本节书摘来自异步社区《CCNP安全防火墙642-618认证考试指南》一书中的第1章,第1.4节防火墙技术,作者【美】David Hucaby , Dave Garneau , Anthony Sequeira,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.4 防火墙技术
CCNP安全防火墙642-618认证考试指南
防火墙最基本的作用是隔离不同的域,并对在不同的域之间传输的数据包执行控制策略。处于安全边界的防火墙能够在开放式系统互联(OSI)模型中的不同层面实施访问控制。
例如,拥有网络层访问控制能力的防火墙可以根据2层到4层,也就是数据链路层、网络层及传输层的信息执行转发决策。此类防火墙可以决策诸如某IP流是否能够通过,位于一侧的主机是否能够和另一侧的资源建立TCP或UDP连接等情况。
拥有应用层访问控制能力的防火墙可以在5层至7层,也就是会话层、表示层及应用层执行安全策略。此类防火墙可以监视用户应用程序数据穿越网络边界时的行为。例如,应用层防火墙可以检测用户的Web浏览会话是否违规,用户的电子邮件及传输的文件是否包含病毒或其他恶意内容。
防火墙一般采用如下形式来进行访问控制。
关键自由访问控制:所有流量允许通过,除非显式阻塞。
限制访问控制:所有流量拒绝通过,除非显式允许。
自由访问控制是一种被动的方式,当潜在威胁被识别且策略规则被启用时才能够对流量进行反应或阻塞,而其余的流量将被允许通过。策略规则通常是由入侵防御系统(IPS)及反病毒系统根据网络监测的实时情况动态地添加。
限制访问控制是一种主动的方式,被预定义规则所识别的各种流量能够直接进入防火墙进行决策,而其他流量不论是否为恶意、突发或未识别的,默认都将被拒绝。这和 Cisco IOS 访问控制列表的行为是一致的。流量检测规则有序地进行组织,但末尾隐式地存在一条“拒绝所有”的条目。
防火墙可以基于下文即将介绍的工具和技术,结合自身的访问控制形式来对流量进行评估和过滤。
1.4.1 无状态包过滤
某些防火墙只能根据数据包网络层头部或传输层段头内的信息进行流量检查,且基于每个独立的数据包来决策其转发或丢弃。因此,这种防火墙对于连接状态毫无认识,仅仅只是关注数据包是否匹配安全策略。
实现无状态包过滤只需要在防火墙上配置一系列静态的规则策略,另外,无状态防火墙无法感知那些能够动态协商会话和端口号的连接。
