防火墙
防火墙是管理和控制网络流量的重要工具,防火墙适用于过滤流量的网络设备。防火墙根据一组定义的规则过滤流量。
静态数据包过滤防火墙
静态数据包过滤防火墙通过检查消息头中的数据来过滤流量。通常,规则涉及源、目标和端口号。静态数据包过滤防火墙被称为第一代防火墙:它们在OSI模型的第3层(网络层)和第4层(传输层)运行。
包过滤防火墙的基本原理是:通过配置ACL实施数据包的过滤。实施过滤主要是基于数据包中的I五元组(源IP地址、目的IP地址、协议类型、源端口、目的端口)信息。
包过滤应用在防火墙中,对需要转发的数据包,先获取数据包的包头信息,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。
设备对包过滤防火墙的支持
普通IP报文过滤:防火墙基于访问控制列表ACL对报文进行检查和过滤。防火墙检查报文的源/目的IP地址、源/目的端口号、协议类型号,根据访问控制列表允许符合条件的报文通过,拒绝不符合匹配条件的报文。防火墙所检查的信息来源于IP、TCP或UDP。
分片报文过滤:包过滤提供了对分片报文进行检测的支持。包过滤防火墙将识别报文类型。如:非分片报文、首片分片报文、后续分片报文,对所有类型的报文都过滤。
-
对于首片分片报文,设备根据报文的三层信息及四层信息,与ACL规则进行匹配,如果允许通过,则记录首片报文的状态信息,建立后续分片的匹配信息表。当后续分片报文到达时,防火墙不再进行ACL规则的匹配,而是根据首片分片报文的ACL匹配结果进行转发。另外,对于不匹配ACL的规则报文,防火墙还可以配置缺省处理方式。
包过滤防火墙存在的问题
包过滤防火墙属于静态防火墙,目前存在的问题如下:
-
对于多通道的应用层协议(如FTP、SIP等),部分安全策略配置无法预知;
-
无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets等);
-
无法识别来自网络中伪造的ICMP差错报文,从而无法避免ICMP的恶意攻击;
-
对于TCP连接均要求其首报文为SYN包围,而非SYN报文的TCP首包将被丢弃。在这种处理方式下,当设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的防火墙设备时具备丢弃,这会中断已有的连接;
-
根据严格配置策略时,会导致规则表很快变大或过于臃肿;
应用级网关防火墙
应用级防火墙也成为代理防火墙。代理是一种将数据包从一个网络复制到另一个网络的机制:复制过程中会更改源和目标地址以保护内部或专用网络。应用级网关防火墙根据用于传输或接收数据的服务过滤流量。每种类型的应用程序都必须拥有自己唯一的代理服务器。应用级网关防火墙称为第二代防火墙,它们在OSI模型的第7层(应用层)运行。
电路级网关防火墙
电路级防火墙用于在可信赖的合作伙伴之间建立通信会话。它们在OSI模型的第5层(会话层)上运行。SOCKS是电路级网关防火墙的常见实现方式。它们仅根据通信线路的端点名称(即源和目标地址以及服务端口)允许或拒绝转发。它也是称为第二代防火墙。
状态检测防火墙
状态检查防火墙(也称为动态数据包过滤防火墙)评估网络流量的状态或上下文。通过检查源和目的地址、应用程序使用情况、来源以及当前数据包与同一会话的先前数据包之间的关系,状态检测防火墙能为授权用户和活动授予更广泛的访问权限,并主动监视和阻止未经授权的用户和活动。它们称为第三代防火墙,在OSI模型的第2层、第3层和第4层(数据链路层、网络层和传输层)上运行。
“状态检测”机制,是以流量为基础对报文进行检测和转发。即:对一条流量的第一个报文(首包)进行包过滤规则检查,第一次来的包,并将判断结果作为该条流量的“状态”记录会话表项,建立两个缓存的session(一个去包缓存,一个回包缓存),后续属于同一数据流的数据包匹配缓存表后放行。
基本表项
在基于状态检测防火墙中,有两张表:规则表和状态表(即会话表)。
规则表由六元组组成:
| 源地址 | 目的地址 | 源端口 | 目的端口 | 协议类型 | 数据流向 |
|---|---|---|---|---|---|
| sa | da | sp | dp | protocol_type | Direction |
状态表由九元组构成
| 源地址 | 目的地址 | 源端口 | 目的端口 | 协议类型 | state | squence_number | Timeout | None |
|---|---|---|---|---|---|---|---|---|
| sa | da | sp | dp | protocol_type | 本次连接状态 | TCP包序列号(其他为空) | 该次连接超时值 | 连接以通过数据包个数 |
具体匹配流程
-
数据包首先会到达状态检查模块,通过对数据包分析、提取数据包报文头文件信息,检查女数据包是否符合在状态表中某个已经建立的有效的会话连接记录,如复合记录则根据报文头信息更新状态表并放行;
-
若与状态表中无匹配表项,则检测其与规则表是否匹配,不匹配直接丢弃;
-
若匹配进一步判断是否允许建立新连接,这时根据IP协议承载的上层不同协议类型建立新表项,最终报文加载状态进行进行处理;
在TCP连接首次建立的过程中:
-
发起连接的SYN报文只通过规则表的检查;
-
其余报文(非SYN数据包)则需要通过状态表的匹配;
深度数据包检测防火墙
深度数据包检测(DPI)防火墙是一种过滤机制,通常在第7层(应用层)运行,以便过滤通信的有效内容。DPI也可称为完整的数据包检测和信息提供。DPI通常与应用层防火墙和/或状态检测防火墙集成在一起。
下一代防火墙(NGFW)
下一代防火墙是一种多功能设备(MFD),除防火墙外,还包含多种安全功能。
传统的防火墙功能:是新环境下同防火墙的替代品,必须向前兼容传统防火墙的基本功能;
应用识别与应用控制技术:具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段;
IPS与防火墙深度集成:要支持IPS功能,且实现与防火墙的深度融合,实现1+1>2的效果;
利用防火墙以外的信息,增强管控能力:能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略;
入侵检测系统(IDS)
通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析,从中发现网络或系统中是否存在可疑或异常事件;
主机入侵检测系统(HIDS)
监测一台计算机上的活动,其中包括进程调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。
HIDS优于NIDS的一点是,HIDS能监测到NIDS检测不出来的主机系统异常情况;但是HIDS比NIDS的管理成本更高,并且更容易被入侵者发现和禁用,同时导致留存的日志被修改;
网络入侵检测系统(NIDS)
监测并评估网络活动,从中找出攻击或异常事件。一个NIDS可通过远程传感器监测一个大型网络,由传感器在关键网络位置收集数据后把数据发送给中央管理控制台和/或安全事件和事件管理(SIEM)系统。
响应方式
被动响应:通过电子邮件、文本或短信等方式将告警发送至管理员;
主动响应:动其他安全防护设备(防火墙、IPS等)对可疑流量进行阻断;
入侵防御系统(IPS)
入侵防御系统(IPS)是一种特殊类型的主动响应IDS,在检测到异常流量之后直接进行数据拦截。它串联部署在重要网络通道上,保证所有通信流量均从该设备进行通过,从而保证能够对异常流量进行拦截;
