1、什么是防火墻?
我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。
而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統,其實原理是一樣的,也就是防止災難擴散。
應該說,在互聯網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區域(即Internet或有一定風險的網絡)與安全區域(局域網)的連接,同時不會妨礙人們對風險區域的訪問。所以它一般連接在核心交換機與外網之間。
如下圖,它的連接就可以看出,它基本上在內部網絡與外網之間,起到一個把關的作用。
2、防火墻的工作原理?
防火墻可以監控進出網絡的通信量,從而完成看似不可能的任務,僅讓安全、核準了的信息進入,同時又抵制對企業構成威脅的數據,
說白了,它就像一個守城隊,這個城處于緊張狀態,只能讓外界的良民進城,對城里的壞人進行盤點,不放走一個壞人。
隨著安全性問題上的失誤和缺陷越來越普遍,對網絡的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。
還來說城,
入城盤點:入侵者想要進入一座城,它有多種方式,打扮成各種方式入城,例如,假口令、假令牌,偽裝等。所以守城隊是防上這種可疑的人員入城的,另外對于城內百姓,也是禁止百姓靠近城內的主要防御設施。
出城監視:同時為了更好保護城內百姓,守城隊當然還需要打探城外的動向,了解到那些地方安全,那些地方有危險,然后規定普通百姓想要出城,有一些地方能去,有些地方有危險不能去。
因此,防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡,迫使單位強化自己的網絡安全政策。一般的防火墻都可以達到以下目的:
一是:可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;
二是:防止入侵者接近你的防御設施;
三是:限定用戶訪問特殊站點。
四是:為監視Internet安全提供方便。
三、防火墻的架構與工作方式?
防火墻可以使用戶的網絡劃規劃更加清晰明了,全面防止跨越權限的數據訪問,如果沒有防火墻的話,你可能會接到許許多多類似的報告,比如單位內部的財政報告剛剛被數萬個Email郵件炸爛。
一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。
1、屏蔽路由器:
是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。
這里面舉個例子:
一堆人來到一個快要開盤樓盤售樓部買房,售樓小姐先需要對你們進行大概的登記和了解,你是否有正規工作,是否是本市戶口,是否能正常貸款,首付多少、、、,當進行這一系列的問題后,售樓小姐會對來買房的人員進行一個過濾。
2、代理服務器:
是防火墻中的一個服務器進程,它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關,網關我們前天講到過,它就是一個關口。
一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP,同代理服務器打交道,代理服務器要求用戶提供其要訪問的遠程主機名。
當用戶答復并提供了正確的用戶身份及認證信息后,代理服務器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。
還來講買房:
當你已經符合買房的條件了,你要買到房,關鍵的環節就是貸款,這時售樓顧問就是網關,你提供完整的貸款資料(工資證明,收入明細等)給售樓顧問,售樓顧問會審核下,各條件都符合了,沒有問題的話,他就提交給銀行,貸款批下來了,房子就可以順利的買到了。
四、防火墻的功能?
局域網內部,不連接互聯網外網的一般是不需要防火墻,監控單獨一個網絡的時候才需要,一般都接在局域網內,通過路由器處的防火墻,而大型網絡連接外網的,是需要防火墻的。
一、為什么使用防火墻
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
