網(wǎng)絡(luò)安全設(shè)備之“防火墻”

前言：在企業(yè)安全中，防火墻在整個(gè)企業(yè)網(wǎng)絡(luò)中占有很重要的地位，那么什么是防火墻？有什么作用？具體是怎么工作的？下面將來(lái)跟大家一起探討一下。

防火墻的基本概念：

一、定義：是一款具備安全防護(hù)功能的網(wǎng)絡(luò)設(shè)備。

二、作用：

1.網(wǎng)絡(luò)隔離：將要保護(hù)的網(wǎng)絡(luò)與不信任的網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)

2.流量控制：對(duì)進(jìn)出防火墻的數(shù)據(jù)流進(jìn)行限制

3.記錄分析：對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息（必須配置相關(guān)策略才進(jìn)行相關(guān)信息記錄）

三、基本功能：

1.訪問(wèn)控制：主要在2,3,4層的進(jìn)行訪問(wèn)控制

2.攻擊防護(hù)：ARP泛洪，icmp泛洪，ARP欺騙，DDOS攻擊，IPSpoofing攻擊等等，主要分布在2,3層的網(wǎng)絡(luò)攻擊，某些防火墻集成了應(yīng)用層檢查，可對(duì)http鏈接與域名進(jìn)行訪問(wèn)控制，需要注意不是完全工作在2-4層。

3.冗余設(shè)計(jì)：HSRP，VRRP，HA（有負(fù)載與單活模式-個(gè)人感覺(jué)單活模式有點(diǎn)資源浪費(fèi)，但好處是避免了硬件故障導(dǎo)致的網(wǎng)絡(luò)可用性降低）三層冗余，STP等二層冗余。

4.路由，交換：路由與交換功能。

5.日志記錄：配置相關(guān)流量記錄策略功能，形成流量訪問(wèn)記錄日志。

6.虛擬專(zhuān)網(wǎng)VPN：VPN功能（有的不支持）

7.NAT/IP映射：內(nèi)部地址轉(zhuǎn)換功能與內(nèi)外網(wǎng)IP地址對(duì)應(yīng)。

四、防火墻分類(lèi)：

  1.從表現(xiàn)形式上分：

     （1）硬件防火墻：專(zhuān)門(mén)做網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾的，通常基于硬件實(shí)現(xiàn)的

     （2）軟件防火墻：例如Windows防火墻，Linux的iptables防火墻，或其他的基于軟件實(shí)現(xiàn)的防火墻

     （3）芯片級(jí)防護(hù)墻：芯片級(jí)防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片使得處理速度更快，常見(jiàn)的有NetScreen、FortiNet、Cisco等。

    2. 從技術(shù)應(yīng)用上分：

   （1）包過(guò)濾防火墻：也叫分組防火墻，初期防火墻，基于ACL實(shí)現(xiàn)，工作在3層，需要放行出去，及回包策略（已經(jīng)被淘汰)

   （2）狀態(tài)檢測(cè)防火墻：工作在4層，根據(jù) TCP的狀態(tài)，TCP狀態(tài)重新裝載實(shí)現(xiàn)，回包依據(jù)前一個(gè)會(huì)話狀態(tài)的數(shù)據(jù)交互實(shí)現(xiàn)，只需要放行去哪兒的包，哪兒給它的回包根據(jù)會(huì)話表自動(dòng)放行。（目前較為常用的一種）

  （3）應(yīng)用層防火墻：工作在應(yīng)用層，可以檢測(cè)木馬，病毒，SQL注入，XSS，或過(guò)濾某個(gè)鏈接等。（此處請(qǐng)注意“應(yīng)用層防火墻”與“Web應(yīng)用防火墻”的區(qū)別，Web應(yīng)用防火墻，數(shù)據(jù)庫(kù)防火墻此類(lèi)防火墻具有特定的應(yīng)用防護(hù)特點(diǎn)）

 （4）應(yīng)用代理防火墻：較大程度地隔絕通信兩端的直接通信，所有通信都要由應(yīng)用層代理層轉(zhuǎn)發(fā)，訪問(wèn)者不允許與服務(wù)器建立直接的TCP連接，也不是所有的應(yīng)用都可以代理，比如QQ，F(xiàn)TP等，常見(jiàn)代理有Http,https代理等。（此處概念摘自百度及其他地方，部分符合個(gè)人觀點(diǎn)）。

 （5）下一代防火墻：集成了各個(gè)模塊，比如，從二層的安全防護(hù)，DNS保護(hù)，ARP攻擊，三層的spoofing攻擊，DDOS，到應(yīng)用層攻擊，病毒，木馬，蠕蟲(chóng)，XSS，SQL注入，郵件病毒檢測(cè)，IDS，IPS，VPN等，集成了大規(guī)模的模塊化應(yīng)用的防火墻，目前并未大量應(yīng)用，處于研究發(fā)展階段。

