本帖最后由 fengye 于 2013-5-6 15:15 编辑
第1章防火墙技术介绍 1.1 防火墙与安全区域 网络安全中的防火墙得名于日常生活中的防火墙,日常生活中的防火墙的主要目的就是防止一个房间里的火势蔓延到其它房间,由此可知网络安全中的防火墙的主要目的是防止网络威胁从一个安全区域蔓延到其它安全区域。 1.1.1 安全区域介绍 安全区域就是网络中拥有不同安全等级的网络区域,例如:服务器网络区域,财务部网络区域等等。在Cisco防火墙中使用得最多的安全区域名字主要是"Inside" ﹑"Outside"还有多个"DMZ"。Inside区域表示公司内部最重要的网络区域,例如:服务器区域或者财务部区域;Outside区域表示非信任网络,例如:互联网;DMZ区域可以有多个,用于放置一些对互联网提供服务的服务器,或者VPN设备。 1.1.2 DMZ区域介绍 DMZ(demilitarized zone)区域就是所谓的非军事化区域。世界上最有名的DMZ区域位于朝韩之间,就是俗称的三八线,用于在两国之间做军事缓冲的区域。网络中的DMZ区域和军事上的DMZ区域在作用上有很大的不同,它主要用于放置对互联网提供服务的服务器或者VPN设备。我们可以试想一下,如果没有DMZ区域我们的服务器只能放在Outside或者Inside区域。如果放在Outside区域,如图1-1所示 图1-1 服务器放在Outside区域示意图 在这种情况下,防火墙不对服务器进行任何的保护,服务器直接遭受源自于互联网的攻击,所以这种方案是不可取的。既然第一种方案不可取,那么我们尝试把服务器放在Inside区域,如图1-2所示, 图1-2 服务器放在Inside区域示意图 处于Inside区域的服务器虽然能够接受防火墙有效的保护,但是这种保护并不会提供绝对的安全。一旦服务器被攻破,由于服务器位于公司的Inside区域,黑客可以使用服务器为跳板对Inside区域直接发起攻击,对Inside网络带来了安全威胁。因此,把服务器放在Inside区域也不是一种可取的方案。 最推荐服务器放置的位置为DMZ区域。DMZ可以采用两种不同的网络设计方案,一种为双层防火墙解决方案,如图1-3所示,一种为第三接口解决方案,如图1-4所示。 图1-3 DMZ区域双层防火墙设计示意图 图1-4 DMZ区域第三接口设计示意图 不管是那种设计方案,防火墙都能够有效的保护服务器,并且在当服务器被攻破的情况下,阻止安全威胁从DMZ区域蔓延到Inside区域。双层防火墙的拓扑看起来更像古代的两道城墙,当进攻开始的时候我们可以在第一道城墙(防火墙)上组织防御,如果第一道城墙(防火墙)失手,我们可以退守到第二道城墙(防火墙)继续进行防御对内城的攻击。这种设计既提供了防御的深度又能有效的保护内部重要的网络。对于在工作中应该如何选择这两种DMZ设计方案,关键在于投入的资金和对安全的重视程度。如果资金充裕,安全被认为非常重要,推荐使用双层防火墙设计方案,并且两层防火墙建议使用不同防火墙厂商的产品;如果资金紧张,并且服务器也不算太重要,那么就推荐使用第三接口解决方案,这样既实现了DMZ的功能,也节约了资金。 接下来我们再讨论一下DMZ区域中关于VPN设备的连接设计问题。图1-5为DMZ区域VPN设备的推荐连接。首先VPN的外部接口应该连接到防火墙的Outside区域内,由于密文流量无法被防火墙有效的过滤与控制,所以VPN的密文流量无需进行额外的过滤与控制,直接抵达VPN外部接口。当然也可以考虑在Outside区域放置一台路由器,通过配置简单的访问控制列表,对抵达VPN设备的流量进行简单的控制,例如:只放行去往VPN外部接口的VPN密文流量。另外VPN的内部接口应该被连接到防火墙的一个DMZ区域,因为VPN解密后的流量由于源自于互联网,存在一定的安全威胁,所以不能直接被送入Inside网络。而应该通过防火墙的过滤和控制才能送入Inside网络。图1-6为一种错误的DMZ区域VPN设备的连接方式。在这种连接方式下,VPN内部接口被直接连接到了Inside区域中,通过VPN设备解密后的明文流量被直接送入Inside区域。