图解系列--防火墙

news2025/1/16 13:47:31

05.01 防火墙是怎样的网络硬件

构建安全网络体系而需要遵循的 CIA 基本理念。CIA 是机密性 (Confidentiality) 、 完整性(Integrity) 、 可用性(Availability)。
在这里插入图片描述

防火墙硬件作为防范装置能够同时实现CIA 中3个条目的相应对策。在20世纪90年代中期,普通企业一般都会在网关(LAN 与互联网的边界)中设置防火墙。

防火墙这个装置原本用于防范外部网络,也就是拥有多个不特定用户的公共网络对内部网络 (企业的Intranet) 进行的 DoS 攻击或不法访问(Hacking,黑客行为),但现在也开始需要防范从内部网络向互联网泄露信息或将内部网络作为攻击跳板等行为。

05.03 防火墙如何分类

05.03.01 软件型防火墙

  1. 个人防火墙
    个人防火墙运行于个人计算机上,用于监控个人计算机与外部网络之间的通信信息,主要功能如表5-3所示。在 Windows 操作系统中集成了Windows 防火墙。一般拥有杀毒软件产品的厂商会以综合安全软件套件的形式销售个人防火墙(表5-4)。
    在这里插入图片描述
    在这里插入图片描述

  2. 网关型防火墙
    在计算机网络的网关中设置类似防火墙设备的功能,从而对网络中通信流量进行策略控制,这种类型的防火墙即为网关型防火墙。
    网关型防火墙分为两类, 一类是在Windows 、Linux 等通用操作系统上安装并运行FireWall-1 软件的软件型网关防火墙, 一类是使用专用设备的硬件型网关防火墙。个人防火墙主要监控所有到达个人计算机的通信流量,而网关型防火墙则需要监控来自多数不特定终端设备的通信流量,并在它们通过网关时实施策略控制。
    在这里插入图片描述

05.05 什么是防火墙的网络接口模式

L1~L3 模式如图5-8所示,是将需要防火墙控制的 链路进行“串行”连接,这样的拓扑结构称为内联(inline) 连接。TAP模式正如图5-9所示,该模式仅有一条来自交换机的链路构成,这样的链路组成结构也称为单臂(one-arm) 拓扑。

接口模式说明
L3模式也称为NAT模式,是与路由器接口一样拥有IP地址的接口。在进行路由选择、NAT以及连接IPSec-VPN或SSL-VPN时,必须使用L3模式的接口可以通过网络管理人员输入静态配置IP地址,也可以通过PPPoE、DHCP客户端动态分配来获取接口的IP地址。在L3模式下进行路由时,需要使用虚拟路由器
L2模式也称为透传模式或者透明模式(L2透明模式),是与交换机接口一样拥有同样MAC地址、可进行桥接的接口。进行IP地址分配时需要使用VLAN
L1模式把两对儿网络接口组成一组,流量在其中一方的接口上输入并在另一块接口处输出。该模式下无法进行路由和桥接
TAP模式与交换机镜像端口(SPAN端口)相连接的模式。通过对交换机转发的数据帧进行复制并收集,可以将通信内容可视化并检测恶意软件。由于不是内联结构,因此该模式无法阻止那些没有必要的通信过程

在这里插入图片描述
在这里插入图片描述

05.06 防火墙能够预防的威胁

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  1. 威胁安全的人
    安全威胁一般分为人为因素和非人为因素(自然灾害等),防火墙面临的威胁一般来自于人为因素。表5-11列出了安全威胁人(攻击者)的几个类型。
    在这里插入图片描述

05.07 防火墙中搭载的各种功能

05.07.01 会话管理

  1. 会话与数据流
    会话(session) 是指两个系统之间通信的逻辑连接从开始到结束的过程。在 TCP中某个服务器与客户端成对进行通信时,会完成3次握手来确认建立1个TCP 连 接,在从连接建立开始至连接结束的时间里,客户端发送请求(request) 和服务器进行应答(response) 这一交互过程即可称为进行了1个会话。在UDP 中,客户端与服务器之间只要发送源的端口和目的地端口的配对一致,随后的一系
    列通信均可以称为会话。在ICMP中,例如 Echo 和对应的 Echo reply的组合就可以称为会话。一个会话存在“客户端→服务器”(c2s 或client to server) 和“服务器→客户端”(s2c 或server to client)两个数据流(flow)。数据流是指发往通信对方的多个分组序列。
    在这里插入图片描述

