防火墙概述防火墙的概念及作用概念防火墙是一种将内网和外网分开的逻辑隔离技术。分离器、限制器、分析器。核心作用防火墙属于静态安全技术是不同网络 / 安全域之间信息唯一出入口依据安全策略管控进出流量自身具备强抗攻击能力是网络安全基础设施。3工作机理部署在主机与外网之间所有外网流量必经防火墙校验识别并拦截有害数据包保护内网终端。四大基本特征特征维度核心描述部署位置网络 / 安全域边界网关唯一流量出入口工作原理依据预设安全策略解析、过滤、管控数据包核心功能网络层 / 传输层 / 应用层流量控制高级防火墙可防御应用层攻击、恶意代码自身性能高转发效率、强抗攻击不成为网络瓶颈补充定位防火墙是纵深防护体系核心组成部分零信任核心思想永不信任始终验证6防火墙局限性无法防范绕过防火墙的流量攻击不能拦截已携带病毒的文件 / 软件传输无法抵御数据驱动型攻击缓冲区溢出、格式化字符串、输入验证漏洞、同步漏洞、信任漏洞等软件防火墙无法防御反射性 DDoS攻击目标为带宽防火墙分类软件防火墙、硬件防火墙、芯片级防火墙防火墙三大基础技术所有防火墙功能均基于以下三类技术扩展静态包过滤、应用层代理、状态包过滤静态包过滤技术技术原理在网络层解析 IP 数据包配置访问控制列表 ACL校验报文头部、协议、IP、端口等信息匹配规则放行不匹配直接丢弃。遵循最小特权原则仅放行指定业务流量其余全部阻断。优缺点优点与上层应用无关转发速度快、效率高缺点规则复杂难维护易产生性能瓶颈应用层代理技术概念部署在防火墙主机的专用代理程序针对特定协议提供中转服务对内充当服务器、对外充当客户端典型代表HTTP 代理、FTP 代理。技术原理完整解析应用层载荷客户端、防火墙、外网服务器建立两条独立连接代理校验访问权限合规则代为请求外网资源并转发给内网用户。代理服务器解决的问题内网主机统一通过代理访问互联网缓存已访问页面减少外网流量、提升重复访问速度精细化管控内网对外访问权限优缺点优点安全等级高可深度检测应用层内容缺点需要建立双重连接转发速度较慢状态包过滤技术技术背景CheckPoint 公司基于动态包过滤研发折中方案兼顾包过滤高速、代理高安全两大优势。技术原理新建连接匹配规则允许通行生成会话状态表后续报文仅校验状态表无需重复匹配完整规则持续监控全层级通信结合过滤规则 会话状态表双重校验流量。技术特点为每条通信创建独立会话状态全程跟踪整条连接可解析高层协议、报文内容无需开放大量端口减少端口暴露带来的安全风险。优点动态增减过滤规则规避静态包过滤缺陷支持高层协议深度分析安全与性能均衡。自适应代理防火墙融合代理安全性、包过滤高性能两大核心组件自适应代理服务器、动态包过滤器。工作流程初始应用层安全校验认证身份、建立可信通道后续报文直接网络层转发性能提升 10 倍以上兼顾安全与速率。防火墙技术实操示例网络拓扑参数内网网段[192.168.0.0/24](192.168.0.0/24)堡垒主机内网口 eth1[192.168.0.1](192.168.0.1)外网口 eth0[10.11.12.13](10.11.12.13)DNS 服务器[10.11.15.4](10.11.15.4)安全需求内网可访问外网 WWW、FTP外网禁止主动访问内网主机静态包过滤规则Set internal192.168.0.0/24Deny ip from internal to any in via eth0Deny ip from not internal to any in via eth1Allow udp from internal to any dnsAllow udp from any dns to internalAllow tcp from any to any establishedAllow tcp from internal to any www in via eth1Allow tcp from internal to any ftp in via eth1Allow tcp from any ftp-data to internal in via eth0Deny ip from any to any动态包过滤状态检测规则Set internal192.168.0.0/24Deny ip from internal to any in via eth0Deny ip from not internal to any in via eth1Allow internal access any dns by udp keep stateAllow internal access any www by tcp keep stateAllow internal access any ftp by tcp keep stateDeny ip from any to any防火墙体系结构防火墙技术竞争四大核心管理关键、功能基础、性能中坚、抗攻击能力保障防火墙设计原则保持架构、规则设计简单化提前制定安全事故应急方案四大主流防火墙体系结构教材 P41-2501屏蔽路由器仅使用一台过滤路由器实现边界防护对数据包做放行 / 阻断判断。