1. 防火墙基础定义与组件
核心知识点
- 防火墙定义:防火墙是位于内部网络与外部网络(或不同安全区域之间)的硬件或软件系统,基于安全策略执行流量控制、隔离和保护功能。主要目标是防止黑客攻击,保障内部网络安全。
- 关键特性:
- 隔离:分隔不同网络区域,控制流量进出。
- 保护:过滤恶意流量,如DDoS攻击或未授权访问。
- 策略驱动:通过访问控制规则(如ACL或安全级别)决定数据包是否允许通过。
- 关键特性:
- 安全区域与接口:
- 防火墙至少有两个接口,每个接口属于一个安全区域(如“内网区”“外网区”),区域有唯一名称和安全级别(0-100)。
- 安全级别越高,表示信任度越高(例如,内网安全级别为100,外网为0)。默认规则:高级别区域可访问低级别区域,反之则需显式策略允许。
- 一个区域可以有多个接口,但是一个接口只能属于一个区域
- 默认安全规则:
- 形式:访问控制列表(ACL)或安全级别(0-100)。
- ACL:基于IP、端口等条件定义允许/拒绝规则。
- 安全级别:数值越高表示越安全,用于自动决策流量(例如,高安全级别区域可主动访问低级别区域)。
难点解析与示例
- 安全区域与级别概念抽象:
- 专业示例:假设企业网络分为“研发部”(安全级别80)和“访客区”(安全级别10)。默认规则允许研发部访问访客区,但访客区访问研发部需额外ACL规则。
- 日常生活类比:想象一栋办公楼,每层有不同门禁级别(如高管层Level 100,公共区Level 10)。Level 100的员工可自由进入Level 10的区域,但Level 10的访客需前台授权才能上楼——防火墙就是门禁系统,安全级别相当于门禁卡权限。
2. 防火墙工作层次
核心知识点
- OSI参考模型:防火墙工作层次决定了其检测流量的能力。OSI模型分7层,防火墙通常工作在以下5层:
OSI层 名称 作用描述 7 应用层 处理用户交互(如HTTP、FTP协议)。防火墙可检测URL或文件内容。 6 表示层 数据格式转换(如加密/解密)。防火墙较少涉及此层。 5 会话层 管理连接会话(如建立/终止通信)。防火墙可跟踪会话状态。 4 传输层 提供端到端传输(如TCP/UDP协议)。防火墙检查端口号。 3 网络层 逻辑寻址(如IP地址)。防火墙检查源/目的IP。 2 数据链路层 MAC地址寻址(如以太网)。透明模式防火墙工作于此层。 1 物理层 物理介质传输(如电缆)。防火墙不直接处理。 - 防火墙服务层面:工作层次越高,检测粒度越细(例如,7层防火墙可识别病毒文件,而3层仅看IP地址)。
- 低层(2-4层):效率高,但安全性较低(如包过滤防火墙)。
- 高层(5-7层):安全性强,但资源消耗大(如应用网关防火墙)。
难点解析与示例
- 工作层次的重要性:
- 专业示例:包过滤防火墙(工作3-4层)只能根据IP和端口过滤,无法阻止HTTP层的SQL注入攻击;而应用网关防火墙(工作7层)可分析HTTP内容,拦截恶意代码。
- 日常生活类比:邮局分拣系统。低层工作如分拣员只看邮编(OSI 3层,类似IP地址),高效但可能漏掉危险包裹(如内有违禁品);高层工作如安检机扫描包裹内容(OSI 7层),速度慢但更安全。
3. 防火墙分类与技术
(1) 包过滤防火墙
- 核心知识点:
- 工作层次:网络层(3)和传输层(4),检查IP、TCP/UDP头部信息(如源IP、目的端口)。
- 原理:类似路由器ACL,无状态跟踪——每个数据包独立判断,不记录连接上下文。
- 优点:速度快、性能高(硬件实现)、成本低。
- 缺点:
- 无法处理状态信息(如TCP握手过程)。
- 不能检测应用层攻击(如病毒或钓鱼网站)。
- 规则配置复杂,ACL过多时难以管理。
- 工作层次:网络层(3)和传输层(4),检查IP、TCP/UDP头部信息(如源IP、目的端口)。
- 示例配置:允许内网(192.168.1.0/24)访问外网80端口(HTTP),但拒绝其他流量。
难点解析与示例
- 无状态限制:
- 专业示例:用户访问网站时,包过滤防火墙允许出站请求(如SYN包),但可能拒绝返回的应答包(如ACK包),因为它不记录会话状态,导致连接中断。
- 日常生活类比:保安只看进门证件(如员工ID),不记录谁已进入。如果员工短暂外出后返回,保安可能不认“他是刚出去的”,要求重新验证——包过滤防火墙类似,无法智能处理“关联事件”。
(2) 状态检测防火墙
- 核心知识点:
- 工作层次:扩展至3、4、5层(会话层),基于连接状态决策。
- 原理:
- 维护会话表(Session Table),记录五元组:源IP、源端口、目的IP、目的端口、协议。
- 跟踪TCP状态(如SYN、ACK、FIN标志),确保仅合法流量通过。
- 对无状态协议(如UDP/ICMP),用首包创建会话。
- 流程:
- 首包:检查ACL规则,若允许则创建会话表项。
- 后续包:匹配会话表则直接放行,无需重复检查ACL。
- 优点:性能高(减少规则查找)、能防御基于状态的攻击(如TCP洪水)。
- 缺点:无法处理应用层内容(如病毒文件),不支持多通道协议(如FTP)。
难点解析与示例
- 会话表机制:
- 专业示例:用户发起HTTPS连接(TCP三次握手)。防火墙记录会话状态(如SYN-SENT→ESTABLISHED),后续数据包直接放行。若攻击者伪造ACK包,防火墙因无对应会话而丢弃。
- 日常生活类比:餐厅预订系统。首通电话(首包)创建预订记录(会话表),后续到店时,服务员核对记录直接引导入座(放行数据包)。若未预订(无会话表),则需重新验证——状态防火墙避免了“每次吃饭都查身份证”的低效问题。
(3) 应用网关防火墙
- 核心知识点:
- 工作层次:最高至3-7层,专注于应用层检测。
- 原理:
- 作为代理服务器运作,截取用户连接请求并认证(如HTTP登录)。
- 支持ALG(Application Layer Gateway):解析多通道协议(如FTP、SIP),动态打开数据端口。
- 例如FTP协议:控制通道协商端口后,ALG自动创建数据通道规则。
- 检测应用层内容:URL过滤、关键字阻断、病毒扫描。
- 优点:安全性最高(防应用层攻击)、支持精细策略(如仅允许办公时段访问社交媒体)。
- 缺点:性能低(软件处理)、仅支持特定协议(如TCP)、需额外客户端配置。
难点解析与示例
- ALG处理多通道协议:
- 专业示例:FTP传输时,客户端通过控制通道(端口21)发送“PORT 192.168.1.1:5000”命令。ALG解析此报文,动态允许数据通道(端口5000)流量通过防火墙。
- 日常生活类比:会议中心管理。访客登记(控制通道)时说明“需额外会议室”(数据通道),ALG如同智能调度系统,自动分配会议室并开门——传统防火墙(如包过滤)会因“未提前预订会议室”而拒绝访问。
4. 防火墙部署模式
核心知识点
三种模式对比:
模式 工作层次 特性 适用场景 路由模式 三层 接口配置IP地址,支持NAT、路由协议。需改变网络拓扑。 替换出口网关(如企业边界)。 透明模式 二层 接口无IP(仅管理IP),像交换机一样转发。基于MAC表和策略决策。 嵌入现有网络(如内部隔离区域)。 混合模式 二/三层 同时支持路由和透明接口,灵活但配置复杂。 异构网络整合(如分公司互联)。 透明模式详解:
- 优点:不改变原IP规划或路由邻居(如OSPF),支持非IP流量(如广播包)。
- 配置要点:
- 关闭接口IP,配置安全区域和策略。
- 管理IP用于远程登录。
- 示例命令(Cisco):
firewall transparent+ip address 192.168.1.1(管理IP)。
难点解析与示例
- 透明模式的价值:
- 专业示例:医院内网需隔离患者Wi-Fi(低信任区)和医疗设备(高信任区)。透明防火墙部署在两者之间,无须修改设备IP或路由表即可执行策略(如阻止患者访问设备网络)。
- 日常生活类比:隐形防盗网。安装后不影响房屋外观(不改变网络拓扑),但能实时阻挡入侵(恶意流量)——透明模式如同“隐身的安全卫士”,在后台默默工作。