二、防火墻的五大基礎的作用:
1.過濾進出網絡的數據
2.管理進出訪問網絡的行為
3.封堵某些禁止業務
4.記錄通過防火墻信息內容和活動
5.對網絡攻擊檢測和告警
、 初識網絡防火墻1.1、防火墻的基本功能我們這里說的防火墻(Firewall)是一種網絡設備,它在網絡中起到兩個最基本的功能:
· 劃分網絡的邊界
· 加固內網的安全
**劃分網絡的邊界**防火墻設備的其中一個功能,就是劃分網絡的邊界,嚴格地將網絡分為"外網"和"內網"。"外網"則是防火墻認為的——不安全的網絡,不受信任的網絡"內網"則是防火墻認為的——安全的網絡,受信任的網絡你可以這么打一個比喻:如果把網絡比作一個城市,那么"內網"就是你的小區內部,"外網"就是城市道路小區的圍墻就相當于是防火墻,起到了一個隔離"內部環境"和"外部環境"的功能
并且呢,任何一個防火墻設備,在設計上就會強制把"內部"和"外部"的概念。應用在接口上從內部訪問外部默認情況下是允許的,但是從外部訪問內部默認情況下是禁止的(需要設置相關策略才能從外部到內部訪問。)這種情況就像你到任何一個小區或者單位,你從里面出來的時候門衛一般不管你,但是如果想從外面進去,那可就不是那么回事了哦。
**加固網絡的安全**剛才說到了防火墻的其中一個功能,就是網絡流量流向的問題(內到外可以訪問,外到內默認不能訪問),這就從一定程度上加強了網絡的安全性,那就是:"內網屬于私有環境,外人非請莫入!"另外,防火墻還能從另外一些方面來加固內部網絡的安全**1、隱藏內部的網絡拓撲**這種情況用于互聯網防火墻。因為內網一般都會使用私有IP地址,而互聯網是Internet的IP地址。由于在IPv4環境下IP地址不足,內部使用大量的私有地址,轉換到外部少量的Internet地址,這樣的話,外部網絡就不會了解到內部網絡的路由,也就沒法了解到內部網絡的拓撲了。同時,防火墻上還會使用NAT技術,將內部的服務器映射到外部,所以從外部訪問服務器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內部地址。
**2、帶有安全檢測防御**這種功能并不是每一款防火墻都有安全檢測系統(intrusion detection system,簡稱"IDS")是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。 **3、會話日志功能**防火墻都有"會話記錄"功能,每一個數據包在經過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。比如10.112.100.101的主機在訪問外部網絡的時候,只要它訪問成功,都會被防火墻所記錄下來。如果是外部主機訪問內部呢?當然,在你的內部網絡遭受不安全以后,可以在防火墻上查到從外到內,到底是哪個IP地址非法闖入了。如果確實有外部非法闖入內部的訪問,也可以追查防火墻的安全策略設置,看看哪一條安全策略的設置有問題。雖然這看起來是一種"亡羊補牢"的做法,但是能查到危害源,總比你什么都查不到要好啊。1.2、防火墻在企業環境的應用1、互連網出口設備這估計是大家最能想到的一種用途吧。因為Internet就是一個最典型的"外網",當企業網絡接入Internet的時候,為了保證內部網絡不受來自外部的威脅侵害,就會在互聯網出口的位置部署防火墻。
2、分支機構接骨干網作邊界設備在電力行業、金融行業等大型跨地,跨省的企業時,為了企業中各個省級、地市級單位的內部數據通信通常都會自建一張骨干網絡。在每個省級、地市級單位辦公網絡接入骨干網時,就可以在網絡接入點部署防火墻,進一步提高每個單位的辦公網絡安全性。
3、數據中心內保護服務器數據中心(DataCenter)是為企業存放重要數據資料的,同時數據中心內會放置各種各樣功能不一的服務器。想要保證數據的安全,首先就要保證這些服務器的安全。物理上的安全嘛,你就防火防水防賊唄,應用上的安全,找殺毒軟件嘛;但是在網絡上防止,防止非授權人員操作服務器,就需要到防火墻來發揮作用了。一般在傳統的數據中心內,會根據不同的功能來決定服務器的分區,然后在每個分區和核心設備的連接處部署防火墻。