  2. TCP 连接管理
    一个 TCP 的连接需要通过3次握手来确认建立。最初由客户端发送 SYN 消息,即发送首部中SYN 比特信息设置为“1”的TCP 数据段。 SYN 读 作 /sin/, 表示同步的意思,取自Synchronization 这个单词的前三个字母。SYN 相当于一个开始信号,与打电话时先拨号码的行为类似。当服务器收到来自客户端的 SYN 消息后,将返回表示确认的 ACK 消息,同时也会发送一个SYN 消息至客户端。ACK 表示确认的意思,取自Acknowledgement 这个单词的前三个字母。TCP 连接使用端口号表示不同的网络服务(应用程序)。例如, HTTP 使用80号端口, TELNET 使用23号端口。提供HTTP 服务的服务器必须接收和处理客户端发送至80号端 口的TCP 数据段。能够处理分组的状态一般表示为listen 状态(listen 意为“侦听”,也称为listening)。
    在这里插入图片描述

序列号分为两类, 一类用于从客户端发往服务器端(c2s) 的上行TCP 数据段,另一类用于 从服务器端发往客户端(s2c) 的下行TCP 数据段。上行和下行两种数据流在建立时,各自使用不同的随机数作为初始序列号 ISN(Initial Sequence Number)。

2.1. SYN 检查
TCP 会话开始时客户端必会发送一个 SYN 消息。如果是没有附带会话信息(或尚未建立会话),即非 SYN 消息的 TCP 数据段到达防火墙,防火墙就会将其视作非法而整个丢弃。但也可 以根据不同的情形(双活冗余或会话超时等)关闭(OFF) 防火墙的这个功能,使不带有会话信息的、非 SYN 消息的 TCP 数据段也能够通过防火墙。

2.2. ACK 检查
在根据 SYN Cookie(参考表5-27)信息防范SYN Flood攻击时,通过对SYN-ACK 的 ACK消息进行检查,能够确认进行中的3次握手是否为非法尝试。

2.3. 同一数据段检查
终端再次发送 TCP 数据段时,对于和之前收到的TCP 数据段含有相同序列号或数据的 TCP 数据段,可以指定防火墙的处理方式,即指定是使用新接收到的重复数据段还是丢弃该重复数据段。

2.4. 窗口检查
检查TCP 首部内的序列号和滑动窗口大小(Window Size), 拦截超过滑动窗口容量数据的序列号。

2.5. 数据段重组
即使各数据段的顺序出现变化,TCP 数据段也能根据序列号调整为正确顺序。在防火墙进行这一工作,可以验证TCP 数据段序列号是否完整。

  1. 会话建立的处理
    防火墙按照以下步骤处理从网络接口接收到的分组,从而完成会话建立。

3.1. 检索会话表,确认表内是否存在相同会话(若存在相同会话,则禁止会话建立的后续流程)。
3.2. 若不存在相同会话,则检查该分组是否可以通过L3 路由选择或 L2 转发来输出。如果可以输出,确定对应的网络输出接口和目的地区域(若不能输出,则丢弃该分组)。
3.3. 分组转发时,如果目的地址需要进行NAT则先完成NAT, 确定NAT后的网络输出接口和目的地区域。
3.4. 根据分组的发送源信息(发送源网络接口、发送源区域和发送源地址)以及经过3.2、3.3步 骤后得到的目的地信息(目的地网络接口、目的地区域、目的地址)进行安全策略检查, 发现有符合的安全策略时,则根据该策略(允许通信或拒绝通信)决定是继续转发还是丢弃分组。如果没有符合的安全策略,则根据“默认拒绝”的设定丢弃该分组。
3.5. 当分组被允许通信时,会话表中就会生成该会话的相关信息。

