一、 防火墙是什么
说到防火墙,可能大家既熟悉,又陌生。
熟悉,是因为我们经常在用,例如window自带的防火墙。
陌生,是我们不知道怎么如何定义防火墙。是防病毒?是防攻击?亦或是防黑客?
防火墙,来自于英文Firewall的直译,其作用类似于防火的隔离带,用于防止火势蔓延,隔离危险。后引申到信息安全中,表示的是部署在不同的安全区域之间,根据安全规则控制数据包转发的安全设备。
防火墙对应在现实生活中,像公司大门的保安大爷,大门外是公共区域,大门内是内部区域,进入内部区域,都要经过保安大爷的盘查,符合公司的相关规定,方可放行。而防火墙就如同网络世界中的保安。
众所周知,window和linux都有自带的防火墙,那我们为什么还需要部署独立于系统之外的防火墙呢?一方面是,独立作为访问入口的防火墙,更便于管理和配置。回到刚刚保安的例子,如果不在大门设置保安进行安全检查,而是不同部门的门口单独设置,当公司的安全规定更新时,则需要通知到每一个部门的保安,工作量大大增加;另一方面,独立的防火墙比内置在操作系统防火墙更加安全,当操作系统被攻击者完全控制时,便可随意更改系统中的防火墙策略。
二、 阿里云防火墙的选择
常见的防火墙,主要工作在OSI参考模型中的网络层、传输层以及应用层
防火墙工作的层级,意味着防火墙能对对应的数据包进行过滤。
例如:
阿里云ECS的安全组,属于带状态检测的包过滤防火墙,该防火墙可以对数据包的目的端口进行限制,所以安全组是工作在传输层的防火墙
这类包过滤防火墙优点是数据包的转发效率高,同样也存在缺点,无法对基于数据驱动型攻击进行防御。
例如,在安全组设置,只允许目的为80的网络流量通过防火墙,但如果攻击者通过80端口传输一个SQL注入的指令,则有可能导致网站数据库的信息泄露。从传输层规则来看,该攻击数据包符合安全组的传输策略,所以传输层防火墙无法对应用层的攻击进行防御。
这个时候,则需要使用应用层防火墙,阿里云的web应用防火墙,则专门针对web应用类的攻击进行过滤
随着业务的发展,服务器的规模越来越大,安全组的访问控制变得越来越复杂,不同VPC之间的流量走向不明等,需要更加适合全局管理的传输层防火墙:云防火墙,该防火墙可以集中配置,统一规划VPC之间的安全策略,以及实现流量可视化,安全策略的实现变得更加便捷。
三、 防火墙的安全策略
(1)定义
防火墙在对数据包进行安全检查时,依据是管理人员对防火墙配置的安全策略。安全策略可以大致定义为,匹配对应的数据包,并执行相应的操作。
(2)说明
安全组和云防火墙的安全策略,都是根据ip地址和端口进行数据包的匹配,需要注意的是,不但要设置入方向的安全规则,还需要设置出方向的安全规则,避免服务器执行恶意代码,主动对外发起攻击。
Web应用防火墙使用的是智能策略,根据安全大数据分析自动更新防护策略,并通过智能策略进行web攻击的防御。
(3)案例
以window的远程桌面登录密码的暴力破解,作为案例分析。暴力破解的基本原理,是通过软件自动化模拟用户远程登录服务器,并按照字典中的密码逐个尝试,以得出正确远程登录密码。
特征分析:
通过日志分析,可以发现大量的认证日志,表明攻击者在尝试登陆
从网络数据包的角度,发现存在大量针对3389的TCP连接。
防御方法:
根据远程桌面的攻击特点,是使用TCP 3389端口进行尝试登陆,所以需要在安全组针对3389端口添加安全策略,设置允许远程登录的ip地址。
