网络安全等级保护：防火墙基础知识

防火墙设备能对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

该设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络，是必备设备。所以在网络设计阶段，应当充分考虑满足等级保护相关要求，而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套，需要根据业务的要求进行选购。

什么是防火墙？

防火墙是计算机或内部网络与外部世界或互联网之间的屏障。特定的防火墙实现可能会使用此处列出的一种或多种方法来提供该屏障。

· 包过滤

· 状态包过滤

· 用户认证

· 客户端应用程序身份验证

防火墙至少会根据数据包大小、源 IP 地址、协议和目标端口等参数过滤传入数据包。下图显示了防火墙概念的要点。

基本防火墙操作

您可能已经知道，Linux 和Windows（包括自 XP 到 Windows 11 和服务器版本的每个 Windows 版本）都在操作系统中内置了一个简单的防火墙。诺顿和迈克菲都为个人电脑提供个人防火墙解决方案。这些防火墙适用于单独的计算机。有更先进的网络解决方案可用。在组织环境中，您需要在网络和外部世界之间设置专用防火墙。这可能是也具有内置防火墙功能的路由器。（思科系统公司是一家以高质量路由器和防火墙而闻名的公司。）或者它可能是一台专门用于运行防火墙软件的服务器。您可以检查许多防火墙解决方案。选择防火墙是一个重要的决定。

仅供参考：高速家庭或小型办公室连接

随着电缆和光纤连接在家庭和小型办公室中的日益普及，人们越来越重视保护这些地点的计算机系统。这种设计分类通常被称为小型办公室和家庭办公室 (SOHO) 设施。可以使用非常便宜的基于路由器的防火墙来实现高速互联网连接。消费者还可以购买与 DSL 或有线路由器分开的路由器，或者包含带有防火墙的有线或 DSL 路由器功能的路由器。

包过滤防火墙是最简单且通常也是最便宜的防火墙类型。其他几种类型的防火墙都有自己独特的优点和缺点。防火墙的基本类型是

· 包过滤

· 连接跟踪

· 应用层

· 电路级网关

· 状态数据包检查

包过滤防火墙是最基本的防火墙类型。在数据包过滤防火墙中，每个传入数据包都会受到检查。仅允许那些符合您设置的条件的数据包通过。许多操作系统，例如 Windows 客户端（例如 Windows 8 和 10）和许多 Linux 发行版，都包含操作系统附带的基本数据包过滤软件。包过滤防火墙也称为屏蔽防火墙。它们可以根据数据包大小、使用的协议、源 IP 地址和许多其他参数来过滤数据包。有些路由器除了正常的路由功能外还提供这种类型的防火墙保护。

数据包过滤防火墙通过检查数据包的源地址、目标地址、源端口、目标端口和协议类型来工作。根据这些因素以及防火墙配置使用的规则，它们允许或拒绝数据包通过。这些防火墙非常容易配置且价格低廉。某些操作系统（例如 Windows 10 和 Linux）包含内置的数据包过滤功能。后期，我们讨论特定的防火墙产品。

筛选/数据包过滤防火墙解决方案有一些缺点。一个缺点是它们实际上并没有检查数据包或将其与之前的数据包进行比较。因此，它们很容易受到 ping 洪水或 SYN 洪水的影响。他们也不提供任何用户身份验证。由于这种类型的防火墙仅查看数据包标头以获取信息，因此它没有有关数据包内容的信息。它也不跟踪数据包，因此它没有有关前面数据包的信息。因此，如果短时间内有数千个数据包来自同一 IP 地址，被屏蔽的主机不会注意到这种模式不寻常。这种模式通常表明相关 IP 地址正在尝试在网络上执行 DoS 攻击。

要配置数据包过滤防火墙，只需建立适当的过滤规则即可。给定防火墙的一组规则需要涵盖以下内容：

· 允许哪些类型的协议（FTP、SMTP、POP3 等）

· 允许哪些源端口

· 允许哪些目的地端口

· 允许哪些源 IP 地址（如果您愿意，您可以阻止某些 IP 地址）

这些规则将允许防火墙确定允许哪些流量进入以及阻止哪些流量。由于这种防火墙仅使用非常有限的系统资源，配置相对容易，并且可以廉价甚至免费获得，因此被频繁使用。尽管它不是最安全的防火墙类型，但您可能会经常遇到它。