  1. 会话的生存时间
    会话表中记录的会话信息有一定的生存时间。会话建立后,如果在一定时间内一直处于无通 信状态,防火墙将会判断该会话的生存时间已到,进而将该会话记录项从会话表内删除。如果无 条件地任由会话记录留在会话表中,这些会话信息则很有可能会被用于恶意攻击等行为。另外, 由于会话表的记录项在数量上也有一定的限制,因此长期保留会话记录也会导致资源的长期占用,从而影响新会话记录的生成。会话时间能够根据 TCP 、UDP 或其他IP 协议的不同分别进行设置。对于TCP 而言,会话的超时时间一般为30分钟~1小时, UDP 则为30秒左右。例如,某 Telnet 会话通过防火墙完成了连接,若在1个小时内没有进行任何通信,防火墙会自动将该会话 记录从会话表中删除。此后,客户端想要继续该 Telnet 会话时,也会被防火墙拒绝(图5-12),因此客户端需要重新建立 Telnet 会话。会话生存时间的调整可以参考本书07.04节。

在这里插入图片描述

  1. 会话终止处理
    TCP 连接一般通过下面的步骤终止会话。
    5.1. 客户端在完成收发数据后,会发送 FIN标志位设置为On 的 TCP 数据段(FIN)。
    5.2. 服务器接收到 FIN 消息后,会在回复消息中将 FIN与 ACK 标志位设置为On, 并将 Ack
    编号设置为“接收的 Seq 编号+1”。
    5.3. 客户端同样在回复的TCP 消息中将ACK标志位设为On, 将 Ack 编号设置为“接收的
    Seq编号+1”,连接就此结束。
    5.4. 这时,客户端会进入TIME WAIT的 TCP 状态。 一定时间后本次连接所使用的TCP 端 口号(来自客户端的通信发送源端口号)将会禁用。这一时间段称为2MSL(Maximum Segment Lifetime,MSL的2 倍),根据实现的不同,大约在1分钟到几分钟之间不等。

如果客户端或服务器在确认连接建立时发生了故障,那么将只有能够通信的一方进入侦听 状态,这种情形称为半侦听或是半关闭。如果这时通信的故障方从故障中恢复,并接收到故障前 交互的 TCP数据段,便会向通信对方回复一条TCP 响应数据段,该数据段中RST标志位设为ON, 通过这条响应消息强制终止TCP 连接。终止连接有时会通过FIN 和RST 两个标志位来完成,不过当防火墙接收到来自通信方 的 FIN 或 RST 时,还可以启动另一个30秒左右的定时器。如果在该时间段内FIN→FIN-ACK →ACK 的终止过程仍未完成,防火墙中的会话表项会被强制删除(图5-13)。
在这里插入图片描述

  1. UDP 数据流的管理
    在 UDP 中没有像TCP 这样的3次握手过程,客户端和服务器之间直接使用带有应用程序分组的UDP 分组进行交互。UDP 数据流是指发送源IP 地址、发送源端口号、目的地IP 地址和目的地端口号这4个参数都相同的一系列UDP 分组(图5-14)。
    在这里插入图片描述

DNS 和 SNMP 这种管理类应用程序一般只需1个UDP 分组便能完成1个数据流程。进行音频和视频数据交互的 RTP(Real Time Protocol),则需要通过多个由流数据(streaming data) 构成的 UDP 分组来完成1个数据流。

  1. 管理 ICMP 和 IP 数据流
    在进行ICMP 和 TCP/UDP 以外的 IP 通信时,由于不存在端口号这个概念,因此需要直接根据 IP 首部的协议号来生成会话信息。
    如 ICMP 中的 Echo 消息对应 Echo Reply 消息那样,防火墙需要自动识别不同的请求消息和与之对应响应消息,并综合判断这些消息序列是否属于同一个会话(图5-15)。
    在这里插入图片描述

  2. 会话同步
    支持会话同步功能的防火墙能够对冗余结构中(HA 结构①)主设备和副设备之间的会话信息 进行同步。为了准确地同步会话信息,需要使用专用的 HA 链路将两台防火墙连接,然后在该链路上完成会话信息的交互。在采用了主备方式的冗余结构中,活跃设备负责建立用户通信的会话,并将会话信息记录在会话表中,同时还会将信息通过HA 专用链路转发到备用设备中。

  3. 利用会话数目受限的特性
    有的防火墙产品拥有限制通过防火墙会话数目的功能,也有些产品将该功能作为DoS 防御功能的一部分提供给用户。防火墙可以以TCPSYN 、UDP 、ICMP 以及其他IP 等协议为单位,通过指定发送源与目的 地的组合来限制该类会话的数目。当指定的发送源为ANY 、 指定的目的地址为某特定地址时,就能够限制该服务器上的会话数目,这样做不仅可以控制服务器的负载,还可以防范 DoS 攻击。
    另外,限制会话的数目就相当于限制了防火墙内会话表中会话记录的数目,这也能够在一定程度上提高防火墙的性能。

