【网络安全基础】下一代防火墙（NGFW）一叨

一、作用

部署在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

1、定义:

  部署于不同安全域之间，

  具备网络层访问控制及过滤功能。(在网络层)

  并具备应用层协议分析、控制及内容检测等功能。（应用层）

  能够适用于IPv4、IPv6等不同的网络环境的安全网关产品

2、简话功能：①隔离：在不同信任级别的网络之间砌“墙”

                 ②访问控制：根据安全策略，控制进出的流量。

3、详细功能：

             ①基础组网和防护功能：防火墙可以限制非法用户进入内部网络，比如黑客、网络破坏者等，禁止存在安全脆弱性的服务和未授权的通信数据包进出网络，并对抗各种攻击。

              ②记录监控网络存取与访问：防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。通过防火墙可以很方便地监视网络的安全性，并在异常时给出报警提示。

             ③限定内部用户访问特殊站点：防火墙通过用户身份认证来确定合法用户，并通过事先确定的完全检查策略，来决定内部用户可以使用的服务，以及可以访问的网站。       

             ④限制暴露用户点：利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

             ⑤网络地址转换：防火墙可以作为部署NAT的逻辑地址，来缓解地址空间短缺的问题，并消除在变换ISP时带来的重新编址的麻烦。

             ⑥虚拟专用网：防火墙支持具有Internet服务特性的企业内部网络技术体系虚拟专用网络（Virtual Private Network，VPN）。

二、分类

1、外部防火墙：外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ区域的访问。

2、内部防火墙：内部防火墙管理DMZ区域对于内部网络的访问。    

  

   内部防火墙是内部网络的第三道安全防线，第一道和第二道分别是外部防火墙和堡垒主机。

3、堡垒主机：是一种被强化的可以防御攻击的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制

三、技术

1、包过滤防火墙技术：包过滤防火墙又称网络级防火墙，是防火墙最基本的形式。

原理：

 ①包过滤防火墙通过检查每个报文的源地址、目的地址、传输协议、端口号、ICMP的消息类型等信息与预先配置的安全策略匹配情况，来决定是否允许该报文通过。

（到了网络层，检测ip数据包头）   

 ②包过滤防火墙还可以根据TCP序列号、TCP连接的握手序列（如SYN、ACK）的逻辑分析等进行判断，可以较为有效地抵御类似IP Spoofing、Sync flodding、Souce Routing等类型的攻击。

（只是检测数据包的包头、没有对数据包的内容检测）

 ③包过滤技术通过访问控制列表实现。

访问控制列表：

 防火墙的过滤逻辑规则是由访问控制列表（ACL）定义的。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。

 如果规则都不符合，则使用默认规则，一般情况下防火墙会直接丢弃该包。

 

 包过滤既可作用在入方向也可作用在出方向。

 包过滤防火墙可以被配置为根据协议包头的任何数据域进行分析过滤，但多数的防火墙只是针对性的分析数据包信息头的部分域

2、应用层代理技术：也称应用层网关（Application Gateway）。应用层代理是指在Web服务器上或某一台单独主机上运行的代理服务器软件，对网络上的信息进行监听和检测，并对访问内网的数据进行过滤。

   原理：通过对每一种应用服务编制专门的代理程序，实现监视和控制应用层信息流的作用。实现对于每一种流量的检测过滤。

   优点：①避免了包检测技术无法防范ACK包的攻击，

   缺点：①当用户对内部网络网关的吞吐量要求较高时，代理防火墙会成为内外网络间通信的瓶颈。

             ②应用代理服务器存在兼容性问题。网络中不同的应用对于应用代理的要求也不一样，可能要求多台应用服务器。应用升级后，应用服务器也要做改变。

3、基于会话机制的状态检测技术：

  1）客户端：外网的客户端访问内网服务器时，数据包到达防火墙匹配规则表（包过滤规则和应用访问规则）此时建立会话信息，允许数据包通过。

  2）服务器端：内网服务器响应外网客户端的数据包到达防火墙时，匹配会话表，会话表匹配成功数据包通过。

  缺点：

   （1）根据规则匹配，只是在第三层检测，无法识别内部数据，无法检测到内部的恶意代码、木马程序。

   （2）由于状态检测防火墙并非会话连接的发起者，所以对网络会话连接的上下文关系难以详细了解，容易受到欺骗。

 4、应用识别技术：基于端口号的识别技术、 DPI技术、DFI技术、机器学习技术

 注：随着应用数量的不断增长，基于端口号的识别技术早已经不适用。（不同应用可能使用相同的端口号）   

     也是基于应用类型的检测、过滤。但颗粒度更细，可以对相同协议不同应用进行不同级别的过滤，但是可以对数据内容做检测。

  （例如：允许HTTP 网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于HTTP协议的视频流量通过；允许邮件传输，但需要进行防病毒检测，如发现有病毒入侵或泄密事件马上阻断；允许通过网盘下载文本文件，但是不允许通过网盘下载视频文件并且需要进行防病毒检测等等）  

  技术原理：  

   ①基于端口检测：

   ②DPI（深度包检测）：不同的网络应用通常采用不同的网络通信协议，不同的网络通信协议都有其各自的通信特征。

    深度包检测技术（Deep Packet Inspection，DPI）是一种基于网络应用特征对网络应用进行识别的技术，是目前比较重要的网络应用识别技术。

    DPI是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。

   （深度是指对数据包的二层道七层都做了检测）

   ③DFI（深度数据流检测）：通过分析网络数据流量行为特征来识别网络应用的。DFI通过及时分析某种应用数据流的行为特征并创建特征模型，对经过的数据流和特征模型进行比较，因此检测的准确性取决于特征模型的准确性。

     

5、内容检查技术：对进出防火墙的数据进行检查，在应用层判断从内部网络流向外部网络的数据中是否包含涉密信息。

    防火墙在网络边界实施应用层的内容扫描，实现了实时的内容过滤。

   内容过滤技术是指采取适当的技术措施，对不良的信息和不安全的内容进行过滤。

原文始发于微信公众号（学安全在路上）：【网络安全基础】下一代防火墙（NGFW）一叨