浅析防火墙技术

什么是防火墙？古时候，人们常在住所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的住所。同理，如果一个网络连接到了Internet上，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为了安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障就叫作“防火墙”。防火墙是一种软件或硬件设备，其基本功能就是对网络间通讯进行筛选，防止未授权的访问进出网络，从而实现对网络进行访问控制。可以看成是安置在可信任网络和不可信任网络之间的一个缓冲，有时，恶意攻击不一定全都来自外部，内部也会有威胁。因此，我们需要在网络系统的各个层次上进行保护。一个好的防火墙应该足以应对内部和外部威胁，并能够对付恶意软件，例如入侵网络的蠕虫。它还允许你的系统停止将非法数据转发到另一个系统。例如，防火墙总是存在于私有网络和公共网络之间，因此可以过滤进出的数据包。

防火墙作为 Internet 和 LAN 之间的屏障防火墙提供了允许和限制流量、认证、地址转换和内容安全的安全设备。

软件与硬件防火墙

基于硬件的防火墙专门保护你的本地网络，把防火墙程序做到了芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。软件防火墙也称为个人防火墙，它是可定制的，允许用户控制其功能。软件防火墙单独使用软件系统来完成防火墙功能，将软件部署在系统主机上，其安全性较硬件防火墙差，同时占用系统资源，在一定程度上影响系统性能。与基于硬件的防火墙不同，软件防火墙只能保护安装它的系统。

防火墙基本网络示例

防火墙保护

在小型网络中，我们可以通过确保安装所有软件补丁、禁用不需要的服务以及正确安装安全软件来保护每个网络设备。在这种情况下，如图所示，防火墙软件安装在每台机器和服务器上，并以只有列出的流量可以进出设备的方式进行配置。但这仅在小型网络中有效。

小型网络中的防火墙保护

在大型网络中，在每个节点上手动配置防火墙保护几乎是不可能的。集中式安全系统是为大型网络提供安全网络的解决方案。如下图所示，防火墙解决方案被加于路由器上，因此处理安全策略变得很简单。进出设备的流量策略可以由一台设备单独处理。这使得整个安全系统具有成本效益。

大型网络中的防火墙保护

DMZ

大多数防火墙系统使用非军事化区 (DMZ) 来保护资产和资源。部署 DMZ 是为了让外部用户能够访问诸如电子邮件服务器、DNS 服务器和网页等资源，而不会暴露内部网络。它的作用就像网络中不同段之间的缓冲区。防火墙系统为每个区域分配了一个安全级别。通常，流量从较高级别流向较低级别。但是对于从较低级别移动到较高级别的流量，需要部署一组不同的过滤规则。为了允许流量从较低的安全级别移动到较高的安全级别，应该精确地确定所允许的流量类型。准确地说，我们只为必要的流量解锁防火墙系统，所有其他类型的流量都将被配置阻止。各种接口如下：

• 指向互联网分配了最低级别的安全性。
• 指向 DMZ 的链接分配了中等安全性。
• 指向位于远程组织的链接分配了中等安全性。
• 最高安全性分配给内部网络。

使用 DMS 进行防火墙保护分配给组织的规则是：

• 允许从高级别到低级别的访问
• 不允许从低级别到高级别的访问
• 也不允许同等级别的访问

通过使用上述规则集，允许自动通过防火墙的流量为：

• 内部设备到 DMZ、远程组织和互联网的流量。
• DMZ和远程组织到互联网的流量。

任何其他类型的流量都会被阻止。这种设计的好处是它提供了分层的安全性，因此如果黑客想要破解内部资源，那么它首先必须要破解 DMZ，这使系统更加安全。

防火墙系统的组件

一个好的防火墙系统的构建模块如下：1.边界路由器

使用它的主要原因是提供一个到互联网等公共网络系统的链接。它通过遵循适当的路由协议来执行数据包的路由。它还提供数据包过滤和地址转换。2.防火墙

如前所述，它的主要任务规定不同级别的安全，并监督每个级别之间的通信。大多数防火墙都存在于路由器附近，以提供免受外部威胁的安全性，但有时也存在于内部网络中，以防止内部攻击。3.VPN

它的功能是在两台机器/网络或一台机器和一个网络之间提供安全连接。这包括加密、身份验证和数据包可靠性保证。它提供网络的安全远程访问，从而在没有物理连接的情况下连接同一平台上的两个 WAN 网络。4.身份识别系统

它的功能是识别、排除、调查和解决未经授权的攻击。黑客会用各种方式攻击网络，IDS 解决方案应该足够智能以应对这些类型的攻击。IDS解决方案有两种，基于网络的和基于主机的。基于网络的 IDS 解决方案应该具备这样一种技能：一旦发现攻击，就可以访问防火墙系统，并在登录防火墙系统后配置一个有效的过滤器来限制不想要的流量。基于主机的 IDS 解决方案是一种在主机设备（如笔记本电脑或服务器）上运行的软件，它仅检测针对该设备的威胁。IDS 解决方案应密切检查网络威胁并及时报告，并对攻击采取必要的措施。

防火墙类别

基于流量过滤的防火墙有很多类别，下面解释一些：1.包过滤防火墙

包过滤防火墙是防火墙常见的类型，作用在网络层和传输层。其技术依据是网络中的包传输技术，通过读取数据包头中的特征满足过滤规则的数据包，依据预先配置的过滤规则从数据包中找出哪些流量是允许的，哪些是不允许的。2.状态检查防火墙

它可以检查活动连接的状态并使用该数据找出哪些数据包应该允许通过防火墙，哪些不允许。防火墙将数据包向下检查到应用程序层。通过跟踪会话数据，如数据包的IP地址和端口号，它可以为网络提供很强的安全性。3.代理防火墙

状态检查防火墙无法保护系统免受基于 HTTP 的攻击。因此代理防火墙被引入市场。它包括状态检测的特性，以及对应用层协议进行严密分析的能力。因此，它可以监控来自 HTTP 和 FTP 的流量并找出攻击的可能性。防火墙作为代理意味着客户端启动与防火墙的连接，并且防火墙反过来启动与客户端服务器的单独链接。原文链接：https://www.softwaretestinghelp.com/firewall-security/#3_Netdefender

【活动专栏】

【转载须知】

若转载文章为原创文章，可在相应文章下或公众号后台留言；其他非转载类文章须在文首以不小于14号字体标明转载自SDNLAB。

【投稿】

欢迎SDN、NFV、边缘计算、SD-WAN、TSN、智能网卡等网络方向的观点类、新闻类、技术类稿件。

联系人：kk__wu(微信号)投稿邮箱：pub@sdnlab.com详情请参考：SDNLAB原创文章奖励计划