05.07.02 分组结构解析

为了防止非法分组的流入和流出,防火墙会对分组的首部和有效载荷进行结构解析,解析的主要项目如下所示。

  1. IP 首部解析
    IPv4首部格式如图5-16所示,其中成为防火墙解析对象的部分如表5-13所示。
    在这里插入图片描述

在这里插入图片描述

  1. TCP 首部解析
    TCP首部格式如图5-17所示,其中成为防火墙解析对象的部分如表5-14所示。
    在这里插入图片描述
    在这里插入图片描述

  2. UDP 首部解析
    UDP 首部解析的对象如表5-15所示。
    在这里插入图片描述

05.07.03 安全区域

大多数的防火墙中都有安全区域(Security Zone,简称为区域)的概念,即将防火墙上物理 接口以及逻辑接口分配至不同的区域中,也就是将与防火墙连接的网段分别划分到不同的区域中。其中, 一个网络接口不能属于多个区域(图5-18)。在同一区域内可以自由进行基本通信,但跨区域的通信必须符合安全策略才能完成。防火墙也能够通过安全策略设置发送源或发送目的地等条件,根据是否符合这些条件来判断位于同一区域内的通信是否可行。
在这里插入图片描述
在这里插入图片描述

05.07.04 安全策略

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1172401.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kibana使用Timelion根据时间序列展示数据

天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。…

【服务器】Java连接redis及使用Java操作redis、使用场景

一、Java连接redis-No-SQL 1、导入依赖 在你的项目里面导入redis的pom依赖 <dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId><version>2.9.0</version> </dependency> 2、连接redis 连接redis //…

【MongoDB】MongoExport如何过滤数据导出

问题 使用MongoDB处理导出数据时&#xff0c;想增加数据过滤操作。 例如&#xff1a;导出所有isGirl为true的所有数据。 分析 在mongoexport说明文档中找到了query字段和queryFile字段&#xff0c;用来进行数据查询匹配导出。 query字段 后面直接跟 json格式数据。 queryF…

【C++语法讲解】 | 运算符重构 | 三种运算符的重构方式 |代码演示

文章目录 1&#xff0c;简述2&#xff0c;结构体的定义1&#xff0c;结构体的声明2&#xff0c;结构体的申请 3.1 &#xff0c;在结构体中重构3.2 在结构体外进行重构 1&#xff0c;简述 通常情况下&#xff0c;我们会创建一些简单的数据结构以应对日常的算法使用&#xff0c;…

layui form 中input输入框长度的统一设置

Layui.form中使用class"layui-input-inline"就可轻松将元素都放到一行&#xff0c;但如果元素过多&#xff0c;就会自动换行。那就需要手动设置input框的长度。 像这种情况&#xff1a; 其实只需要添加css样式就可修改了 .layui-form-item .layui-input-inline {wid…

海康Visionmaster通讯管理:通讯管理的心跳管理功能 的使用方法

当外部设备与视觉保持连接过程中&#xff0c;由于各种不可控的原因&#xff08;例如网线被意外拔 出&#xff0c;网口松动&#xff0c;视觉程序意外退出&#xff09;&#xff0c;如何让外部设备的程序可以知道&#xff1a;与视觉的通讯已 经中断。 可以通过通讯管理模块中的心跳…

802.11AX基础---走进HE WLAN

1、WiFi 6 是什么&#xff1f; WiFi 6是IEEE802.11ax的简称&#xff0c;也就是第六代WiFi的标准&#xff1b;它在继承前几代WiFi技术的前提下&#xff0c;不仅对速率进行优化&#xff0c;更着重于对 效率 的提升。 2、WiFi 6 为什么快&#xff1f; WiFi 6 理论速率计算公式&a…

webgoat靶场攻关

A&#xff08;5&#xff09; Broken Access Control Insecure Direct Object References 直接对象引用 直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象。 例子 使用 GET 方法的直接对象引用示例可能如下所示 https://some.company.tld/dor?id12345 https…

css进阶知识点速览

0前言 零基础部分的博客 1选择器进阶 1.1后代选择器 作用&#xff1a;根据html标签的嵌套关系&#xff0c;选择父元素后代中满足条件的元素 选择器语法&#xff1a;选择器1 选择器2 {css} 结果&#xff1a; 在选择器1所找到标签的后代中 注意&#xff1a; 后代包括&#xf…

