防火墙基础与分类

©2010绿盟科技月密级：内部限制分发分类、原理1防火墙的基本概念4防火墙的典型部署3防火墙的功能2防火墙的分类5下一代防火墙介绍1防火墙的基本概念概念：一种高级访问控制设备，即由软件和硬件组成的系统，置于不同的网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙默认阻断一切！防火墙设计的基本目标：①所有进出网络的数据流都必须经过防火墙；②只允许经过授权的数据流通过防火墙；③防火墙自身对入侵是免疫的。1防火墙的基本概念防火墙对数据流的处理方式有三种：①允许数据流通过；②拒绝数据流通过；③将这些数据流丢弃。•1，按用户终端，分为企业防火墙和个人防火墙•2，按照实现方式，分为硬件和软件防火墙；•3，按照检测技术，分为包过滤、状态检测等；•4，固定防火墙和移动防火墙•5，按照部署，分为单机版和网络版；•6，产品多元化，服务器版，PC版，Mp4版，•手机版，电视版....•目前没有权威而明晰的类似辞典...防火墙分类针对硬件防火墙的检测方式的分类防火墙的设备形态（一）1防火墙的基本概念防火墙的设备形态（二）1防火墙的基本概念1防火墙的基本概念防火墙的设备形态（三）1防火墙的基本概念4防火墙的典型部署3防火墙的功能2防火墙的分类5下一代防火墙介绍防火墙的发展历程•将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了•是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高•防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、用于网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用•利用路由器本身对分组的解析，进行分组过滤过滤判断依据：地址、端口号、IP旗标及其他网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境1.包过滤防火墙2.状态检测防火墙3.应用代理防火墙4.复合型防火墙5.核检测防火墙防火墙的基本分类防火墙类型11.包过滤防火墙数据包过滤(PacketFiltering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(AccessControlList，ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：•IP源地址•IP目标地址•TCP或UDP的源端口号•TCP或UDP的目的端口号•协议类型•ICMP消息类型•TCP报头中的ACK位•TCP的序列号、确认号•IP校验和数据包过滤检查信息IP报头TCP报头1.包过滤防火墙应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头1010010010010100100000111001111011110110010010010100100000111001111011110111.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱1.包过滤防火墙优点逻辑简单对网有较强的透明性络性能的影响较小开销较小，设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的。防火墙类型22.状态检测防火墙由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（statetables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：•检查数据包是否是一个已经建立并且正在使用的通信流的一部分。•如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。•在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项•防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。数据状态检测信息IP报头TCP报头状态检测防火墙应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头1010010010010100100000111001111011110110010010010100100000111001111011110111.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表2.状态检测防火墙优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂数据状态检测信息IP报头TCP报头防火墙类型33.应用代理防火墙应用代理（ApplicationProxy）也称为应用层网关（ApplicationGateway）工作在应用层，其核心是代理进程每一种应用对应一个代理进程，实现监视和控制应用层通信流自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理IP报头TCP报头数据应用代理检查信息代理应用进程应用服务器客户端发送请求转发请求请求响应转发响应3.应用代理防火墙应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查数据1010010010010100100000111001111011110110010010010100100000111001111011110111.不检查IP、TCP报头2.不建立连接状态表3.需要有相应的服务代理程序4.网络层保护比较弱3.应用代理防火墙优点可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强代理完全控制会话，可以提供很详细的日志和安全审计功能可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件分析困难，实现困难每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级影响用户网络速度（命令解释）不能防止SYN攻击防火墙类型44.复合型防火墙复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测。IP报头TCP报头数据复合型防火墙检查信息4.复合型防火墙应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击检查整个报文内容101001001001010010000011100111101111011001001001010010000011100111101111011建立连接状态表1.可以检查整个数据包的内容2.根据需要建立连接状态表3.网络层保护强4.应用层控制细5.会话控制弱4.复合型防火墙优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱防火墙类型55.核检测防火墙对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙，他们只是检查单个报文，所以只检查其中的一个报文，但是他们都不能把这些报文组合起来，形成一个会话来进行处理。对于核检测防火墙，它可以将不同报文，在防火墙内部，模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文是相关的，它具备包过滤和应用代理防火墙的全部特点，还增加了对会话的保护能力。IP报头TCP报头数据核检测检查信息5.核检测防火墙应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011建立连接状态表1.网络层保护强2.应用层控制细3.会话保护强4.上下文关联5.前后报文有联系服务操作硬盘数据开始攻击服务操作硬盘数据报文1报文2报文3重写会话开始攻击服务操作硬盘数据TCP开始攻击IPTCP服务操作IPTCP硬盘数据IP5.核检测防火墙优点网络层保护强应用层保护强会话层保护强前后报文有联系，可以关联进行出来缺点：不能防病毒传播不能防止一些未知的入侵或攻击……防火墙类型的对比性能类型综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙★★★★★★★★★★★★★★单个数据包报头状态检测包过滤防火墙★★★★★★★★★★★★★★★★★★★单个数据包报头一次会话应用代理防火墙★★★★★★★★★★★单个数据包数据复合型防火墙★★★★★★★★★★★★★★★★★★★单个数据包全部数据核检测防火墙★★★★★★★★★★★★★★★★★★★★★★★一次完整会话应用数据安全网关防火墙UTMAEpisodeAEpisode1、防火墙一种隔离技术，将内部网和外部网络分开的方法；防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络；传统防火墙应该具备状态检测、访问控制以及VPN等功能。2、UTM（UnifiedThreatManagement）统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台；将防病毒、入侵检测和防火墙的概念融入统一威胁管理的类别中；UTM设备应该具备的基本功能包括防火墙、网络入侵检测/防御和防病毒功能。3、安全网关设置在不同网络或安全域之间的一系列部件的组合的统称；通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全；安全网络可以分为：单一功能的网关（防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关、web防护防火墙），综合功能型网关（UTM）。回顾回顾：1、防火墙的概念防火墙的概念？目标？形态？2、防火墙的分类哪几类？工作层次？工作原理？3、防火墙、UTM、