## 1.3、并不是任何場合都適合部署防火墻誰都知道安全性和方便性有時候會有那么一些沖突。你去坐飛機,會經過非常嚴格的安檢,沒個十幾二十分鐘完成不了;但是在坐高鐵,火車或者大巴的時候,安檢可能就沒那么嚴格了。防火墻作為一種網絡安全設備,部署在網絡中會對穿過防火墻的數據包進行攔截,然后確定它符合策略要求以后才會放行。這會對網絡傳輸效率造成一定影響。所以在一些十幾個人的小公司或者是網絡功能單一的環境(網絡就是用來上網用的)是不會使用防火墻的。加上企業級防火墻價格一般比較高(十幾萬到一百多萬不等的價格),在那些以節約成本為先的偏小型私人企業一般不會使用防火墻。所以防火墻一般用于數據中心,大型企業總部,國有企業省級、地區級辦公機構,帶有服務器區域的網絡環境或機密性較高的單位。二、防火墻的生廠商根據防火墻的部署方式,防火墻分為硬件防火墻和軟件防火墻兩種。硬件防火墻:防火墻是一臺網絡設備,獨立上架安裝使用。下圖為大家展示了思科的硬件防火墻,Cisco ASA和Cisco Firepower
軟件防火墻:用一臺多網卡服務器,安裝Windows或Linux操作系統,再在操作系統上安裝與防火墻相關的功能軟件。下圖為大家展示Microsoft ISA正在發布Exchange服務器
硬件防火墻的生產商很多,但是在國內大多數都是用以下幾種產品:
捷哥列出這些生產商也只是其中一部分,上述廠商的防火墻捷哥都接觸過,但是經常遇到的還是Cisco ASA,Juniper SRX,華為USG,天融信NGFW,迪普DPTec-FW1000這些設備。這里捷哥本人也不敢亂說誰好誰壞吧,只是經過一段時間的觀察,發現了這樣一個小小規律:一般來說Cisco ASA和Juniper SRX,華為USG,H3C FW,迪普FW系列用作內網防火墻較多,而天融信和深信服系列更多用于互聯網出口。軟件防火墻一般都是由軟件公司生產:Windows 自帶的防火墻(一般Windows都作終端使用,很少讓其作為路由設備轉發數據)Linux自帶的防火墻(Netfilter,管理工具叫IPtables)ISA/TMG(微軟軟件)Squid(開源軟件,更多的情況用于代理服務器)## 三、防火墻的分類防火墻按照功能和級別的不同,一般分類這么三類:* 包過濾型防火墻* 狀態檢測型防火墻* 代理型防火墻## 3.1、包過濾型防火墻這種防火墻只能實現最基礎的包過濾功能,按照既定的訪問控制列表對數據包的三、四層信息進行控制,詳細一點就是:三層信息:源IP地址,目標IP地址四層信息:源端口,目標端口這種情況其實用一個路由器或者三層交換機,配置ACL就能實現只有符合了條件的數據包才能被放行,不符合條件的數據包無論如何都不會被放行。但是包過濾型防火墻的性質就是那么"教條"與"頑固不化"!
如果是使用一個路由器,強行設置"從外部到內部拒絕所有流量"會有什么后果呢?
當然,外部的流量全部被ACL阻止了,但是這么設置在某些場合會造成網絡通信故障:比如內部的主機訪問外部TCP協議的服務,需要經過三次握手,其中第二次握手的流量就是從外部到內部的,如果單使用一個路由器的ACL實現包過濾,并且在外部接口配置拒絕所有流量進入,就會導致三次握手無法完成,從而內部主機訪問不到外部的服務。
第一次握手,內部主機10.112.100.101使用隨機端口10025訪問外部的WebServer`200.100.1.2的TCP 80`三層信息源IP地址:10.112.100.101目標IP地址:200.100.1.2源端口:TCP 10025目標端口:TCP 80由于內部接口放行所有流量,所以這個第一次握手的流量被放行了
第二次握手,外部主機200.100.1.2的被動地TCP 80發出相應,將第二次握手的數據包傳回到10.112.100.101的TCP 10025端口上,此時三層信息源IP地址:200.100.1.2目標IP地址:10.112.100.101源端口:TCP 80目標端口:TCP 10025但是外部接口拒絕了所有流量的進入,所以這個第二次握手的包無法送到內部主機,導致三次握手無法完成。從而主機就沒法訪問外部Web Server了
由于TCP連接時,內部主機在發起第一次握手時總是以隨機端口進行連接,所以你在外部也沒法針對相應的端口進行流量的放行,但是如果把外部接口也改為permit ip any any,又會導致內部主機容易受到外部的侵害。