实践

包过滤规则

不幸的是，在许多现实世界的网络中，有太多不同的应用程序发送不同类型的数据包，因此设置适当的数据包过滤规则可能比您想象的要困难。在只有少数服务器运行少量服务（可能是 Web 服务器、FTP 服务器和电子邮件服务器）的简单网络上，配置数据包过滤规则确实相当简单。在其他情况下，它可能会变得相当复杂。

考虑连接不同地理位置的多个站点的广域网。当您在这种情况下设置数据包过滤防火墙时，您需要了解在 WAN 连接到的任何站点上、任何计算机上使用任何类型网络通信的任何应用程序或服务。如果不考虑这些复杂性，可能会导致您的防火墙阻止某些合法的网络服务。

状态数据包检测 (SPI) 防火墙是对基本数据包过滤的改进。这种类型的防火墙将检查每个数据包，不仅根据对当前数据包的检查，而且根据对话中先前数据包派生的数据来拒绝或允许访问。这意味着防火墙知道发送特定数据包的上下文。这使得这些防火墙不易受到 ping 洪水和 SYN 洪水的影响，也不易受到欺骗。SPI 防火墙不太容易受到这些攻击，原因如下：

· 他们可以判断数据包是否是来自特定 IP 地址的异常大数据包流的一部分，从而表明可能正在进行 DoS 攻击。

· 他们可以判断数据包是否具有似乎来自防火墙内部的源 IP 地址，从而表明 IP 欺骗正在进行中。

· 他们还可以查看数据包的实际内容，从而实现一些非常先进的过滤功能。

SPI防火墙是包过滤防火墙的改进版本。当今大多数优质防火墙都使用状态数据包检查方法；如果可能，这是大多数系统推荐的防火墙类型。事实上，大多数家庭路由器都可以选择使用状态数据包检查。状态数据包检查这一名称源于以下事实：除了检查数据包之外，防火墙还检查数据包与整个 IP 会话相关的状态。这意味着防火墙可以引用前面的数据包以及这些数据包的内容、源和目的地。正如您可能怀疑的那样，SPI 防火墙正变得相当普遍。

仅供参考：无状态数据包过滤

状态数据包检查显然是首选方法。自然的后续问题是，无状态数据包过滤怎么样？安全专业人员一般不使用该术语；它仅表示标准的数据包过滤方法。

连接跟踪以前称为电路级网关。这些类型的防火墙工作在 OSI 模型的会话层，并监视数据包之间的 TCP 握手，以确定请求的会话是否合法/授权。连接跟踪防火墙隐藏有关防火墙后面的网络的信息。

为了在连接跟踪防火墙中定义有效会话，使用的组件如下：

· 源地址、目的地址和端口

· 正在使用的协议

· 用户名和密码

连接跟踪防火墙的描述可能看起来类似于代理服务器；然而，一般来说，网关实际上是代理服务器和内部客户端之间的虚拟电路。实际上，许多连接跟踪防火墙都包含代理服务器功能。

当允许流量通过时，外部系统永远看不到内部系统。图 3-2说明了应用程序网关和连接跟踪防火墙之间的差异。

应用程序网关与连接跟踪防火墙

虽然高度安全，但这种方法可能不适合与公众的某些通信，例如电子商务网站。这种类型的防火墙也很难配置，因为必须将每个客户端设置为与防火墙建立电路连接。

pfSense 是一个开源防火墙项目( https://www.pfsense.org/ )。该防火墙的源代码可以下载、编译并在基于网络主机的配置中运行。事实上，它是开源的，并且可以由使用它的组织进行修改，这使得它对于拥有足够经验的程序员的组织来说是一个有吸引力的选择。

