防火墙(英语:Firewall)是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
时间 | 事件 |
---|---|
第一代防火墙1989年 | 也称包过滤防火墙,采用静态包过滤技术,依附于路由器包过滤功能实现,根据定义好的过滤规则审查每个数据包,遵循“最小特权原则”,允许管理员通过设定策略决定数据包是否能通过防火墙 |
第二代防火墙1989年 | 也称电路层防火墙,于1989年推出,通过使用TCP连接将可信任网络中继到非信任网络来工作,但客户端和服务器之间不会直接连接。电路层防火墙不能感知应用协议,必须由客户端提供连接信息 |
第三代防火墙1989年 | 是应用层防火墙(也称代理防火墙)的初步结构,由贝尔实验室在1989年同步推出,应用层防火墙通过代理服务实现防火墙内外计算机系统的隔离 |
第四代防火墙1992年 | 也称基于动态包过滤技术防火墙,采用动态设置包过滤规则的方法,依据设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、所使用的端口确定是否允许通过 |
第五代防火墙1998年 | 也称使用自适应代理技术的防火墙,由NAI公司在1998年推出自适应代理技术,并在其产品中体现,给代理类型的防火墙赋予了全新意义 |
第六代防火墙2004年 | IDC在2004年提出统一威胁管理(UTM)概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理,包含多功能安全网关、综合安全网关、一体化安全设备等产品 |
下一代防火墙2008年 | Palo Alto Networks公司在2008年发布下一代防火墙,以应用感知和全栈可视化、深度集成IPS、适用于大企业环境并集成外部安全智能为主要技术特点,解决统一威胁管理多功能同时运行时性能网降的问题,还可基于用户、应用和内容进行管控 |
防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰与影响。
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
技术特点:访问列表技术
网络层:OSI第三层网络层
特点:简单,速度慢
检查颗粒度粗:5元组(源地址、目的地址、协议、源端口、目的端口)
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
技术特点:中间人技术
网络层:OSI应用层
特点:降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
说明:
1、代理技术只能针对特定的应用来实现,应用之间不能通用
2、技术复杂,速度慢
3、能防御应用层威胁,内容威胁
技术特点:会话追踪技术
网络层:OSI第三层网络层第四层传输层
会话:和目标通信的一系列包(三次握手、请求回复、四次挥手)
工作原理:在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。 会话表可以用hash来处理数据报文头部形成定长值,使用CAM芯片处理,可以达到交换机的处理速度。
特点:首包机制;细颗粒度;速度快
技术特点:深度包检查技术
网络层:OSI应用层
特点:把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。
说明:
1、把原来分散的设备进行统一管理,有利于节约成本 。
2、统一有利于各设备之间协作。
3、设备负荷较大并且检查也是逐个功能模块来进行的,速度慢。
又称现代防火墙。
Gartner(IT咨询公司)将NFGW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。
NFGW必须具备以下几个能力:
传统防火墙功能
IPS与防火墙得到深度集成
应用感知和全栈可视化 — (识别并展示出流量所属类别和路径)
利用防火墙以外的信息,增强管控能力
1、桥模式
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
2、网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
3、NAT模式
NAT(Network Address
Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
如果在NAT模式的基础上需要实现外部网络访问内部网络服务的需求时,还可以使用地址/端口映射(MAP)技术,在防火墙上进行地址/端口映射配置,当外部网络用户需要访问内部服务时,防火墙将请求映射到内部服务器上;当内部服务器返回相应数据时,防火墙再将数据转发给外部网络。使用地址/端口映射技术实现了外部用户能够访问内部服务,但是外部用户无法看到内部服务器的真实地址,只能看到防火墙的地址,增强了内部服务器的安全性。
4、高可靠性设计
防火墙都部署在网络的出入口,是网络通信的大门,这就要求防火墙的部署必须具备高可靠性。一般IT设备的使用寿命被设计为3至5年,当单点设备发生故障时,要通过冗余技术实现可靠性,可以通过如虚拟路由冗余协议(VRRP)等技术实现主备冗余。到2019年为止,主流的网络设备都支持高可靠性设计。
1、防火墙究竟是什么?
内部网络和外部网络之间的防护措施。
2、防火墙基于什么技术实现?
防火墙主要工作在OSI模型的三四层,一般基于IP报文检测,对端口进行限制。
3、什么是访问列表技术?
即ACL,ACL通常基于源地址、目标地址、协议类型、端口号、时间等条件来控制网络访问。即定义了一种访问控制策略,包括允许或拒绝特定类型的流量或访问请求。
4、什么是中间人技术?
一般是HTTPS防火墙。客户端和服务器之间基于操作系统建立加密通信,解密则是一些机构颁发的证书,这些机构会在操作系统上认证得到操作系统预装的信任的“证书颁发机构”,网站向机构付费获得受信任”证书。HTTPS防火墙只是强制安装一个证书到“受信任”列表中进行校验,获得正确的证书才会通过HTTPS防火墙内置的私钥,解开客户端到服务器之间的全部加密通信。
5、什么是会话追踪技术?
会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。防火墙会把属于一个会话的数据流识别出来。
(首包匹配策略,策略创建会话表,后续直接通过会话表来实现通行)
6、什么是深度包检查技术?
深度包检测技术即DPI技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。