8-防火墙技术原理与应用

8.1 防火墙概述

1）概念

目前，各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的，但是，一些敏感的数据有可能泄露给第三方，特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁，联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离，其方法是根据网络的安全信任程度和需要保护的对象，人为地划分若于安全区域，这些安全区域有:

• 公共网
• 内联网（Intranet）
• 外联网（Extranet）：内联网的扩展延伸，常用作组织和合作伙伴之间进行通信
• 军事缓冲区域，简称 DMZ（dmilitarized zone），该区域介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务

在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，可以隔离有害通信，进而阻断网络攻击。这种安全设备的功能类似于防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，它一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。

2）工作原理

防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。

防火墙根据网络包所提供的信息实现网络通信访问控制：如果网络通信包符合网络访问控制策略，就允许该网络通信包通过防火墙

安全策略：白名单/黑名单

防火墙简单的可以用路由器、交换机实现，复杂的就要用一台计算机，甚至一组计算机实现。按照 TCP/P 协议层次，防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层，首先依据各层所包含的信息判断是否遵循安全规则，然后控制网络通信连接，如禁止、允许。防火墙简化了网络的安全管理。如果没有它，网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全，就必须在每台主机上安装安全软件，并对每台主机都要定时检查和配置更新。归纳起来，防火墙的功能主要有以下几个方面：

• 过滤非安全网络访问
• 限制网络访问
• 网络访问审计
• 网络带宽控制
• 协同防御

3）风险

尽管防火墙有许多防范功能，但也有一些力不能及的地方。采用防火墙安全措施的网络仍然存在以下网络安全风险。

（1）网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制，而未经过它的网络通信就无能为力。

（2）防火墙功能缺陷，导致一些网络威胁无法阻断

• 防火墙不能完全防止感染病毒的软件或文件传输
• 防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击效果。防火墙对此无能为力。
• 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制，某些基于网络隐蔽通道的后门能绕过防火墙的控制。例如 http tunnel 等。

（3）防火墙安全机制一旦失效，会造成单点故障和网络安全特权失控

（4）防火墙无法有效防范内部威胁

（5）防火墙效用受限于安全规则、一旦安全规则更新不及时，容易导致防火墙的保护功能失效

4）发展

• 控制粒度不断细化
• 功能持续增强（DPI）
• 产品分类更细化
• 智能化增强

Deep Packet Inspection（深度包检测，简称DPI）是一种先进的网络数据包过滤技术，它在网络安全、流量管理、内容过滤等领域发挥着重要作用。以下是对DPI技术的详细解析：

一、定义与原理

DPI技术是一种能够深入分析数据包内容（包括头部和有效载荷）的技术。它超越了传统的包过滤技术，后者通常只检查数据包的头部信息。DPI通过分析数据包的内容，可以识别出应用程序、服务、协议等详细信息，并根据预定义的规则集进行相应的操作，如允许、拒绝、限速或修改数据包。

二、技术特点

1. 深度分析：DPI能够检查数据包的有效载荷，提供比传统包过滤技术更深层次的内容分析。
2. 多协议支持：DPI支持多种协议，包括HTTP、SMTP、FTP等，能够识别出不同协议下的数据内容。
3. 行为分析：除了签名匹配外，DPI还可以进行行为分析，以识别异常或可疑的网络行为。
4. 策略执行：基于对数据包的深入分析，DPI可以执行各种策略，如阻止、限速、优先级排序或重定向特定类型的流量。

三、应用领域

1. 网络安全：DPI技术可以用于识别和阻止恶意软件、病毒攻击、网络钓鱼等安全威胁。通过深入分析数据包内容，DPI能够检测到复杂的攻击模式，这些模式可能会被传统的安全机制忽视。
2. 流量管理：DPI技术允许网络运营商和服务提供商深入检查经过网络的数据包，从而优化带宽分配、提高网络效率。例如，运营商可以使用DPI来优先处理关键业务流量，如紧急通信服务，同时限制对带宽消耗较大的应用（如视频流媒体）的访问。
3. 内容过滤：DPI技术可以识别特定的关键词、网站或应用程序，并根据政策或法规要求对它们进行阻断或限制。这一点在某些国家被用于内容审查和网络监控。

四、技术挑战与争议

尽管DPI技术在网络管理和安全方面具有显著优势，但它也面临一些挑战和争议：

1. 性能损耗：DPI技术增加了处理器的负担，可能会导致网络性能的下降。
2. 隐私侵犯：深度检查数据包内容可能涉及敏感信息，如用户通信内容、个人数据等，从而引发隐私侵犯的担忧。
3. 法律与合规性：在某些国家和地区，DPI技术的使用可能受到严格的法律限制和合规性要求。

