防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信的,外部网络则被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全性。防火墙的意义在于极大地降低了整体网络安全建设的管理成本,提高了安全性。防火墙出现之前,整个内部网络的安全性完全依赖于每个主机,但是受到木桶原理的影响,安全风险很高,因为我们不可能严格控制每台主机的安全性设置,用户总可以或多或少地进行个性化的定义。防火墙出现之后,实施的“海关三原则”有效地保护了网络的安全性,它们是:
1. 所有进出被保护网络的通信必须经过防火墙;
2. 所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;
3. 防火墙本身是不可被侵入的;
防火墙作为一种逻辑隔离部件,它所遵循的原则是:在保证网络畅通的情况下,尽可能地保证内部网络的安全。防火墙最重要的功能是访问控制、内容控制,全面的日志审计等,此外一般还兼有流量控制、NAT和VPN的功能。防火墙的功能简单来说就是边界保护机制。
防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术、状态检测包过滤技术,现在最为常用的是状态检测包过滤技术。防火墙的体系结构有双重宿主主机体系结构(网关上双网卡,分别连接内外网)、被屏蔽主机体系结构(添加一个屏蔽路由器在外网与防火墙之间)和被屏蔽子网体系结构。其中最具有安全性的是被屏蔽子网体系结构,该结构在Internet和内网之间,使用两个屏蔽路由器建立了一个DMZ,其中放置我们的防火墙作为堡垒主机,攻击者需要攻破两个屏蔽路由器和堡垒主机才能够顺利到达内网。堡垒主机位于内部网络的最外层,像堡垒一样对内部网络进行保护。在防火墙体系中,堡垒主机要高度暴露,是在Internet上公开的,是网络上最容易受到非法入侵的设备。所以防火墙设计者和管理人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的安全给予特别的关注。堡垒主机应当安装在不传输保密信息的网络上,最好处于一个独立网络,如DMZ。实际中的一个实例图如下:
防火墙的主要技术之一是包过滤技术,该技术主要是网络层的识别分析,防火墙会检查所有通过的数据包头的信息,根据源/目的IP和源/目的端口以及IP选项进行过滤。如果对防火墙设定某一内部IP地址不能访问某个站点的话,从这个地址来的某个站点的信息都会被防火墙屏蔽掉。在配置数据包过滤规则之前,需要明确地允许或者拒绝什么服务,并且把需要的策略转换成针对数据包的过滤规则。通过制定数据包过滤规则来控制哪些数据包能够进入或者流出内部网络。
一种常见的攻击是IP欺骗攻击。A与B正常通信,攻击者C首先观察分析A的数据包流,获得其初始序列号ISN,然后DoS主机A,伪装成A给B发送消息,并且利用A的正确序列号回应B建立三次握手,然后发送数据包操纵B转而向攻击者通信。
状态检测防火墙对每个合法连接保存的信息包括源地址、目的地址、协议类型、协议相关信息(如TCP/UDP协议的端口、ICMP协议的ID号)、连接状态(如TCP连接状态)和超时时间等,防火墙把这些信息叫做状态。通过状态检测,可实现比简单包过滤防火墙更强大的安全性。状态检测的理论依据在于TCP连接本身是有状态的,其次TCP的连接状态的转换是有一定顺序的;第三TCP连接过程中客户端与服务端的可能的状态是有区别的,如何客户端不能进入LISTEN状态,服务端耍进入SYN_SEND状态;第四对于TCP包中的标志,有些标志不能同时存在,如SYN标志与FIN\TST\PSH标志不可同时存在。