此外還有根據(jù)性能劃分的防火墻種類(lèi)，大致分為，百兆，千兆，萬(wàn)兆等類(lèi)型。

五、防火墻性能衡量指標(biāo)：  

1.吞吐量：在不丟包的情況下單位時(shí)間內(nèi)通過(guò)數(shù)據(jù)包的數(shù)量

2.時(shí)延（也叫延時(shí))：數(shù)據(jù)包從第一個(gè)比特進(jìn)入防火墻到最后一比特從防火墻輸出的時(shí)間間隔

3.丟包率：通過(guò)防火墻傳送時(shí)所丟失的數(shù)據(jù)包占所發(fā)送數(shù)據(jù)包的比率

4.并發(fā)連接數(shù)：防火墻能夠處理點(diǎn)對(duì)點(diǎn)最大連接數(shù)的數(shù)目

5.新建連接數(shù)：在不丟包的情況，每秒鐘能夠建立的最大連接數(shù)量

防火墻的區(qū)域：

1.內(nèi)部區(qū)域（inside zone）：內(nèi)網(wǎng)區(qū)域，可信度最高。

2.DMZ區(qū)域(demilitarized zone)： 稱(chēng)為隔離區(qū)，非軍事化區(qū)域/停火區(qū)，可信度為中。

3.外部區(qū)域(outside zone)：外網(wǎng)區(qū)域，可信度最低。

劃分區(qū)域的原因：更好的管控流量，降低明細(xì)的防火墻策略配置，當(dāng)把某接口劃分到某區(qū)域接口時(shí)，則改接口下所有的網(wǎng)絡(luò)或主機(jī)都?xì)w屬為此區(qū)域內(nèi)的資源。

    各個(gè)防火墻廠商對(duì)基本的三個(gè)區(qū)域之間的流量管控默認(rèn)是不一樣的，例如cisco默認(rèn)高可信區(qū)域流量可以流向低可信區(qū)域，但低可信區(qū)域的流量將禁止流向高可信區(qū)域；天融信防火墻（沒(méi)有默認(rèn)區(qū)域概念），區(qū)域認(rèn)為進(jìn)行劃分，默認(rèn)全部為禁止，需要手動(dòng)開(kāi)啟相應(yīng)流量管控；可能H3C，網(wǎng)御等等一大堆又是另外一個(gè)標(biāo)準(zhǔn)，因此，只需要明白區(qū)域劃分的概念與好處即可。

重點(diǎn)聊一下DMZ區(qū)：DMZ區(qū)域，這個(gè)區(qū)域需要外部用戶與內(nèi)部用戶的同時(shí)訪問(wèn)，因此DMZ區(qū)是外所有人開(kāi)放的狀態(tài)，然而，對(duì)于DMZ區(qū)的流量，可能需要管控服務(wù)器的外出流量，很多單位是不允許DMZ區(qū)流量主動(dòng)向外發(fā)起，從而減少了一些網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。如只對(duì)內(nèi)外用戶開(kāi)放業(yè)務(wù)端口，將管理端口開(kāi)放給運(yùn)維堡壘主機(jī)等，嚴(yán)格得從網(wǎng)絡(luò)層面減少了攻擊面，一定程度增加了惡意者攻擊難度；如果業(yè)務(wù)與數(shù)據(jù)庫(kù)分離，那么，需要對(duì)DMZ域服務(wù)器到數(shù)據(jù)庫(kù)端口的流量放行，因此DMZ域的流量大致如此，如需特殊的需求，則需要對(duì)DMZ區(qū)服務(wù)器的訪問(wèn)需求控制到端口級(jí)，在此先說(shuō)這么多，在以后的篇章中，我們將出網(wǎng)絡(luò)及應(yīng)用安全部署的基本要求專(zhuān)題探討。

防火墻的部署模式：

1.透明模式：只做流量過(guò)濾，這種模式不改變網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)影響最小，這種模式一般不部署在邊界，此種模式可以看做帶有安全策略的交換機(jī)。

2.路由模式：接口配置IP地址，改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，至少改變網(wǎng)段，而且需要配置路由（靜態(tài)或動(dòng)態(tài)），在擁有著路由器功能的同時(shí)，還帶有流量安全管控功能。

3.混雜模式：防火墻的接口中，既有二層接口，還有三層接口，還有trunk接口，物理接口可以配置子接口。

我一般喜歡稱(chēng)為4種模式，透明，路由，混合，Trunk模式，根據(jù)個(gè)人喜好進(jìn)行區(qū)分，明白原理即可，access模式可以根據(jù)實(shí)際VLAN進(jìn)行VLAN劃分的，因此也有二層接口配置trunk的，在trunk配置中，可以配置允許哪些VLAN數(shù)據(jù)通過(guò)。

常見(jiàn)部署模式：其中之一，NAT模式，如下圖：

雙機(jī)熱備模式，如下圖：（如需劃分其他區(qū)域，將在防火墻配置接口，并接入相應(yīng)交換機(jī)即可）

Trunk模式：

      此外還有VPN模式，VPN，后面將會(huì)出VPN專(zhuān)題，供大家參考。

防火墻有白名單與黑名單模式，最后在這里跟大家探討一下：

白名單：默認(rèn)所有流量都是惡意流量，只有經(jīng)過(guò)申請(qǐng)，并確認(rèn)為安全的流量才予以開(kāi)放訪問(wèn)的策略，較多見(jiàn)，常見(jiàn)。推薦使用白名單模式。

黑名單：默認(rèn)所有流量全為善意流量，發(fā)現(xiàn)惡意流量后，對(duì)惡意地址進(jìn)行加入黑名單，予以禁止。

最佳實(shí)踐是：在白名單基礎(chǔ)上，因?yàn)閷?duì)外發(fā)布的應(yīng)用需要內(nèi)外網(wǎng)用戶訪問(wèn)，因此是需要any訪問(wèn)應(yīng)用web的，但發(fā)現(xiàn)在any中有IP進(jìn)行對(duì)web進(jìn)行惡意掃描，攻擊嘗試時(shí)，予以在permit any-->應(yīng)用端口的策略之前開(kāi)啟黑明單策略，將內(nèi)網(wǎng)惡意IP地址加入到黑名單策略。最底層默認(rèn)策略any --->any 禁止即可。