应用程序网关（也称为应用程序代理或应用程序级代理）是在防火墙上运行的程序。这种类型的防火墙之所以得名，是因为它通过与各种类型的应用程序协商来允许其流量通过防火墙。在网络术语中，协商是指身份验证和验证过程的术语。换句话说，应用程序网关将检查客户端应用程序和它尝试连接的服务器端应用程序，而不是查看数据包正在使用的协议和端口。然后，它将确定是否允许该特定客户端应用程序的流量通过防火墙。这与包过滤防火墙有很大不同，它检查数据包，但不知道发送它们的应用程序类型。应用程序网关使管理员能够仅允许访问某些指定类型的应用程序，例如 Web 浏览器或 FTP 客户端。

当客户端程序（例如 Web 浏览器）建立与目标服务（例如 Web 服务器）的连接时，它会连接到应用程序网关或代理。然后，客户端与代理服务器协商以获得对目标服务的访问权限。实际上，代理与防火墙后面的目标建立连接，并代表客户端进行操作，隐藏和保护防火墙后面网络上的各个计算机。这个过程实际上创建了两个连接。客户端和代理服务器之间存在一个连接，代理服务器和目标之间存在另一连接。

一旦建立连接，应用程序网关就会做出有关转发哪些数据包的所有决定。由于所有通信都是通过代理服务器进行的，因此防火墙后面的计算机受到保护。

对于应用程序网关，每个受支持的客户端程序都需要一个唯一的程序来接受客户端应用程序数据。这种防火墙允许个人用户身份验证，这使得它们能够非常有效地阻止不需要的流量。然而，一个缺点是这些防火墙使用大量的系统资源。验证客户端应用程序的过程比简单的数据包过滤使用更多的内存和 CPU 时间。

仅供参考：独特的登录

请注意，对于具有大量公共流量的网站（例如电子商务网站）来说，为每个用户提供唯一的登录可能不是理想的解决方案。在此类网站上，您希望吸引大量流量，主要来自新客户。您网站的新访问者将没有登录 ID 或密码。让他们仅仅为了访问您的网站而经历设置账户的过程可能会关闭许多潜在客户。然而，这可能是企业网络的理想解决方案。

应用网关还容易受到各种泛洪攻击（SYN 泛洪、ping 泛洪等），原因有两个。洪泛攻击的第一个潜在原因可能是应用程序协商验证请求所需的额外时间。请记住，客户端应用程序和用户可能都需要进行身份验证。这比简单地根据某些参数过滤数据包需要更多的时间。因此，大量的连接请求可能会淹没防火墙，使其无法响应合法请求。应用程序网关也可能更容易受到洪水攻击，因为一旦建立连接，就不会检查数据包。如果建立了连接，则该连接可用于向其所连接的服务器（例如 Web 服务器或电子邮件服务器）发送洪水攻击。通过对用户进行身份验证可以在一定程度上缓解此漏洞。如果用户登录方法是安全的（适当的密码、加密传输等），那么某人通过应用程序网关使用合法连接进行洪泛攻击的可能性就会降低。

正如您将在本文或后面看到的，越来越多的制造商正在创建混合防火墙。这些防火墙使用多种方法，而不是单一方法。这某种混合方法通常比任何纯粹方法都更有效。事实上，混合多种方法的防火墙比单一方法的防火墙更为常见。

一种非常强大的防火墙方法是同时使用电路级网关和状态数据包过滤的设计。这种配置将最好的防火墙方法组合到一个单元中。在后面文章中探讨，我们将研究混合解决方案的一些现实示例。

许多防火墙还支持使用黑名单或白名单。黑名单是一种安全方法，允许用户访问除禁止列表上的网站或互联网资源之外的任何网站或互联网资源。该名单是黑名单。这是非常宽容的。仅阻止用户访问这些特定列表中的网站。

白名单涉及阻止用户访问除批准列表上的网站或互联网资源之外的任何网站或互联网资源。该列表就是白名单。白名单的限制要严格得多。然而，它也更安全。黑名单的问题在于不可能知道并列出每个用户不应该访问的网站。无论黑名单多么彻底，它都会允许流量流向一些不该流向的网站。白名单更加安全，因为默认情况下所有站点都会被阻止（默认阻止也称为隐式拒绝），除非它们位于白名单上。

参考：

网络安全等级保护基本要求

等级保护技术基础培训教程

网络安全等级保护基本要求应用指南

维基百科之防火墙等

原文始发于微信公众号（河南等级保护测评）：网络安全等级保护：防火墙基础知识