安小圈
第689期
防火墙不是万能的,但没有防火墙是万万不能的。
----网络安全金句
一、防火墙基础概念与核心功能
(一)防火墙的定义与本质
防火墙是部署在不同安全区域边界的网络安全设备,通过软硬件组合实现网络通信控制。其核心功能是根据预设规则过滤流量,隔离不可信网络(如互联网)与可信网络(如内部网),并隐藏内部拓扑结构。
案例:某企业部署防火墙后,成功阻断外部黑客通过 445 端口(永恒之蓝漏洞)对内部服务器的攻击,因防火墙默认禁止外部网络访问该端口。
(二)工作原理与安全策略
工作原理:分析流经的网络包,根据规则决定允许或拒绝。规则基于 IP 地址、端口、协议类型等信息。
两种策略:
白名单:仅允许明确授权的流量通过(安全性高,如企业仅开放 Web 服务端口)。
黑名单:禁止明确拒绝的流量通过(灵活性高,但存在漏判风险)。
(三)防火墙的局限性与发展趋势
-
风险:无法防御绕过防火墙的攻击(如员工通过 VPN 拨号绕过)、无法检测加密流量中的恶意代码、对内部攻击无效。
-
发展趋势:从简单包过滤向 “深度包检测(DPI)” 演进,集成入侵防护(IPS)、应用识别等功能,如下一代防火墙(NGFW)可识别微信、迅雷等应用层协议。
二、防火墙核心技术与类型
(一)四大基础技术对比
|
技术类型 |
工作层次 |
核心特点 |
典型应用 |
|
网络层 / 传输层 |
基于 IP、端口、协议过滤,性能高但无法识别应用层内容 |
路由器 ACL、Linux iptables |
|
|
状态检测 |
会话层 |
跟踪 TCP/UDP 会话状态,阻止非法后续包,如检测 SYN Flood 攻击 |
主流硬件防火墙 |
|
应用代理 |
应用层 |
作为 “中间人” 转发应用层请求,隐藏内部主机,如 HTTP 代理 |
正向代理、反向代理 |
|
NAT 技术 |
网络层 |
转换内部 IP 为公网 IP,隐藏内部结构,解决 IP 地址短缺问题 |
家庭路由器、企业网关 |
(二)新型防火墙技术解析
-
Web 应用防火墙(WAF):
针对 HTTP/HTTPS 协议,防御 SQL 注入、XSS 跨站脚本等攻击。
案例:某电商平台部署 WAF 后,成功拦截日均 10 万次 SQL 注入尝试,因 WAF 规则可识别并阻断包含 “union select” 等关键词的恶意请求。
-
数据库防火墙:
基于 SQL 协议分析,阻断非法数据库操作,如阻止未授权的 “delete from users” 语句。
-
工业控制防火墙:
针对 Modbus、IEC 61850 等工控协议,确保工业系统实时性与安全性,如电力 SCADA 系统隔离。
-
下一代防火墙(NGFW):
集成 DPI、IPS、应用控制等功能,可识别 2000 + 应用,如禁止员工在工作时间使用抖音、游戏软件。
(三)经典部署架构
-
双宿主主机结构:一台主机连接内外网,通过软件禁止直接通信,如早期 Linux 服务器配置双网卡。
-
![信息安全工程师系列-第8关 防火墙技术原理与应用]( "信息安全工程师系列-第8关 防火墙技术原理与应用")
-
屏蔽子网(DMZ):通过两层防火墙隔离内外网,中间区域放置 Web 服务器,如企业对外提供服务的同时保护内部网络。
三、防火墙配置与应用案例
(一)iptables 基础配置示例
需求:禁止外部网络访问内部 Web 服务器(仅允许 80 端口),允许内部主机访问外网。
# 清空现有规则 iptables -F
# 设置默认策略为拒绝所有入站流量
iptables -P INPUT DROP
# 允许回环接口(本地通信)
iptables -A INPUT -i lo -j ACCEPT
# 允许外部访问内部Web服务器的80端口
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# 允许内部主机主动访问外网并接收响应
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# 允许DNS请求(UDP 53端口)
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT
(二)企业级防火墙部署案例
某金融机构部署 NGFW,配置如下:
DMZ 区域:放置 Web 服务器,仅允许外部访问 443 端口(HTTPS),禁止其他端口。
应用控制:禁止员工通过公司网络访问赌博、钓鱼网站(基于 URL 分类库)。
IPS 功能:启用漏洞特征库,实时阻断针对数据库的攻击。
(三)WAF 防御 SQL 注入攻击
攻击场景:黑客尝试通过 URL 注入 “SELECT * FROM users WHERE id='1' OR '1'='1'” 获取敏感数据。 WAF 拦截原理:检测到 URL 中包含 “SELECT”“OR” 等关键词,匹配规则后阻断请求,并记录日志。
四、历年真题与解析
(一)2022 年单选题
题目:下列哪项不属于防火墙的核心技术?( ) A. 包过滤 B. 状态检测 C. 病毒查杀 D. 应用代理
答案:C 解析:防火墙核心技术包括包过滤、状态检测、应用代理等,病毒查杀通常由杀毒软件或 IPS 完成,因此选 C。
(二)2021 年案例分析题
背景:某企业防火墙配置不当,导致外部黑客通过 445 端口入侵内部网络。 问题:
分析防火墙可能的配置错误。
提出改进方案。
参考答案:
配置错误可能为:未禁用 TCP 445 端口(该端口存在永恒之蓝漏洞),且未启用状态检测。
改进方案:
-
在防火墙上添加规则:iptables -A INPUT -p tcp --dport 445 -j DROP;
-
启用状态检测,仅允许已建立的会话响应包通过;
-
划分 DMZ 区域,将文件共享服务与内部网络隔离。
五、考点总结与复习重点
(一)核心考点列表
防火墙类型与技术:包过滤、状态检测、应用代理的区别与适用场景。
-
部署架构:双宿主主机、屏蔽子网(DMZ)的安全设计原理。
-
配置规则:iptables 常用命令(如 ACCEPT/DROP、状态匹配)。
-
新型防火墙:WAF、数据库防火墙、NGFW 的功能特点。
-
局限性:防火墙无法防御的攻击类型(如内部攻击、加密流量)。
(二)复习建议
-
理解技术本质:对比包过滤与状态检测的工作层次,通过 iptables 实操掌握规则逻辑。
-
关注新型应用:重点学习 WAF 如何防御 OWASP Top 10 攻击,如 SQL 注入、XSS。
-
结合案例记忆:通过企业实际部署场景(如 DMZ 隔离)理解防火墙的安全价值。
提示:防火墙是软考必考模块,需熟练掌握规则配置逻辑,并能结合网络拓扑分析安全风险。建议通过模拟实验(如用 iptables 禁止特定 IP 访问)加深理解。
END
原文始发于微信公众号(安小圈):信息安全工程师系列-第8关 防火墙技术原理与应用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论