五、结论

DPI技术作为一种先进的网络数据包过滤技术，在网络安全、流量管理、内容过滤等领域发挥着重要作用。然而，随着技术的发展和应用场景的不断拓展，我们也需要关注其可能带来的性能损耗、隐私侵犯和法律合规性等问题，并采取相应的措施加以应对。

8.2 防火墙类型与实现技术

1）包过滤

包过滤是在 IP 层实现的防火墙技术，包过滤根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

包过滤的控制依据是规则集，典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成，匹配操作有拒绝、转发、审计三种。

2）状态检查技术

基于状态的防火墙通过利用 TCP会话和 UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的 TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。

主要流程：

• 接收到数据包
• 检查数据包有效性，若无效，则丢掉数据包并审计
• 查找会话表、若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计
• 当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包，否则，丢掉该数据包并审计

3）应用服务代理

优点：

• 不允许外部主机直接访问内部主机
• 支持多种用户认证方案
• 可以分析数据包内部的应用命令
• 可以提供详细的审计记录

缺点：

• 速度比包过滤慢
• 对用户不透明
• 与特定应用协议相关联，代理服务器并不能支持所有的网络协议

4）网络地址转换技术

（NAT Network Address Translation 网络地址转换）NAT 技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网正P地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。基于NAT 技术的防火墙上配置有合法的公共IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。

实现网络地址转换的方式主要有：静态 NAT(Static NAT)、NAT池(pooled NAT)和端口 NAT(PAT)三种类型。

• 静态 NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
• NAT池则是在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。
• PAT则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。

5）web 防火墙技术

Web 应用防火墙是一种用于保护 Web 服务器和 Web应用的网络安全机制。其技术原理是根据预先定义的过滤规则和安全防护规则,对所有访问 Web服务器的HTTP请求和服务器响应，进行 HTTP 协议和内容过滤，进而对 Web服务器和 Web应用提供安全防护功能。

Web 应用防火墙的HTTP过滤的常见功能主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤。

Web应用防火墙可抵御的典型攻击主要是 SQL注入攻击、XSS 跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。

6）数据库防火墙技术

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。

其中，数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SOL语句”等信息，然后依据这些信息及安全规则监控数据库风险行为，阻断违规 SOL 操作、阻断或允许合法的SOL 操作。

虚拟补丁技术通过在数据库外部创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

7）工控防火墙技术

工业控制系统专用防火墙简称为工控防火墙，是一种用于保护工业设备及系统的网络安全机制。其技术原理主要是通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备，实现工控网络的安全隔离和工控现场操作的安全保护。

8）下一代防火墙技术

• 应用识别和管控
• 入侵防护（IPS Intrusion Prevention System）：能够根据漏洞特征进行攻击检测和防护，如SOL注入攻击
• 数据防泄漏
• 恶意代码防护
• URL 分类和过滤
• 带宽管理与 QoS 优化
• 加密通信分析

QoS（Quality of Service，服务质量）是网络通信中的一个重要概念，它指的是网络在传输数据流时，能够提供的服务质量的保证能力。QoS的目的是确保网络中的关键应用或数据流能够获得足够的资源，以满足其特定的性能要求，如带宽、延迟、抖动、丢包率等。

在网络通信中，不同的应用或服务对QoS的需求可能不同。例如，实时音视频通信（如视频会议）对延迟和丢包率非常敏感，而文件传输（如FTP）则对带宽和延迟的敏感度相对较低。因此，QoS机制需要根据不同应用的需求，动态地分配网络资源，以保证各应用的服务质量。

QoS的实现通常涉及以下几个关键技术：

1. 流量分类与标记：根据数据流的特性（如源地址、目的地址、端口号、协议类型等）将其分类，并为其打上相应的标记（如DSCP值），以便后续的处理。

2. 队列管理：在网络设备（如路由器、交换机）中设置不同的队列，用于存放不同优先级的数据包。通过优先级队列、加权公平队列（WFQ）等算法，确保高优先级的数据包能够优先得到处理。

3. 拥塞控制：当网络发生拥塞时，通过一定的机制（如随机早期检测RED、显式拥塞通知ECN等）来通知发送方降低发送速率，从而避免网络进一步拥塞。

4. 流量整形与速率限制：对进入网络的数据流进行整形，使其符合一定的速率模式，避免突发流量对网络造成冲击。同时，也可以对特定数据流进行速率限制，以保证其他数据流的带宽需求。

