一、防火墙基本概念
在网络安全等保工作中,防火墙是不可或缺的刚需安全设备。
防火墙这一设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。在网络通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。
防火墙
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。
二、防火墙与交换机、路由器功能对比
以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。
路由器作用是路由的分发、寻址和转发,构建外部连接网络。
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
防火墙部署
数据转发流程
网络安全架构
防火墙一般部署在边界进行不同安全区域间隔离与防护。
三、防火墙发展历程与类别
防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:
访问控制越来越精细
防护能力越来越强
性能越来越高
防火墙发展历程
早期的包过滤防火墙仅实现访问控制就可以满足初期网络隔离的诉求。
随后的状态检测防火墙(也称为传统防火墙)集成了TCP/UDP和应用状态的检测能力,实现了L3-L4层的防护。它引入了策略的概念,把处理的目标从包转向了流,从而拥有更高的处理效率。
2004年出现了将传统防火墙、内容安全(防病毒、IPS和URL过滤等)和VPN等功能集合到一起的UTM设备。每个模块独立运行,每次检测都需要重新拆包检查,检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度,比较适合小中型企业。
由于WEB应用越来越多,应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议,有人可能在查学习资料,有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时,拥有应用识别技术的NGFW(下一代防火墙)应运而生,它可以区分流量对应的应用,即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成,并行处理,解决了UTM设备需要逐个模块处理报文,性能低下的问题。不过,大部分情况下,UTM和NGFW不包含Web应用防火墙(WAF)的能力。
从传统防火墙到NGFW经历的是网络攻击从网络层走向应用层的过程。在大数据和人工智能时代,NGFW必须向平台化和智能化不断演进。
3.1 包过滤防火墙:
包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(Access Control List,ACL)实施数据包的过滤。
包过滤防火墙的缺点主要表现以下几点:
随着ACL复杂度和长度的增加,其过滤性能呈指数下降;
静态的ACL规则难以适应动态的安全要求;
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
包过滤防火墙
包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。不能过滤应用,而且性能随着ACL增加而降低。
3.2 状态检测防火墙:
状态检测是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文。
状态检测防火墙就是支持状态检测功能的防火墙。
状态检测防火墙通过对连接的首个数据包(后续简称首包)检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制(转发或阻塞)。
NGFW也是状态检测防火墙的一种。NGFW在内容安全和处理性能有极大的提升。
状态检测防火墙
现在主流防火墙也属于状态检测防火墙、能够基于应用和用户特征等进行匹配,性能更高。常说的NGFW下一代防火墙其实是多种功能的集合,在状态检测防火墙的基础上增加了一些入侵检测、入侵防御、应用识别等功能的安全设备。
总结:防火墙一般用于出口或者企业网内部不同区域间的隔离,通过五元组或者状态检测机制进行流量的监控识别,针对不同的流量执行不同的动作,有包过滤防火墙和状态检测防火墙、下一代防火墙等。防火墙也具备路由和交换功能,通过模块化集成入侵检测、入侵防御、应用识别等功能。