网络安全硬件-防火墙AF_防火墙五元组
赞
踩
防火墙介绍
- 定义:是一个把网络分成多个区域,不同区域定义不同安全级别,并默认阻止低安全级别区域访问高安全级别区域的安全系统
防火墙工作层次
防火墙系统能工作在OSI 7层模型的5个层次上,能从越多的层来处理信息,意味着在过滤处理中就跟精细
部署模式
- 路由模式:可以看成 “防火墙+路由器”
- 网桥模式:可以看成 “防火墙+交换机”
当内网需要边界路由器做NAT,那就选用网桥模式,在防火墙之外再加一个路由器;如果不需要边界路由器,就选用防火墙启用路由模式
软件防火墙更加依附软件系统,硬件防火墙属于硬件设备,有专门的一套系统,友好性不如软件防火墙,但是更安全
根据防火墙服务层面的不同来分类:
传统防火墙
1.包过滤防火墙
- 工作原理:基于数据包的五元组(源IP、目的IP、源端口、目的端口、协议号),直接通过ACL包过滤来过滤掉威胁访问
- 类似交换机、路由器的ACL,工作于网络层和传输层
- 实现原理:检查IP、TCP、UDP信息(五元组)
优点:
- 对单个包过滤速度快、性能高、通过硬件实现
- 检查IP、TCP、UDP信息
缺点:
- 不能根据状态信息进行控制,比如 数据包能出去但是要在回来方向上写ACL放通回来的包
- 前后报文无关,就是上一条的意思,出内网和外网进入内网的包无关联
- ACL配置复杂,不支持应用层功能机,不支持认证
2.状态检测防火墙
状态检测防火墙依然是基于包过滤
- 流(Flow):是一个单方向概念,根据报文所携带的三元组/五元组唯一标识,根据IP层协议不同,流分四大类:
TCP流:通过五元组唯一标识
UDP流:同TCP流
ICMP流:通过三元组(协议、源IP、源端口) + ICMP Type + ICMP code
RAW IP流:三元组
首包检测ACL表,如果放行--------就记录状态到状态表-------后面跟着的包,就先查状态表,无需重复查找规则
- 会话(Session):是一个双向概念,一个会话关联两个方向的流,一个为发起方,一个为响应方
首包创建会话,采用会话表维持通信状态,表中包含了五元组
后来的包,首先查会话表,如果匹配则转发;如果不匹配,就会查域间规则(即ACL),再来确定转发/丢弃
- 优点:
知晓连接状态,更安全,更快速 - 缺点:
不能检测应用层信息,如URL,不能阻止应用层攻击
不是所有协议都有状态,比如UDP,ICMP
不支持多连接/多通道连接,比如FTP分控制和数据连接
注1:防火墙缺省高级别区域可以访问低级别区域,反过来不行,可以写ACL手动放通。
3.应用代理防火墙
通常又称 代理防火墙,一般使用软件来完成,给用户充当代理,要求用户进行身份验证,并能对用户进行URL过滤。
首先截取用户初始化连接请求并发送给用户一个认证信息的请求;
认证通过后允许流量通过;
存储合法用户信息xauth表;
可以对应用协议以及数据进行分析检测。
工作层次:3网络层、4传输层、5会话层、7应用层
工作流程图:
- 优点:支持连接身份认证,能检测应用层数据,如上网认证,URL过滤,关键字检测等行为管理
- 缺点:通过软件来处理,消耗系统资源,仅支持TCP应用(如HTTP、HTTPS、Telnet、FTP),可能需要额外安装客户端软件
ALG技术
ALG(Application Layer Gateway)应用级网关
技术背景:在应用层协议中,有很多包含多通道多连接的信息,如多媒体协议、FTP等。这种多通道应用需要首先在控制通道中对后续数据通道的地址和端口进行协商,然后根据协商结果建立数据通道连接。
ALG是一种对应用层信息进行处理的技术,能够监听每一个应用的每个连接所使用的端口,打开合适的通道允许会话中的数据穿过防火墙,会话结束时关闭通道,从而实现动态端口应用的有效访问控制。
- 会话层状态:记录了传输层报文之间的交互信息,包括源IP地址、源端口、目的IP地址、目的端口,协议类型等,创建会话状态信息。
- 动态通道(基于应用层会话状态):当应用层协议报文中携带IP地址、tcpUDP端口信息时,这些地址信息会被用于建立动态通道,后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。
