防火牆的工作技術分類與基礎原理介紹

　　防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。這篇文章主要介紹了防火牆的工作技術分類與基礎原理,需要的朋友可以參考下

　　具體介紹

　　防火牆是指設定在不同網路***如可信任的企業內部網和不可信的公共網***或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出***，通過監測、限制、更改跨越防火牆的資料流，儘可能地對外部遮蔽網路內部的資訊、結構和執行狀況，有選擇地接受外部訪問，對內部強化裝置監管、控制對伺服器與外部網路的訪問，在被保護網路和外部網路之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。

　　防火牆有兩種，硬體防火牆和軟體防火牆，他們都能起到保護作用並篩選出網路上的攻擊者。在這裡主要給大家介紹一下我們在企業網路安全實際運用中所常見的硬體防火牆。

　　防火牆技術分類

　　防火牆技術經歷了包過濾、應用代理閘道器、再到狀態檢測三個階段。

　　包過濾技術是一種簡單、有效的安全控制技術，它通過在網路間相互連線的裝置上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過裝置的資料包進行檢查，限制資料包進出內部網路。包過濾的最大優點是對使用者透明，傳輸效能高。但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址、目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、記憶體覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

　　狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連線，狀態檢測檢查預先設定的安全規則，允許符合規則的連線通過，並在記憶體中記錄下該連線的相關資訊，生成狀態表。對該連線的後續資料包，只要符合狀態表，就可以通過。這種方式的好處在於：由於不需要對每個資料包進行規則檢查，而是一個連線的後續資料包***通常是大量的資料包***通過雜湊演算法，直接進行狀態檢查，從而使得效能得到了較大提高;而且，由於狀態表是動態的，因而可以有選擇地、動態地開通1024號以上的埠，使得安全性得到進一步地提高。

　　1. 包過濾技術

　　包過濾防火牆一般在路由器上實現，用以過濾使用者定義的內容，如IP地址。包過濾防火牆的工作原理是：系統在網路層檢查資料包，與應用層無關。這樣系統就具有很好的傳輸效能，可擴充套件能力強。但是，包過濾防火牆的安全性有一定的缺陷，因為系統對應用層資訊無感知，也就是說，防火牆不理解通訊的內容，所以可能被黑客所攻破。

　　包過濾防火牆工作原理圖

　　包過濾防火牆工作在網路層，對資料包的源及目地IP具有識別和控制作用，對於傳輸層，也只能識別資料包是TCP還是UDP及所用的埠資訊。現在的路由器、Switch Router以及某些作業系統已經具有用Packet Filter控制的能力。

　　由於只對資料包的IP地址、TCP/UDP協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。

　　包過濾防火牆具有根本的缺陷：

　　不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些IP是可信網路，哪些是不可信網路的IP地址。但是隨著遠端辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源IP包改成合法IP即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行IP地址欺騙。不支援應用層協議。假如內網使用者提出這樣一個需求，只允許內網員工訪問外網的網頁***使用HTTP協議***，不允許去外網下載電影***一般使用FTP協議***。包過濾防火牆無能為力，因為它不認識資料包中的應用層協議，訪問控制粒度太粗糙。不能處理新的安全威脅。它不能跟蹤TCP狀態，所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪問時，一些以TCP應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。

　　綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他***她***進入一樣，難以履行保護內網安全的職責。

　　2. 應用閘道器防火牆

　　應用閘道器防火牆檢查所有應用層的資訊包，並將檢查的內容資訊放入決策過程，從而提高網路的安全性。然而，應用閘道器防火牆是通過打破客戶機/伺服器模式實現的。每個客戶機/伺服器通訊需要兩個連線：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用程序，或一個後臺執行的服務程式，對每個新的應用必須新增針對此應用的服務程式，否則不能使用該服務。所以，應用閘道器防火牆具有可伸縮性差的缺點。

　　應用閘道器防火牆工作原理圖

　　應用代理閘道器防火牆徹底隔斷內網與外網的直接通訊，內網使用者對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網使用者。所有通訊都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的TCP連線，應用層的協議會話過程必須符合代理的安全策略要求。

　　應用代理閘道器的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對資料包的檢測能力比較強。

　　缺點也非常突出，主要有：

　　難於配置。由於每個應用都要求單獨的代理程序，這就要求網管能理解每項應用協議的弱點，並能合理的配置安全策略，由於配置繁瑣，難於理解，容易出現配置失誤，最終影響內網的安全防範能力。處理速度非常慢。斷掉所有的連線，由防火牆重新建立連線，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行，因為對於內網的每個Web訪問請求，應用代理都需要開一個單獨的代理程序，它要保護內網的Web伺服器、資料庫伺服器、檔案伺服器、郵件伺服器，及業務程式等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網使用者的正常Web訪問不能及時得到響應。