并不接受防火墙的任何过滤和控制,这样防火墙对解密后的VPN流量完全不起作用,失去了防火墙在安全区域间访问控制的作用,所以这是一种错误的VPN设备连接设计。 图1-5 DMZ区域VPN设备推荐连接 图1-6 DMZ区域错误的VPN设备连接 1.1.3 内部服务器安全控制 一般的网络环境中,DMZ区域内放置的主要是为互联网提供服务的服务器。例如公司的网页服务器,邮件服务器等等,这些服务器都是直接对互联网进行服务的。但是还有一些内部服务器,例如内部的文件服务器或者OA服务器。这些服务器不应该被放在DMZ区域中,建议在这些服务器前面放置另外一台防火墙来控制内部网络对这些内部服务器的访问。图1-7为内部服务器防火墙设计图。内部防火墙可以采用独立防火墙,也可以使用虚拟防火墙的解决方案(在内部重要服务器前面放置一台虚拟防火墙)。 图1-7 内部服务器防火墙设计图 1.2 防火墙技术的四种类型 防火墙有很多种类型,主要分为如下四类: - 无状态包过滤
- 代理服务器
- 状态包过滤
- 应用层监控和控制的状态包过滤
1.2.1 无状态包过滤 无状态包过滤技术其实就是Cisco的访问控制列表技术。如图1-8所示,它不对穿越会话的状态进行维护,只是一个静态的策略对抵达防火墙某一接口,某一方向上的包进行过滤。对单一的TCP或者UDP能够实现较为有效的过滤,但是由于无法感知上层应用,对于动态应用(多会话TCP或者UDP,例如:FTP)的过滤无能为力。 图1-8 无状态包过滤工作示意图 无状态包过滤防火墙技术总结: 优势: 1.依赖于静态的策略来允许和拒绝数据包 2.仅对三层流量的过滤以及处理静态的TCP/UDP应用时,工作是非常出色的。 3.对客户透明并且高性能 4.一般使用限制的访问控制技术(如果不明确允许,默认拒绝所有) 劣势: 1.不能支持动态应用(例如:FTP,SIP等等协议) 2.实施者需要具备相关的专业知识(需要了解一定的TCP/IP工作原理) 3.不能抵御一些探测攻击 1.2.2状态包过滤 状态包过滤类型的防火墙主要的特点是对穿越的会话维护状态化表项,此会话的后续流量,或者返回的流量匹配上状态化表项中的条目后,被防火墙放行。并且防火墙会根据后续流量不断更新状态化表项(例如:TCP的序列号和Flag位),图1-9为状态包过滤防火墙的工作示意图。防火墙一般对穿越的TCP流量维护如下状态化信息: - 源地址
- 源端口
- 目的地址
- 目的端口
- 序列号
- 状态与Flag位
图1-9状态包过滤防火墙工作示意图 状态包过滤防火墙相比于传统的无状态包过滤防火墙有着更高的性能,并且配置起来更为简单,下面我们通过图1-10来比较一下这两种类型的防火墙。在图左边为无状态包过滤类型的防火墙,其实就是Cisco的访问控制列表技术,如果在一个复杂的网络环境中应用这种技术(例如有五个安全区域),实施者需要配置复杂的访问控制策略才能满足网络安全上的需求。配置无状态包过滤技术的防火墙将是一个噩梦,因为你需要在每一个接口上应用访问控制列表,并且不仅要放行源自于此区域的始发流量,还要放行访问此区域返回的流量,所以配置的难度很大。而且由于访问控制列表的条目过多,穿越数据包查询的效率降低,因此会影响防火墙的性能。但是位于图右边的状态包过滤防火墙,就不会有这样的问题,由于状态包过滤防火墙对穿越的会话维护状态化信息,所以返回流量查询状态化表项自动被防火墙放行。因此状态包过滤类型的防火墙在每一个接口运用的策略只需要放行由此接口始发的流量,而不用关心放行返回流量的问题,所以策略配置比无状态包过滤的防火墙更为简单。由于只有始发数据包才查询安全策略,后续数据包只查询状态化表项,所以状态包过滤类型的防火墙运行效率高,性能出色。 图1-10无状态包过滤与状态包过滤防火墙比较示意图 状态包过滤防火墙技术总结: 优势: 1.可靠的三到四层的访问控制 2.配置简单 3.透明和高性能 4.一般使用限制访问控制技术(如果不明确允许,默认拒绝所有) 劣势: 1.不能洞察5-7层内容 2.