網(wǎng)絡(luò)安全設(shè)備之“防火墻”

前言：在企業(yè)安全中，防火墻在整個企業(yè)網(wǎng)絡(luò)中占有很重要的地位，那么什么是防火墻？有什么作用？具體是怎么工作的？下面將來跟大家一起探討一下。

防火墻的基本概念：

一、定義：是一款具備安全防護(hù)功能的網(wǎng)絡(luò)設(shè)備。

二、作用：

1.網(wǎng)絡(luò)隔離：將要保護(hù)的網(wǎng)絡(luò)與不信任的網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)

2.流量控制：對進(jìn)出防火墻的數(shù)據(jù)流進(jìn)行限制

3.記錄分析：對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息（必須配置相關(guān)策略才進(jìn)行相關(guān)信息記錄）

三、基本功能：

1.訪問控制：主要在2,3,4層的進(jìn)行訪問控制

2.攻擊防護(hù)：ARP泛洪，icmp泛洪，ARP欺騙，DDOS攻擊，IPSpoofing攻擊等等，主要分布在2,3層的網(wǎng)絡(luò)攻擊，某些防火墻集成了應(yīng)用層檢查，可對http鏈接與域名進(jìn)行訪問控制，需要注意不是完全工作在2-4層。

3.冗余設(shè)計：HSRP，VRRP，HA（有負(fù)載與單活模式-個人感覺單活模式有點資源浪費(fèi)，但好處是避免了硬件故障導(dǎo)致的網(wǎng)絡(luò)可用性降低）三層冗余，STP等二層冗余。

4.路由，交換：路由與交換功能。

5.日志記錄：配置相關(guān)流量記錄策略功能，形成流量訪問記錄日志。

6.虛擬專網(wǎng)VPN：VPN功能（有的不支持）

7.NAT/IP映射：內(nèi)部地址轉(zhuǎn)換功能與內(nèi)外網(wǎng)IP地址對應(yīng)。

四、防火墻分類：

  1.從表現(xiàn)形式上分：

     （1）硬件防火墻：專門做網(wǎng)絡(luò)數(shù)據(jù)包過濾的，通?；谟布崿F(xiàn)的

     （2）軟件防火墻：例如Windows防火墻，Linux的iptables防火墻，或其他的基于軟件實現(xiàn)的防火墻

     （3）芯片級防護(hù)墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片使得處理速度更快，常見的有NetScreen、FortiNet、Cisco等。

    2. 從技術(shù)應(yīng)用上分：

   （1）包過濾防火墻：也叫分組防火墻，初期防火墻，基于ACL實現(xiàn)，工作在3層，需要放行出去，及回包策略（已經(jīng)被淘汰)

   （2）狀態(tài)檢測防火墻：工作在4層，根據(jù) TCP的狀態(tài)，TCP狀態(tài)重新裝載實現(xiàn)，回包依據(jù)前一個會話狀態(tài)的數(shù)據(jù)交互實現(xiàn)，只需要放行去哪兒的包，哪兒給它的回包根據(jù)會話表自動放行。（目前較為常用的一種）

  （3）應(yīng)用層防火墻：工作在應(yīng)用層，可以檢測木馬，病毒，SQL注入，XSS，或過濾某個鏈接等。（此處請注意“應(yīng)用層防火墻”與“Web應(yīng)用防火墻”的區(qū)別，Web應(yīng)用防火墻，數(shù)據(jù)庫防火墻此類防火墻具有特定的應(yīng)用防護(hù)特點）

 （4）應(yīng)用代理防火墻：較大程度地隔絕通信兩端的直接通信，所有通信都要由應(yīng)用層代理層轉(zhuǎn)發(fā)，訪問者不允許與服務(wù)器建立直接的TCP連接，也不是所有的應(yīng)用都可以代理，比如QQ，F(xiàn)TP等，常見代理有Http,https代理等。（此處概念摘自百度及其他地方，部分符合個人觀點）。

 （5）下一代防火墻：集成了各個模塊，比如，從二層的安全防護(hù)，DNS保護(hù)，ARP攻擊，三層的spoofing攻擊，DDOS，到應(yīng)用層攻擊，病毒，木馬，蠕蟲，XSS，SQL注入，郵件病毒檢測，IDS，IPS，VPN等，集成了大規(guī)模的模塊化應(yīng)用的防火墻，目前并未大量應(yīng)用，處于研究發(fā)展階段。