5. 链路聚合与负载均衡：通过多条链路并行传输数据，提高网络的带宽和可靠性。同时，通过负载均衡算法，将数据流合理地分配到各条链路上，以充分利用网络资源。

6. 策略控制与访问控制：根据网络策略和用户权限，对数据流的访问进行控制，确保只有合法的用户和数据流才能通过网络。

通过实施QoS策略，网络管理员可以更加灵活地管理网络资源，提高网络的性能和可靠性，满足不同应用和服务的需求。

9）防火墙共性关键技术

• 深度包检测（Deep Packet Inspection，DPI）：对包的数据内容及包头信息进行检查分析的技术方法
• 操作系统
• 网络协议分析

8.3 防火墙主要产品与技术指标

1）产品

网络/web 应用/数据库/主机/工控/下一代/家庭防火墙

2）技术指标

《信息安全技术 防火墙安全技术要求和测试评价方法》

《信息安全技术 工业控制系统专用防火墙技术要求》

1.防火墙安全功能指标

2.防火墙性能指标

最大吞吐量：网络、HTTP、SQL

最大连接速率：TCP、HTTP、SQL

最大规则数

并发连接数：TCP

3.防火墙安全保障指标

防火墙安全保障指标用于测评防火墙的安全保障程度，主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定。具体情况可参考CC标准及防火墙的安全标准规范。

4.环节适应性指标

环境适应性指标用于评估防火墙的部署和正常运行所需要的条件，主要包括网络环境、物理环境。网络环境通常指 IPv4/Pv6 网络、云计算环境、工控网络等。物理环境通常包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等。

5.防火墙自身安全指标

由于防火墙在网络安全中所扮演的角色，防火墙的自身安全至关重要。评价防火墙的安全功能指标主要有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等

8.4 防火墙防御体系结构类型

1）基于双宿主

也称为堡垒主机防火墙，是一种基于双宿主主机（即具有至少两个网络接口卡的主机系统）构建的防火墙结构。在这种结构中，内外网络分别连接在不同的网卡上，使得内外网不能直接通信，从而实现了对内部网络的保护。对从一块网卡上送来的P包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信;如果不合法，则阻止通信。

2）基于代理型

代理型防火墙接收来自内部网络用户的请求，并将其转发给外部网络服务器。同时，它也会接收来自外部网络服务器的响应，并将其转发给内部网络用户。在这个过程中，代理防火墙会对所有的通信数据进行检查、过滤和记录，以确保只有符合安全规则的数据包才能通过。此外，代理防火墙还可以提供协议意识安全分析功能，对特定的协议（如FTP、HTTP等）进行更深入的安全检查。

• 优点：代理型防火墙提供了更高的安全性，因为它能够完全控制应用层通信流。此外，它还可以隐藏内部网络的结构和IP地址信息，防止攻击者进行扫描和探测。
• 缺点：代理型防火墙的性能可能会受到一定影响，因为它需要为每个会话建立两个连接（即内部网络到代理防火墙和代理防火墙到外部网络）。此外，配置和管理代理型防火墙也相对复杂一些。

3）基于屏蔽子网

屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网，减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息，不能对内部网络直接操作。

特点：

• 应用代理位于被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网，不能直接进入内部网络。

• 两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证。
  

8.5 防火墙技术应用

1）应用场景类型

2）部署基本方法

• 第一步，根据组织或公司的安全策略要求，将网络划分成若干安全区域
• 第二步，在安全区域之间设置针对网络通信的访问控制点
• 第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略
• 第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构
• 第五步，在防火墙上，配置实现对应的网络安全策略
• 第六步，测试验证边界安全策略是否正常执行
• 第七步，运行和维护防火墙

3）IPtables 防火墙应用参考

4）Web 应用防火墙应用参考

OWASP核心规则集 (OWASP ModSecurity Core Rule Set) 是一组用于 Web 应用防火墙的通用攻击检测规则。核心规则集(CRS)的目的是保护 Web应用程序的安全，使其免受各种攻击，包括 OWASP TOP 10 攻击，同时使得 Web 防火墙减少虛假报警。CRS3.0 提供 13 种常见的攻击规则类型，包括SOL注入、跨站点脚本等。

5）包过滤防火墙应用参考

6）工控防火墙应用参考