說到這里,捷哥想說一句題外話曾經有一個學員網友問了我一個問題,說是在企業部署了一臺Cisco 6509交換機作為匯聚設備。但是他又想實現這樣的一個功能,看圖吧:
網友的意思是,想在Gi 2/1接口上做一些控制,只允許來自核心方面的流量訪問辦公區域的一些特定端口,其他的全部禁止訪問,問我在這個Cisco 6509上怎么做。我告訴他的是:"如果設備是交換機的話,你這個操作沒法做。因為辦公區的電腦訪問外網或者內網服務器的時候,會打開一些隨機端口,你就沒法知道這些隨機端口是什么。如果你隨便在Gi 2/1接口上去做限制,會導致你辦公區域的電腦根本沒法上網。"## 3.2、狀態檢測型防火墻狀態檢測型防火墻就是為了解決"傻×"的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層"狀態檢測"功能。狀態化檢測型防火墻可以識別出主動流量和被動流量,如果主動流量是被允許的,那么被動流量也是被允許的。例如TCP的三次握手中,第一次流量是主動流量,從內到外,第二次流量就是從外到內的被動流量,這可以被狀態監測型防火墻識別出并且放行。狀態監測型防火墻會有一張"連接表",里面記錄合法流量的信息。當被動流量彈回時,防火墻就會檢查"連接表",只要在"連接表"中查到匹配的記錄,就會放行這個流量
第一次握手,內部主機10.112.100.101使用隨機端口10025訪問外部的WebServer200.100.1.2的TCP 80三層信息源IP地址:10.112.100.101目標IP地址:200.100.1.2源端口:TCP 10025目標端口:TCP 80由于內部接口放行所有流量,所以這個第一次握手的流量被放行了但此時,防火墻在連接表中生成了如下內容:
第二次握手時,是外部主機被動彈回的流量源地址(外部):200.100.1.2源端口(外部):TCP 80目標地址(內部):10.112.100.101目標端口(內部):TCP 10025此時,防火墻會暫時攔截流量,然后檢查連接表,看看內部主機的IP和端口,外部主機的IP和端口是否與連接表中記錄的相同,如果相同,它就會放行這個流量。當然,形成連接表記錄的先決條件是:主動發起訪問一端的流量要符合防火墻的安全策略要求,也就是說內部網絡向外部網絡不被明確拒絕,外部網絡訪問內部網絡被明確允許。只有連接表內記錄了內外主機和IP端口信息的,被動彈回的流量才會被防火墻放行。如果是外部主動發起的流量,而防火墻又沒有允許它訪問內部,由于是外部主動發起的流量,所以防火墻的連接表里沒有相應的信息,這就會遭到防火墻的拒絕。從而達到既保證了內部到外部的正常通信,又使得內部主機不受到外部的侵犯,這就是狀態檢測型防火墻的魅力所在。目前主流的硬件防火墻幾乎都支持狀態監測功能。## 3.3、代理型防火墻代理型防火墻一般是一個安裝在多網卡服務器上的軟件,擁有狀態監測的功能,但是多了一項功能就是代理服務器功能。一般有正向代理和反向代理兩種功能:**正向代理**正向代理用于內部主機訪問Internet服務器的時候,特別是Web服務的時候很管用。當內部主機第一次訪問外部的Web服務器時,代理服務器會將訪問后的內容放在自己的"高速緩存"中,當內部主機再次訪問該Web服務器的時候,如果有相同的內容,代理服務器就會將這個訪問定位到自己的高速緩存,從而提升內部主機的訪問速度。
代理型防火墻的代理功能可以在內部主機訪問Web數據的時候,起到一個緩存加速的情況。但是這種防火墻因為是安裝在一臺服務器上的軟件,其性能受到服務器本身的限制。所以對于一些實時性的數據,或者是從網上下載文件到本地,就可能會被防火墻拖慢網速。目前代理型防火墻在企業一般很少用于正向代理或者是出口網關設備,倒是反向代理更多。**反向代理**反向代理和正向代理有點類似,只不過訪問的方向是外部到內部。當外部主機要訪問內部發布的某個服務器的時候,不會讓它把訪問目標定位到內部服務器上,而是反向代理設備上。反向代理設備會從真實的服務器上抽取數據到自己的緩存中,起到保護真實服務器的功能。反向代理一般單獨部署,不和狀態檢測防火墻部署在一起,各自實現各自的功能。
反向代理在一定程度上可以保護內部的真實服務器,即使遭到危險,也是反向代理被危及被破壞的數據也是緩存。并且反向代理服務器上可能會記錄對方的危險方式,找出網絡系統中存在的缺陷,提醒管理員即使封阻漏洞,修復缺陷。