论文浅尝 | ChatKBQA:基于微调大语言模型的知识图谱问答框架

第一作者&#xff1a;罗浩然&#xff0c;北京邮电大学博士研究生&#xff0c;研究方向为知识图谱与大语言模型协同推理 OpenKG地址&#xff1a;http://openkg.cn/tool/bupt-chatkbqa GitHub地址&#xff1a;https://github.com/LHRLAB/ChatKBQA 论文链接&#xff1a;https://ar…

【std | C++】使用C++返回当前时间的年月日时分秒格式

#include <chrono> #include <ctime> #include <iomanip> #include <iostream> #include <thread>std::string getCurrentDataTimeString() {auto now = std::chrono::system_clock

go语言 | grpc原理介绍(三)

了解 gRPC 通信模式中的消息流 gRPC 支持四种通信模式&#xff0c;分别是简单 RPC、服务端流式 RPC、客户端流式 RPC 和双向流式 RPC。 简单 RPC 在gRPC中&#xff0c;一个简单的RPC调用遵循请求-响应模型&#xff0c;通常涉及以下几个关键步骤和组件&#xff1a; 请求头&a…

【QT】QFileInfo文件信息读取

基于上节&#xff1a;【QT】文件读写-CSDN博客 //文件信息类QFileInfo info(filePath);qDebug() << "后缀名:" << info.suffix() << "大小:"<< info.size()<< "文件名:" << info.fileName() << "…

消息中间件-RabbitMQ介绍

一、基础知识 1. 什么是RabbitMQ RabbitMQ是2007年发布&#xff0c;是一个在AMQP(高级消息队列协议)基础上完成的&#xff0c;简称MQ全称为Message Queue, 消息队列&#xff08;MQ&#xff09;是一种应用程序对应用程序的通信方法&#xff0c;由Erlang&#xff08;专门针对于大…

Git 内容学习

一、Git 的理解 Git是一个分布式版本控制系统&#xff08;Distributed Version Control System&#xff0c;简称 DVCS&#xff09;&#xff0c;用于对项目源代码进行管理和跟踪变更。分为两种类型的仓库&#xff1a;本地仓库和远程仓库。 二、Git 的工作流程 详解如下&#x…

【大学英语视听说上】压头韵收集 + 自然环境口语问答 + 口语考试练习

压头韵&#xff1a; 自然环境口语问答 Q1: Do you like wildlife? Why? Yes, I like wildlife because it represents the rich biodiversity of our planet. Wildlife plays crucial roles in ecosystem health and resilience, providing essential services like pollina…

【LeetCode刷题-栈与队列】--232.用栈实现队列

232.用栈实现队列 class MyQueue {Deque<Integer> inStack;Deque<Integer> outStack;public MyQueue() {inStack new ArrayDeque<Integer>();outStack new ArrayDeque<Integer>();}public void push(int x) {inStack.push(x);}public int pop() {if(…

Python基础入门例程36-NP36 谁的数字大(运算符)

最近的博文&#xff1a; Python基础入门例程35-NP35 朋友的年龄是否相等&#xff08;运算符&#xff09;-CSDN博客 Python基础入门例程34-NP34 除法与取模运算&#xff08;运算符&#xff09;-CSDN博客 Python基础入门例程33-NP33 乘法与幂运算&#xff08;运算符&#xff0…

【软考中级】软件设计师-下午题

下午题 试题一 黑洞&#xff1a;加工有输入无输出 白洞(奇迹)&#xff1a;加工有输出无输入 灰洞&#xff1a;数据流输入的加工不足以产生输出 结构化语言&#xff1a; IF *** THEN ELSE IF *** THEN ******* END IF END IF 数据流的父子图平衡&#xff0c;如果父子图平衡就不…

力扣每日一题100:相同的树

题目描述&#xff1a; 给你两棵二叉树的根节点 p 和 q &#xff0c;编写一个函数来检验这两棵树是否相同。 如果两个树在结构上相同&#xff0c;并且节点具有相同的值&#xff0c;则认为它们是相同的。 示例 1&#xff1a; 输入&#xff1a;p [1,2,3], q [1,2,3] 输出&…