　　總之，應用代理防火牆不能支援大規模的併發連線，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先內建一些已知應用程式的代理，使得一些新出現的應用在代理防火牆內被無情地阻斷，不能很好地支援新應用。

　　在IT領域中，新應用、新技術、新協議層出不窮，代理防火牆很難適應這種局面。因此，在一些重要的領域和行業的核心業務應用中，代理防火牆正被逐漸疏遠。

　　但是，自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機，它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點，在不損失安全性的基礎上將代理防火牆的效能提高了10倍。

　　3. 狀態檢測防火牆

　　狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，效能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包，不關心資料包狀態的缺點，在防火牆的核心部分建立狀態連線表，維護了連線，將進出網路的資料當成一個個的事件來處理。可以這樣說，狀態檢測包過濾防火牆規範了網路層和傳輸層行為，而應用代理型防火牆則是規範了特定的應用協議上的行為。

　　我們知道，Internet上傳輸的資料都必須遵循TCP/IP協議，根據TCP協議，每個可靠連線的建立需要經過“客戶端同步請求”、“伺服器應答”、“客戶端再應答”三個階段，我們最常用到的Web瀏覽、檔案下載、收發郵件等都要經過這三個階段。這反映出資料包並不是獨立的，而是前後之間有著密切的狀態聯絡，基於這種狀態變化，引出了狀態檢測技術。

　　狀態檢測防火牆摒棄了包過濾防火牆僅考查資料包的IP地址等幾個引數，而不關心資料包連線狀態變化的缺點，在防火牆的核心部分建立狀態連線表，並將進出網路的資料當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了資料包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。

　　閘道器防火牆的一個挑戰就是能處理的流量，狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術，使防火牆效能大幅度提升，能應用在各類網路環境中，尤其是在一些規則複雜的大型網路上。

　　任何一款高效能的防火牆，都會採用狀態檢測技術。

　　4. 複合型防火牆

　　複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆，進一步基於ASIC架構，把防病毒、內容過濾整合到防火牆裡，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火牆並不能防止隱蔽在網路流量裡的攻擊，在網路介面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網路與資訊保安的新思路。它在網路邊界實施OSI第七層的內容掃描，實現了實時在網路邊緣佈署病毒防護、內容過濾等應用層服務措施。

　　四類防火牆的對比包過濾防火牆：包過濾防火牆不檢查資料區，包過濾防火牆不建立連線狀態表，前後報文無關，應用層控制很弱。應用閘道器防火牆：不檢查IP、TCP報頭，不建立連線狀態表，網路層保護比較弱。狀態檢測防火牆：不檢查資料區，建立連線狀態表，前後報文相關，應用層控制很弱。複合型防火牆：可以檢查整個資料包內容，根據需要建立連線狀態表，網路層保護強，應用層控制細，會話控制較弱。

　　補充閱讀：防火牆主要使用技巧

　　一、所有的防火牆檔案規則必須更改。

　　儘管這種方法聽起來很容易，但是由於防火牆沒有內建的變動管理流程，因此檔案更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改，那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改，會導致宕機嗎?這是一個相當高發的狀況。

　　防火牆管理產品的中央控制檯能全面可視所有的防火牆規則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發現並修理故障，讓整個協議管理更加簡單和高效。

　　二、以最小的許可權安裝所有的訪問規則。

　　另一個常見的安全問題是許可權過度的規則設定。防火牆規則是由三個域構成的：即源***IP地址***，目的地***網路/子網路***和服務***應用軟體或者其他目的地***。為了確保每個使用者都有足夠的埠來訪問他們所需的系統，常用方法是在一個或者更多域內指定打來那個的目標物件。當你出於業務持續性的需要允許大範圍的IP地址來訪問大型企業的網路，這些規則就會變得許可權過度釋放，因此就會增加不安全因素。服務域的規則是開放65535個TCP埠的ANY。防火牆管理員真的就意味著為黑客開放了65535個攻擊向量?

　　三、根據法規協議和更改需求來校驗每項防火牆的更改。

　　在防火牆操作中，日常工作都是以尋找問題，修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題，應用新產品和業務部門的過程中，我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新稽核來確保它能符合安全協議和任何法規協議的內容和精神，而不僅是一篇法律條文。

　　四、當服務過期後從防火牆規則中刪除無用的規則。

　　規則膨脹是防火牆經常會出現的安全問題，因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們瞭解這些新規則，卻從來不會讓防火牆團隊知道他們不再使用某些服務了。瞭解退役的伺服器和網路以及應用軟體更新週期對於達成規則共識是個好的開始。執行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。