防火墙初接触

防火墙

• • • 概述
    • 防火墙的分类
    • • 包过滤防火墙
      • 状态检测防火墙（ASPF:application specific packet filter）
      • • 状态监测机制：
      • 代理防火墙
    • 安全区域
    • • 安全区域的配置
      • 文在安全区域之间的流动：
      • • 防火墙如何判断 文在哪两个安全区域之间流动呢li>
    • 安全策略分类：
    • 防火墙的三种工作模式：

概述

防火墙是位于两个或多个 络之间执行访问控制的软件或硬件系统，他根据访问控制规则对进出的 络的数据流进行过滤。它是一种 络安全产品，用于对 络进行安全访问限制，一般用在互联 的边缘，防止外部黑客的攻击。防火墙可以看成是带有安全功能的路由器，早期的防火墙就是在路由器的基础上加入了访问控制功能，所以防火墙的很多功能可以在路由器上看到，例如路由协议、访问控制列表和地址翻转技术等。

防火墙的分类

• 包过滤防火墙：通过定义的特定规则对数据包中”五元组“属性进行判断过滤。（由于每次需要对数据包进行策略检查，所以速度较慢）
• 状态检测防火墙（ASPF:application specific packet filter）：通过检测连接状态判断该数据包是否合法（基于流的判断）。
• 代理型防火墙：使防火墙做为一个中间节点。

包过滤防火墙

对需要转发的数据包，先获取 头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或丢弃。

实现包过滤的核心技术是访问控制列表。

包过滤作为一种 络安全保护机制，主要用于对 络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤防火墙对于需要转发的 文，会先获取 文头信息，包括 文的源IP地址、目的IP地址、IP层所承载的上层协议的协议 、源端口 和目的端口 等，然后和预先设定的过滤规则进行匹配，并根据匹配结果对 文采取转发或丢弃处理。

状态检测防火墙（ASPF:application specific packet filter）

早期包过滤防火墙采取的是“逐包检测”机制，即对设备收到的所有 文都根据包过滤规则每次都进行检查以决定是否对该 文放行。这种机制严重影响了设备转发效率，使包过滤防火墙成为 络中的转发瓶颈。

于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。“状态检测”机制以流量为单位来对 文进行检测和转发，即对一条流量的第一个 文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续 文都直接根据这个“状态”来判断是转发还是丢弃，而不会再次检查 文的数据内容 。这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率，已经成为目前主流的包过滤机制。

状态监测机制：

• 状态监测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。
• 状态监测机制关闭状态下，即使首包没有经过设备，后续好只要通过设备也可以生成会话表项。

对于TCP 文

• 开启状态检测机制时，首包（SYN 文）建立会话表项。对除SYN 文外的其他 文，如果没有对应会话表项（设备没有收到SYN 文或者会话表项已老化），则予以丢弃，也不会建立会话表项。
• 关闭状态检测机制时，任何格式的 文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。

对于UDP 文

• UDP是基于无连接的通信，任何UDP格式的 文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。

对于ICMP 文

• 开启状态检测机制时，没有对应会话的ICMP应答 文将被丢弃。
• 关闭状态检测机制时，没有对应会话的应答 文以首包形式处理.

代理防火墙

其实代理服务器这样的防火墙更安全一些，若是外面的人给小姐的物品是有毒的（外面发送有害的数据，或者想获取 server 信息），那也是丫鬟先中毒，小姐很安全呀（代理服务器中招，内 还是安全的）。

但是这是因为所有的链接，所有的数据包都中转过一层，多了一个环境，就需要多消耗一些时间，效率便降低了，高带宽也会到达瓶颈，并且因为通过代理服务器的转发那么便需要修改表头中的信息和地址转换，这样的话对 VPN 的使用也会增加一定的难度。所以相对来说 Netfilter（基于包过滤的防火墙） 比代理服务器式的防火墙应用的更加的广泛。

安全区域

安全区域（Security Zone）：简称为区域（Zone），它是一个或多个接口的集合，防火墙通过安全区域来划分 络，标示 文的流动路线。

一般来说，当 文在不同的安全区域之间流动时才会受到控制。
域分类（按安全级别划分（数值越大，安全级别越高））：

安全区域的配置

安全区域的建立主要包括创建安全区域以及将接口加入安全区域。除了物理接口可以加入安全区域，防火墙还支持逻辑接口，如子接口，VLANIF接口等，这些逻辑接口使用时也需要加入安全区域。

文在安全区域之间的流动：

• 文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound）,
• 文从高级别安全区域向低级别安全区域流动时为出方向（Outbound）。

防火墙如何判断 文在哪两个安全区域之间流动呢h5>

首先，源安全区域很容易确定，防火墙从哪个接口接收 文，该接口所属的安全区域就是 文的源安全区域。

确定目的安全区域时分三种情况：

• 三层模式下，防火墙通过查找路由表确定 文将要从哪个接口发出，该接口所属的安全区就是 文的目的安全区域；

• 两层模式下，防火墙通过查找MAC地址转发表确定 文要从哪个接口发出，该接口所属的安全区域就是 文的目的安全区域。

• 另外还有一种情况：
  在VPN场景中，防火墙收到的是封装的 文，将 文解封装后得到原始 文，然后还是通过查找路由表来确定目的安全区域， 文从哪个接口发出，该接口所属的安全区域就是 文的目的安全区域。
  而源安全区域不能简单地根据收到的接口来确定，此时防火墙会采用“反向查找路由表”的方式来确定原始 文的源安全区域。

  具体来说，防火墙把原始 文中的源地址假设成是目的地址，然后通过查找路由表确定这个目的的地址的 文将要从哪个接口发出，该接口所属的安全区域是 文将要去往的安全区域。反过来说， 文也就是从该区域发出的，所以反查路由表得到的这个安全区域就是 文的源安全区域。

源安全区域和目的安全区域确定后，就可以知道 文从哪两个安全区域之间流动了。

安全策略分类：

• 域间安全策略

  域间安全策略用于控制域间流量的转发（此时称为转发策略），适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny）或高级的UTM（统一威胁管理Unified Threat Management）应用层检测。域间安全策略也用于控制外界与设备本身的互访（此时称为本地策略），按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny），允许或拒绝与设备本身的互访。

• 域内安全策略

  缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内 所在的安全区域Trust，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

• 接口包过滤

  当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP 文，可以按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量并执行相应动作（permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太 帧，可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作（permit/deny）。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。

防火墙的三种工作模式：

• 路由模式：防火墙以第三层对外连接（接口具有IP地址），此时可以完成ACL包过滤，ASPF动态过滤、NAT转换等功能（路由模式需要对 络拓扑进行修改）。
• 透明模式：防火墙以第二层对外连接（接口没有IP地址），此时相当于交换机，部分防火墙不支持STP。
• 混合模式：混合上面两种。