# 四、關于防火墻的學習方法## 4.1、理解原理,掌握技巧(了解原理,查閱手冊)因為防火墻生產廠商比較多,把每個廠商的防火墻的配置命令和設置方式都拿出來一個一個的說,這個非常不現實。因為在企業內部的防火墻都是生產環境,我不可能那生產環境的防火墻來給大家做試驗品,一來這可能導致網絡故障(責任我背不起啊!)二來我和客戶簽了保密協議,出于職業道德我也不能把這些配置都展示給大家。進口防火墻產品因為是全英文的手冊復雜,但是有著一套比較完善的模擬器系統,可以幫助大家理解防火墻的特性和配置方式,所以,捷哥在這個專欄里面,著重用兩款進口產品(Cisco和Juniper)為大家展示防火墻特性的一些配置及驗證。國內的防火墻產品,捷哥也會在專欄的文章里面體現到。因為國內的產品缺少模擬器,而且實際環境多半是Web界面進行配置,所以對于國內的防火墻產品捷哥重點是教大家如何去查閱手冊(國內產品一定是全中文手冊,非常容易看懂)。## 2、抓住重點,切勿混淆這一點是針對于學過路由交換的讀者說的。曾經捷哥在51cto學院出了一個跟Juniper相關的視頻課程,結果被人打了差評,原因就是我沒有講在防火墻上如何配置OSPF、BGP這些路由協議。在這里我必須給大家強調一下,因為防火墻從最初的設計上來講,就是為了作為網絡邊界設備和安全設備。防火墻的工作重點是在處理包過濾及狀態化會話,以及兼顧一些安全檢測的功能,對路由處理能力并不強。在實際的企業部署中,一般是不會在防火墻上去跑動態路由的。所以,學習防火墻,重點技術就是在安全策略,NAT,以及一些安全的配置還有防火墻雙機熱備上面。## 3、經驗只可借鑒不可照搬防火墻位于網絡的關鍵位置,特別是數據中心的防火墻。一般來說,在企業中運維防火墻的話,防火墻的變更操作會很多,一般都會在安全策略,ACL的地方進行變更操作。所以要玩好防火墻,技術之外的技巧,例如腳本技巧,文本技巧要大于技術之內。捷哥會給大家介紹一些如何去對一些陌生的防火墻廠商的快速上手技巧,大家可以靈活借鑒,但不可生搬硬套哦。還有呢,防火墻很多時候查看多余配置。對于進口防火墻來說,如何在全英文的界面下抓住重點,從查看到的內容中找到關鍵信息和關鍵參數,這也是需要一點點小小的技巧的。當然啦,大家不要只盯著configure,學會show和display也同樣重要。
火墻作為一項重要的網絡安全措施,主要用來保護整個計算機網絡不受未經授權的訪問、入侵以及敏感數據的外泄。常見的防火墻架構通常涉及到屏蔽路由器及代理服務器等組件。作為網絡安全防護設備,它的作用在于在內部網絡與外部網絡,或者專用網絡與公用網絡交互的邊界區域上構建起一種保護區塊,同時為網絡提供路由選擇、網絡地址轉換(NAT)、端口映射、安全策略設定、虛擬專用網(VPN)等等多種功能服務。
當您想要激活計算機內置的防火墻時,通常可借助系統設置來實現。譬如在Windows操作系統中,您可以打開系統控制面板,接著切換至"系統和安全"選項卡,在其中查找并點擊"Windows防火墻"部分,隨后啟動"啟用或關閉Windows防火墻"這一功能,最后選中"啟用Windows防火墻"這一選項即可。至于使用Ubuntu的用戶,則可以采用終端輸入指令"sudo ufw enable"的方式來啟動防火墻。但若要在Docker主機上啟用防火墻時,請務必非常留意添加相應的策略規則,以保證各個端口能夠順利進行通信傳輸。
當我們開啟電腦的防火墻時,還需特別注意遵循以下幾個要點:
首先,要確保防火墻設置的安全級別適當,包括合理設立防火墻規則等方面;
其次,為了抵御不斷演變的新型網絡攻擊方式,必須持續及時地更新升級防火墻版本;
第三,密切關注防火墻的日志記錄,追蹤通過防火墻的各類信息內容及行動軌跡,并借此實現對網絡威脅的實時監測和警報提醒;再者,定期檢視防火墻當前狀況,確保其始終處于穩健且可靠的工作狀態;
第四點,若發現防火墻無法有效阻止某些網絡攻擊行為,應當立刻采取其他網絡安全防范措施,例如安裝防病毒軟件、提升操作系統版本等;
最后,值得指出的是,盡管防火墻在保護網絡的安全性上起著至關重要的作用,但是它并非全能神器,仍需與其他安全措施,比如數據加密、身份驗證、訪問控制等方面聯合發揮作用,才能構建立體化、完善的安全防護體系。