带你快速了解防火墙

免责声明：本文仅用于合法范围的学习交流，若使用者将本文用于非法目的或违反相关法律法规的行为，一切责任由使用者自行承担。请遵守相关法律法规，勿做违法行为！本公众号尊重知识产权，如有侵权请联系我们删除。

01

基础概念

防火墙（Firewall）是网络安全的核心组件之一，用于监控和控制网络流量，保护内部网络或设备免受未经授权的访问、恶意攻击。

“防火墙” 这一名称源于现实生活中的建筑防火墙，其概念通过类比延伸到计算机领域，具体由来和含义如下：

在建筑学中，防火墙是一种用于分隔建筑空间、阻止火灾蔓延的实体墙。

20 世纪 80 年代，随着互联网的发展，计算机网络面临日益增多的安全威胁（如黑客攻击、恶意程序）。为了保护内部网络安全，工程师借鉴建筑防火墙的概念，提出了 “网络防火墙” 的设想。

02

防火墙功能介绍

（1）访问控制（Access Control）

原理：基于预定义规则（规则表）允许或拒绝流量。规则通常基于以下参数：

五元组：源IP、目的IP、源端口、目的端口、协议（TCP/UDP/ICMP等）。

扩展参数：时间范围（如仅允许工作时间访问）、地理位置（如阻止特定国家的IP）。

（2）网络地址转换（NAT）

功能：隐藏内部网络真实IP，提升隐私性。

静态NAT：一对一IP映射（如将内部服务器IP 192.168.1.100映射为公网IP 203.0.113.10）。

动态NAT：多对多IP池映射（适用于员工上网）。

PAT（端口地址转换）：多台设备共享单一公网IP，通过端口区分（如家庭宽带）。

（3）流量监控与日志记录

监控内容：连接数、带宽占用、协议分布。异常行为（如高频端口扫描、DDoS流量激增）。

（1）状态检测（Stateful Inspection）

核心机制：维护动态连接表（Conntrack Table），记录会话状态（如TCP三次握手、UDP伪连接）。

TCP状态跟踪：仅允许已建立连接的流量通过，拦截伪造的ACK/RST包。

防御示例：阻止SYN Flood攻击（通过限制半开连接数或启用SYN Cookie）。

（2）应用层过滤（Application Filtering）

深度包检测（DPI）：

解析HTTP/HTTPS、FTP、DNS等应用层协议。

拦截SQL注入（通过正则表达式匹配' OR 1=1--等模式）。

过滤恶意文件（如阻断.exe文件下载）。

SSL/TLS解密：

中间人解密（需预装CA证书到客户端）。

检测加密流量中的威胁（如勒索软件C2通信）。

（3）入侵防御（IPS/IDS集成）

功能：

签名检测：匹配已知攻击特征（如Exploit代码片段）。

异常检测：基于流量基线识别偏离行为（如DNS隧道流量）。

联动响应：自动阻断攻击源IP或关闭高危端口。

03

防火墙的技术原理

1、包过滤（Packet Filtering）

工作层级：OSI第3层（网络层）和第4层（传输层）。

核心逻辑：

根据五元组（源IP、目的IP、源端口、目的端口、协议类型）匹配规则。

使用ACL（访问控制列表）逐条检查数据包，匹配后执行允许（ACCEPT）或拒绝（DROP）动作。

示例规则（以iptables为例）：

bash# 允许来自192.168.1.0/24的SSH访问iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT    # 拒绝其他所有SSH连接iptables -A INPUT -p tcp --dport 22 -j DROP    

局限性：无法检测会话状态（如TCP握手是否完成），易受IP欺骗攻击。

2、状态检测（Stateful Inspection）      关键技术：维护动态连接表（Conntrack Table），记录TCP/UDP/ICMP会话状态。

工作流程：

首次数据包触发规则检查，通过后创建会话条目（如TCP SYN包）。

后续数据包直接匹配会话表，无需重复规则遍历（如已建立的TCP连接）。

超时机制自动清除无效会话（如FIN/RST包或空闲超时）。

防御能力：阻止伪造的“已建立连接”数据包（如无效ACK包）。

3、代理防火墙（Application Proxy）

工作层级：OSI第7层（应用层）。

工作模式：

正向代理：客户端主动配置代理，代理代表客户端访问目标服务器（常用于企业内网）。

反向代理：服务器端部署，对外隐藏真实服务器（如Nginx反向代理）。

深度检测能力：

解析HTTP头、URL参数、SSL/TLS解密（需导入证书）。

拦截SQL注入（通过正则匹配SELECT * FROM users WHERE 1=1等模式）。

4、下一代防火墙（NGFW）核心技术       深度包检测（DPI）：

识别应用协议，即使使用非标准端口。

基于特征库检测恶意载荷（如病毒签名、Exploit代码片段）。

用户身份集成：

与AD/LDAP对接，实现基于用户的策略（如“仅允许财务组访问财务系统”）。

沙箱联动：可疑文件自动上传沙箱进行动态行为分析。

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！

原文始发于微信公众号（菜根网络安全杂谈）：带你快速了解防火墙