宿主堡垒主机

使用两个堡垒主机,一个连接内部网络,一个连接外部网络,DMZ 位于这两个堡垒主机之间

屏蔽子网

使用两个防火墙和一个 DMZ 子网,内部网络和外部网络都不能直接访问 DMZ 中的主机

虚拟专用网络

VPN 可以通过公共网络建立安全的加密连接,使得远程用户或分支机构可以安全地访问内部网络资源

入侵防御系统 IPS

入侵防御系统(Intrusion Prevention System,IPS),有时也称为入侵检测防御系统(Intrusion Detection and Prevention System,IDPS),可以看作是入侵检测系统(IDS)的升级版。它不仅能够检测到网络中的恶意活动,还能主动地尝试阻止这些活动

既然 IPS 是从 IDS 发展而来的,那么它们之间有什么区别呢?

  • IDS 的重点:IDS 主要关注于检测网络中的异常行为和潜在的攻击,它通常是被动地监视网络流量,并在发现可疑活动时发出警报.
  • IPS 的优势:IPS 在 IDS 的基础上增加了主动防御的能力,它不仅能检测,还能采取行动来阻止攻击,例如,阻断恶意流量、终止恶意连接等

IPS 分类

  • 基于主机的 IPS(HIPS):部署在单个主机上,用于保护该主机免受攻击
    • HIPS 可以监控系统调用、文件访问、注册表修改等主机上的活动,并检测恶意行为
  • 基于网络的 IPS(NIPS):部署在网络中,用于监控网络流量,并检测和阻止恶意流量
    • NIPS 可以分析网络数据包的内容,识别已知的攻击模式,并阻止这些攻击
  • 基于分布式或混合式 IPS:结合了 HIPS 和 NIPS 的优点,能够提供更全面、更强大的安全防护

IPS 的检测技术

无论是 HIPS 还是 NIPS,都使用一些共同的检测技术:

  • 特征/启发式检测:通过匹配已知的攻击特征或可疑的行为模式来检测恶意活动
  • 异常检测:通过分析网络流量或系统行为的统计特征,识别与正常行为的偏差,从而检测潜在的攻击

IPS 的响应方式

当 IPS 检测到恶意活动时,它可以采取多种响应方式:

  • 阻断恶意流量:例如,丢弃恶意数据包、关闭恶意连接等
  • 发出警报:通知管理员采取进一步的措施
  • 记录事件:记录攻击事件的详细信息,用于后续的分析和调查

一体化威胁管理 TUM

一体化威胁管理(Unified Threat Management,UTM)是一种综合性的安全解决方案,它将多种安全功能集成到一个设备或平台中

1.UTM 的基本概念

首先,我们需要明确 UTM 是什么。

  • UTM 的定义:一体化威胁管理(Unified Threat Management,UTM)是一种综合性的安全解决方案,它将多种安全功能集成到一个设备或平台中.
  • UTM 的目的:UTM 的目的是简化网络安全管理,提供更全面、更高效的安全防护.

2. UTM 的主要功能模块

UTM 设备通常包含以下一个或多个安全功能模块:  

  • 防火墙:控制网络流量,防止未经授权的访问.
  • 入侵防御系统(IPS):检测和阻止恶意攻击.
  • 反病毒:检测和清除病毒、蠕虫、木马等恶意软件.
  • 反垃圾邮件:过滤垃圾邮件,防止网络钓鱼和恶意邮件.
  • VPN:提供安全的远程访问.
  • Web 过滤:控制用户对 Web 内容的访问,防止访问恶意网站.
  • 带宽管理:优化网络流量,确保关键应用获得足够的带宽.

3. UTM 的优势

相比于传统的安全解决方案,UTM 具有以下优势:

  • 简化管理:将多种安全功能集成到一个设备中,减少了部署和管理多个设备的复杂性.
  • 降低成本:可以降低采购和维护多个安全设备的成本.
  • 提高效率:集中化的管理界面可以提高安全管理的效率.
  • 全面防护:提供多层次的安全防护,可以更有效地应对各种网络威胁.

4. UTM 的应用

UTM 设备广泛应用于各种规模的网络,包括:

  • 小型企业:UTM 可以为小型企业提供全面的安全防护,而无需专业的安全团队.
  • 中型企业:UTM 可以简化中型企业的安全管理,提高安全防护水平.
  • 大型企业:UTM 可以作为大型企业安全体系的重要组成部分,提供额外的安全防护.

网络隔离技术

物理隔离

两个隔离的网络之间没有电缆连接,没有无线信号传输,没有任何形式的直接数据通路

可以使用屋里隔离卡实现屋里断开

逻辑隔离

在同一个物理网络基础设施上,通过技术手段划分出多个逻辑上的子网络,从而实现隔离

VLAN(Virtual LAN) 是最常见的逻辑隔离技术。VLAN 通过在数据帧中添加标签,将交换机端口划分到不同的广播域中

不同的 VLAN 就像是不同的虚拟交换机,它们之间默认是无法直接通信的。

防火墙

见上文 防火墙的部署与配置

网络地址转换 NAT

虽然 NAT 的主要目的是解决 IPv4 地址短缺问题,但它也可以提供一定的安全功能。NAT 设备维护一个转换表,记录内部 IP 地址和外部 IP 地址的映射关系,对外隐藏内部网络 IP 地址,增加攻击者入侵的难度