网络安全产品之认识防火墙

防火墙是一种网络安全产品，它设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

一、什么是防火墙

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙（Firewall），是一种硬件设备或软件系统，主要架设在内部网络和外部网络间，为了防止外界恶意程式对内部系统的破坏，或者阻止内部重要信息向外流出，有双向监督功能。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

二、防火墙的主要功能

1. 创建一个阻塞点
   防火墙在一个公司内部网络和外部网络间建立一个检查点，这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。这样一个检查点，在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。
2. 隔离不同网络，防止内部信息的外泄
   这是防火墙的最基本功能，它通过隔离内、外部网络来确保内部网络的安全。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
3. 强化网络安全策略
   通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。各种安全措施的有机结合，更能有效地对网络安全性能起到加强作用。
4. 有效地审计和记录内、外部网络上的活动
   防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息，可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

三、防火墙的主要类型

按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。

1. 包过滤防火墙
   数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表（又叫规则表），规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。
2. 应用代理防火墙
   应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用：缺点是执行速度慢，操作系统容易遭到攻击。
3. 状态检测防火墙
   状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被终止。状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及P数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。

四、部署方式

防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：基于TCP/IP协议三层的NAT模式、基于TCP/IP协议三层的路由模式、基于二层协议的透明模式。

1. NAT模式
   当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust区（外网或者公网）的IP数据包包头中的两个组件进行转换：源IP地址和源端口号。防火墙使用Untrust区（外网或者公网）接口的IP地址替换始发端主机的源IP地址；同时使用由防火墙生成的任意端口号替换源端口号。
2. Route-路由模式
   当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP数据包包头中的源地址和端口号保持不变（除非明确采用了地址翻译策略）。与NAT模式下不同，防火墙接口都处于路由模式时，防火墙不会自动实施地址翻译；与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。
3. 透明模式
   当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2层交换机或者桥接器，防火墙对于用户来说是透明的。

五、局限性

1. 不能防止源于内部的攻击，不提供对内部的保护；
2. 不能防病毒；
3. 不能根据网络被恶意使用和攻击的情况动态调整自己的策略；
4. 本身的防攻击能力不够，容易成为被攻击的首要目标。

六、防火墙与IPS的区别与关系

防火墙和IPS（入侵防御系统）是两种不同的网络安全产品，它们在保护网络方面有不同的侧重点和功能。

防火墙主要用于控制网络访问，它可以过滤掉不安全的服务和非法用户，防止入侵者接近防御设施，是第一道的防线。防火墙部署在网络边界，可以隔离内外网，并对进出网络的数据流进行过滤和监测。防火墙通常基于预设的安全策略来允许或拒绝数据流的进出，可以防御常见的网络攻击，但对于一些未知或不断变化的威胁可能效果有限。

而IPS是一种主动的网络安全防御系统，它可以在网络中实时检测和防御恶意行为。IPS可以检测到攻击者的行为，并在攻击对系统造成损害之前及时阻止。IPS通过分析网络流量和检测异常行为来发现攻击，并可以采取措施来隔离攻击源、修复受损系统、记录攻击信息等。由于IPS需要实时监测网络流量，因此对于大规模的网络流量可能会对性能产生一定影响。

防火墙和IPS在网络安全中各有侧重，但可以相互配合使用。防火墙可以过滤掉大部分的常见威胁，而IPS可以补充防火墙的不足，提供更深入的检测和防御能力。同时，IPS可以检测和防御那些已经绕过防火墙的攻击，提高整体的网络安全性。

七、防火墙如何提升防护能力

防火墙应对不断变化的网络威胁的方法主要包括以下几个方面：

1. 动态更新和升级：防火墙可以通过动态更新和升级来应对不断变化的网络威胁。厂商会不断发布新的安全漏洞和威胁情报，防火墙可以通过定期更新和升级来修补这些漏洞，并增强对新型威胁的防御能力。
2. 应用层防护：随着网络威胁的变化，防火墙需要具备应用层防护能力，能够识别和拦截各种应用层的攻击，如SQL注入、跨站脚本等。
3. 入侵检测与防御：防火墙集成了入侵检测与防御功能，能够实时检测网络流量中的异常行为，并采取相应的防御措施。通过与安全设备的联动，可以进一步增强对网络威胁的应对能力。
4. 智能分析：借助大数据和人工智能技术，防火墙可以进行智能分析，自动识别和分类网络流量中的威胁，并提供可视化的威胁报表。这有助于企业及时发现和处理潜在的安全风险。
5. 云安全技术：随着云计算的普及，云安全也成为防火墙的重要功能之一。防火墙需要具备云安全技术，能够防御来自云端的安全威胁，保护企业数据的安全。

防火墙通过动态更新和升级、应用层防护、入侵检测与防御、智能分析和云安全技术等手段，可以应对不断变化的网络威胁。但需要注意的是，防火墙只是网络安全的一部分，企业还需要结合其他安全措施，如数据加密、身份认证等，来全面提升网络安全防护能力。

博客：http://xiejava.ishareread.com/