如果应用层流量被加密,也无法支持动态运用 1.2.3应用层监控和控制的状态包过滤 应用层监控和控制类型的状态包过滤防火墙,在原有状态包过滤防火墙的基础之上增加了应用层监控功能,也叫做深度包监控。图1-11为应用层监控和控制的状态包过滤防火墙的工作示意图。首先防火墙的监控引擎能够对TCP或者UDP会话进行重组装,并对应用层的头部以及内容部分进行深层次的过滤,例如:对HTTP访问的URL进行过滤,或者对SMTP发件人、收件人和附件内容进行过滤。 由于能够对应用层实现深度过滤,过于强大的功能往往会带来性能上的损失。所以应用层监控和控制类型的状态包过滤防火墙,相比于传统的状态包过滤防火墙性能略差,但是由于综合能力出色,仍然成为了各大防火墙厂商所采取的主流防火墙技术,例如Cisco的ASA防火墙, Juniper的SSG和SRX防火墙都是使用这种防火墙技术。 图1-11 应用层监控和控制的状态包过滤防火墙工作示意图 应用层监控和控制的状态包过滤防火墙技术总结: 优势: 1.可靠的三到七层的访问控制 2.配置简单 3.透明和中等性能 4.一般使用限制的访问控制技术 劣势: 1.应用层监控和控制影响性能 2.为了深度的内容分析提供了有限的会话缓存能力 1.2.4代理服务器 代理服务器也可以叫做应用层网关(Application Layer Gateway)。代理服务器的工作示意图如图1-12所示,客户需要首先与代理服务器建立"TCP连接一"然后把请求发给代理服务器,随后代理服务器将会与最终的目的服务器建立"TCP连接二",把客户的请求发给服务器,然后代理服务器能够对服务器回送的应用层的内容进行过滤。例如:过滤JAVA脚本。举个通俗的例子,我们可以把代理服务器比做小卖铺的伙计,你如果想买一瓶可乐,你不能向超市那样直接去取,而是需要告诉他我要一瓶可乐,他转身帮你去取可乐,并且转手交给你。你(客户)只需要把请求交给代理服务器(伙计),代理服务器帮你去实现你的请求,最终服务器不会认为是最终客户在访问它,而只会认为是代理服务器在访问它。 图1-12 代理服务器工作示意图 代理服务除了这个特点以为,它还是最安全的防火墙,如图1-13所示,代理服务器会和客户与服务器建立两个TCP会话,并且会对每一个会话的每一个数据包解封装并且分析到应用层,由于对数据包分析得更细,所以它是最安全的防火墙,但也是由于这个原因代理服务器的性能往往较差。代理服务器还有一个问题就是支持的应用较少,我们接触得比较多的主要有HTTP的代理服务器和邮件的代理服务器,一般某种代理服务器类型的防火墙只能对某一类协议进行控制,例如:网页相关流量(HTTP,HTTPs等等)或者邮件相关流量(SMTP,POP3等等)。 图1-13 代理服务器对流量深度过滤 Cisco也有代理服务器(应用层网关)类型的防火强,产品名叫做Ironport系列网页与邮件安全网管,是专用的应用层过滤产品。虽然Cisco ASA也能对应用层进行过滤,但是相对于代理服务器类型的防火墙而言,Cisco ASA的应用层过滤功能还是相对比较简单,所以代理服务器类型的防火墙是对状态包过滤的核心防火墙的有效补充。国内很多安全公司所出品的网页防火墙也大都属于代理服务器(应用层网关)类型。 代理服务器(应用层网关)防火墙技术总结: 优势: 1.可靠的3-7层的访问控制 2.自动的对协议进行规范化处理(例如:TCP/80端口只能通过HTTP流量,而拒绝其它无关流量,例如 Q等即时聊天的应用) 3.能够采用宽松或者限制的访问控制技术 劣势: 1.不能广泛的支持所有的应用 2.不适合对实时流量采取这种技术 3.不透明(客户必须设置代理服务器)
CCNA/CCNP思科学习群号:280963016 微软学习交流QQ群号: 176812286 H3C学习交流QQ群号: 118382797
 该贴已经同步到 fengye的微博 | 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2013-5-6 13:23:33
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2013-5-6 13:42:16
楼主