此外還有根據(jù)性能劃分的防火墻種類，大致分為，百兆，千兆，萬兆等類型。

五、防火墻性能衡量指標(biāo)：  

1.吞吐量：在不丟包的情況下單位時間內(nèi)通過數(shù)據(jù)包的數(shù)量

2.時延（也叫延時)：數(shù)據(jù)包從第一個比特進(jìn)入防火墻到最后一比特從防火墻輸出的時間間隔

3.丟包率：通過防火墻傳送時所丟失的數(shù)據(jù)包占所發(fā)送數(shù)據(jù)包的比率

4.并發(fā)連接數(shù)：防火墻能夠處理點對點最大連接數(shù)的數(shù)目

5.新建連接數(shù)：在不丟包的情況，每秒鐘能夠建立的最大連接數(shù)量

防火墻的區(qū)域：

1.內(nèi)部區(qū)域（inside zone）：內(nèi)網(wǎng)區(qū)域，可信度最高。

2.DMZ區(qū)域(demilitarized zone)： 稱為隔離區(qū)，非軍事化區(qū)域/?；饏^(qū)，可信度為中。

3.外部區(qū)域(outside zone)：外網(wǎng)區(qū)域，可信度最低。

劃分區(qū)域的原因：更好的管控流量，降低明細(xì)的防火墻策略配置，當(dāng)把某接口劃分到某區(qū)域接口時，則改接口下所有的網(wǎng)絡(luò)或主機(jī)都?xì)w屬為此區(qū)域內(nèi)的資源。

    各個防火墻廠商對基本的三個區(qū)域之間的流量管控默認(rèn)是不一樣的，例如cisco默認(rèn)高可信區(qū)域流量可以流向低可信區(qū)域，但低可信區(qū)域的流量將禁止流向高可信區(qū)域；天融信防火墻（沒有默認(rèn)區(qū)域概念），區(qū)域認(rèn)為進(jìn)行劃分，默認(rèn)全部為禁止，需要手動開啟相應(yīng)流量管控；可能H3C，網(wǎng)御等等一大堆又是另外一個標(biāo)準(zhǔn)，因此，只需要明白區(qū)域劃分的概念與好處即可。

重點聊一下DMZ區(qū)：DMZ區(qū)域，這個區(qū)域需要外部用戶與內(nèi)部用戶的同時訪問，因此DMZ區(qū)是外所有人開放的狀態(tài)，然而，對于DMZ區(qū)的流量，可能需要管控服務(wù)器的外出流量，很多單位是不允許DMZ區(qū)流量主動向外發(fā)起，從而減少了一些網(wǎng)絡(luò)攻擊的風(fēng)險。如只對內(nèi)外用戶開放業(yè)務(wù)端口，將管理端口開放給運(yùn)維堡壘主機(jī)等，嚴(yán)格得從網(wǎng)絡(luò)層面減少了攻擊面，一定程度增加了惡意者攻擊難度；如果業(yè)務(wù)與數(shù)據(jù)庫分離，那么，需要對DMZ域服務(wù)器到數(shù)據(jù)庫端口的流量放行，因此DMZ域的流量大致如此，如需特殊的需求，則需要對DMZ區(qū)服務(wù)器的訪問需求控制到端口級，在此先說這么多，在以后的篇章中，我們將出網(wǎng)絡(luò)及應(yīng)用安全部署的基本要求專題探討。

防火墻的部署模式：

1.透明模式：只做流量過濾，這種模式不改變網(wǎng)絡(luò)結(jié)構(gòu)，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)影響最小，這種模式一般不部署在邊界，此種模式可以看做帶有安全策略的交換機(jī)。

2.路由模式：接口配置IP地址，改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，至少改變網(wǎng)段，而且需要配置路由（靜態(tài)或動態(tài)），在擁有著路由器功能的同時，還帶有流量安全管控功能。

3.混雜模式：防火墻的接口中，既有二層接口，還有三層接口，還有trunk接口，物理接口可以配置子接口。

我一般喜歡稱為4種模式，透明，路由，混合，Trunk模式，根據(jù)個人喜好進(jìn)行區(qū)分，明白原理即可，access模式可以根據(jù)實際VLAN進(jìn)行VLAN劃分的，因此也有二層接口配置trunk的，在trunk配置中，可以配置允許哪些VLAN數(shù)據(jù)通過。

常見部署模式：其中之一，NAT模式，如下圖：

雙機(jī)熱備模式，如下圖：（如需劃分其他區(qū)域，將在防火墻配置接口，并接入相應(yīng)交換機(jī)即可）

Trunk模式：

      此外還有VPN模式，VPN，后面將會出VPN專題，供大家參考。

防火墻有白名單與黑名單模式，最后在這里跟大家探討一下：

白名單：默認(rèn)所有流量都是惡意流量，只有經(jīng)過申請，并確認(rèn)為安全的流量才予以開放訪問的策略，較多見，常見。推薦使用白名單模式。

黑名單：默認(rèn)所有流量全為善意流量，發(fā)現(xiàn)惡意流量后，對惡意地址進(jìn)行加入黑名單，予以禁止。

最佳實踐是：在白名單基礎(chǔ)上，因為對外發(fā)布的應(yīng)用需要內(nèi)外網(wǎng)用戶訪問，因此是需要any訪問應(yīng)用web的，但發(fā)現(xiàn)在any中有IP進(jìn)行對web進(jìn)行惡意掃描，攻擊嘗試時，予以在permit any-->應(yīng)用端口的策略之前開啟黑明單策略，將內(nèi)網(wǎng)惡意IP地址加入到黑名單策略。最底層默認(rèn)策略any --->any 禁止即可。