带你快速了解防火墙

admin 2025年4月23日13:29:35评论25 views字数 2119阅读7分3秒阅读模式
点击标题下「蓝色微信名」可快速关注
带你快速了解防火墙
带你快速了解防火墙

免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。

01

带你快速了解防火墙

基础概念

带你快速了解防火墙

防火墙(Firewall)是网络安全的核心组件之一,用于监控和控制网络流量,保护内部网络或设备免受未经授权的访问、恶意攻击。

“防火墙” 这一名称源于现实生活中的建筑防火墙,其概念通过类比延伸到计算机领域,具体由来和含义如下:

在建筑学中,防火墙是一种用于分隔建筑空间、阻止火灾蔓延的实体墙。

20 世纪 80 年代,随着互联网的发展,计算机网络面临日益增多的安全威胁(如黑客攻击、恶意程序)。为了保护内部网络安全,工程师借鉴建筑防火墙的概念,提出了 “网络防火墙” 的设想。

02

带你快速了解防火墙

防火墙功能介绍

带你快速了解防火墙

1、基础功能

(1)访问控制(Access Control)

原理:基于预定义规则(规则表)允许或拒绝流量。规则通常基于以下参数:

五元组:源IP、目的IP、源端口、目的端口、协议(TCP/UDP/ICMP等)。

扩展参数:时间范围(如仅允许工作时间访问)、地理位置(如阻止特定国家的IP)。

(2)网络地址转换(NAT)

功能:隐藏内部网络真实IP,提升隐私性。

静态NAT:一对一IP映射(如将内部服务器IP 192.168.1.100映射为公网IP 203.0.113.10)。

动态NAT:多对多IP池映射(适用于员工上网)。

PAT(端口地址转换):多台设备共享单一公网IP,通过端口区分(如家庭宽带)。

(3)流量监控与日志记录

监控内容:连接数、带宽占用、协议分布。异常行为(如高频端口扫描、DDoS流量激增)。

2、防御功能

(1)状态检测(Stateful Inspection)

核心机制:维护动态连接表(Conntrack Table),记录会话状态(如TCP三次握手、UDP伪连接)。

TCP状态跟踪:仅允许已建立连接的流量通过,拦截伪造的ACK/RST包。

防御示例:阻止SYN Flood攻击(通过限制半开连接数或启用SYN Cookie)。

(2)应用层过滤(Application Filtering)

深度包检测(DPI):

解析HTTP/HTTPS、FTP、DNS等应用层协议。

拦截SQL注入(通过正则表达式匹配' OR 1=1--等模式)。

过滤恶意文件(如阻断.exe文件下载)。

SSL/TLS解密:

中间人解密(需预装CA证书到客户端)。

检测加密流量中的威胁(如勒索软件C2通信)。

(3)入侵防御(IPS/IDS集成)

功能:

签名检测:匹配已知攻击特征(如Exploit代码片段)。

异常检测:基于流量基线识别偏离行为(如DNS隧道流量)。

联动响应:自动阻断攻击源IP或关闭高危端口。

03

带你快速了解防火墙

防火墙的技术原理

带你快速了解防火墙

1、包过滤(Packet Filtering)

工作层级:OSI第3层(网络层)和第4层(传输层)。

核心逻辑:

根据五元组(源IP、目的IP、源端口、目的端口、协议类型)匹配规则。

使用ACL(访问控制列表)逐条检查数据包,匹配后执行允许(ACCEPT)或拒绝(DROP)动作。

示例规则(以iptables为例):

bash# 允许来自192.168.1.0/24的SSH访问iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT    # 拒绝其他所有SSH连接iptables -A INPUT -p tcp --dport 22 -j DROP    

局限性:无法检测会话状态(如TCP握手是否完成),易受IP欺骗攻击。

2、状态检测(Stateful Inspection)      关键技术:维护动态连接表(Conntrack Table),记录TCP/UDP/ICMP会话状态。

工作流程:

首次数据包触发规则检查,通过后创建会话条目(如TCP SYN包)。

后续数据包直接匹配会话表,无需重复规则遍历(如已建立的TCP连接)。

超时机制自动清除无效会话(如FIN/RST包或空闲超时)。

防御能力:阻止伪造的“已建立连接”数据包(如无效ACK包)。

3、代理防火墙(Application Proxy)

工作层级:OSI第7层(应用层)。

工作模式:

正向代理:客户端主动配置代理,代理代表客户端访问目标服务器(常用于企业内网)。

反向代理:服务器端部署,对外隐藏真实服务器(如Nginx反向代理)。

深度检测能力:

解析HTTP头、URL参数、SSL/TLS解密(需导入证书)。

拦截SQL注入(通过正则匹配SELECT * FROM users WHERE 1=1等模式)。

4、下一代防火墙(NGFW)核心技术       深度包检测(DPI):

识别应用协议,即使使用非标准端口。

基于特征库检测恶意载荷(如病毒签名、Exploit代码片段)。

用户身份集成:

与AD/LDAP对接,实现基于用户的策略(如“仅允许财务组访问财务系统”)。

沙箱联动:可疑文件自动上传沙箱进行动态行为分析。

THE END

带你快速了解防火墙

亲爱的朋友,若你觉得文章不错,请点击关注。你的关注是笔者创作的最大动力,感谢有你

原文始发于微信公众号(菜根网络安全杂谈):带你快速了解防火墙

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日13:29:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   带你快速了解防火墙https://cn-sec.com/archives/3989553.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息