优势最简单、成本低第一道基础防线缺陷配置需要深厚 TCP/IP 功底单点防护日志、监控能力薄弱适用场景网络主机数量少、无统一集中安全策略、非集中化管理、不使用动态 IP 分配双宿主机内外网之间部署一台双网卡主机关闭 IP 路由转发内外网无法直接三层互通。两种通信方式用户直接登录主机维护账号成本高存在入侵入口稳定性差部署代理服务优点可完整监控、记录、过滤流量安全性更强缺点访问延迟高部分特殊业务无法支持屏蔽主机由过滤路由器 内网堡垒主机组合搭建。过滤路由器互联网第一道防线强制外网流量全部转发至堡垒主机路由表是安全核心一旦篡改可绕过防护。堡垒主机部署在内网高安全加固主机运行代理服务隐藏内网网段外网访问内网必须经过堡垒主机校验。优势同时实现网络层包过滤 应用层代理双重防护安全等级高于屏蔽路由器不足设备成本更高屏蔽子网最高安全等级由外部过滤路由器、DMZ 隔离子网、内部过滤路由器三层架构组成中间隔离区域称为 DMZ非军事区 / 停火区。核心组件说明DMZ 周边网络位置外网与内网中间隔离子网用途部署对外服务器WWW、FTP公网可访问隔离风险内网与 DMZ 禁止直接传输数据安全价值攻击者攻陷堡垒主机后仍无法直达内网增加一层隔断堡垒主机部署在 DMZ运行各类代理服务处理内外网邮件、FTP、域名解析等入站业务外部路由器保护 DMZ 设备阻断外网伪造内网源 IP 的 IP 欺骗攻击内部路由器阻塞路由器隔离 DMZ 与内网承担主要包过滤工作保护内网核心资产屏蔽子网安全优势攻击者必须突破两台独立路由器多层防护难以一次性攻陷内网内网网段完全隐藏外网无法直接探测外网流量全部先进入 DMZ核心内网不受直接暴露风险衍生扩展结构多堡垒主机、多层 DMZ、合并内外路由器、双 DMZ 架构等防火墙部署与访问控制场景内网 ↔ 外网访问控制DMZ ↔ 外网访问控制内网业务子网 ↔ DMZ 访问控制远程拨号用户 ↔ 内网访问控制分支机构 ↔ 总部内网访问控制基础包过滤策略基于时间的定时访问控制用户分级权限管控高层应用协议过滤IP-MAC 地址绑定防伪造NAT 地址转换、公网 IP 复用端口映射发布内网服务透明模式接入网络流量限速、带宽管控全流量审计、日志存储日志告警报表系统多维度身份鉴别认证软件防火墙软件防火墙技术工作原理安装在 PC / 服务器操作系统上运行于系统内核与NDIS 网络驱动接口之间基于操作系统校验网卡流量依靠规则库实现安全防护。主流平台Windows、Linux、Unix代表产品Checkpoint硬件防火墙 VS 软件防火墙类型实现方式技术机制性能特点软件防火墙纯软件程序安装在通用主机规则库型 行为跟踪占用主机 CPU、内存吞吐低存在系统漏洞无法抵御反射 DDoS硬件防火墙专用硬件 裁剪固化系统行为跟踪型独立硬件资源不占用业务主机性能ASIC 芯片防火墙专用集成电路芯片固化逻辑纯硬件加速无操作系统转发速度、吞吐量最高高端骨干设备使用NetScreen、飞塔 FortiNet补充概念规则库型依靠定期升级攻击特征库拦截威胁行为跟踪型分析网络连接行为阻断攻击不受病毒库版本限制软件防火墙短板消耗主机硬件资源降低网络转发效率依托操作系统存在系统漏洞无法防御反射性 DDoS 攻击攻击消耗带宽防火墙无法拦截海量反射流量。Web 安全与防火墙Web 安全防护重点病毒防范、系统加固、边界防火墙防护防火墙 Web 防护价值拦截非法访问、加密远程传输、防止数据窃听全程监控网卡进出流量防火墙整体安全体系核心定位安全策略的落地载体管控内外网双向访问权限所有互联网流量必须经过防火墙校验。完整安全策略配套内容用户安全职责、网络访问规范、账号认证、数据加密、病毒防护、员工安全培训仅部署防火墙无配套策略等同于无防护。Windows 组策略防火墙作用阻止远程入侵、禁止来宾共享、暴力破解防护、限制程序运行、强化系统内置防火墙。互联网防火墙优缺点优点全网安全集中管控统一边界扼制点流量告警、全上网行为日志审计支持 NAT、WWW/FTP 服务发布缺陷同防火墙通用局限无法拦截绕过防火墙的流量不能查杀传输文件内病毒无法抵御数据驱动型攻击缓冲区溢出、格式化字符串、输入验证漏洞等防火墙故障排查要点优先核查安全策略配置绝大多数故障源于规则错误关闭业务不需要的闲置端口端口阻塞会导致应用收发数据异常FTP、邮件、流媒体故障需同时排查服务器状态与防火墙策略使用 netstat 定位异常端口流量软件防火墙核心技术数据流指纹检测基于状态检测机制将同一通信所有数据包整合为完整数据流维护动态连接状态表结合规则表协同校验相比静态包过滤灵活性、安全性大幅提升。硬件防火墙硬件防火墙四大硬件平台架构路由器防火墙核心功能网络互联多类型局域网、广域网接口互通数据处理包过滤、转发、加密、QoS、防火墙策略网络管理配置、性能监控、故障容错、流量控制硬件组成CPU、DRAM 内存路由表、缓存、临时数据包、以太网 / WAN 控制逻辑、异步串口管理终端缺陷命令行配置复杂、易出错易遭受 IP/TCP 欺骗包过滤消耗大量 CPU 资源日志审计功能薄弱。X86 平台防火墙通用工控 X86普通 PC 架构主板、CPU、硬盘精简外设接口搭载防火墙软件开发简单性能瓶颈明显无法满足大带宽线速转发。网络优化 X86网络处理模块与系统模块分离衍生 NP、ASIC 专用硬件平台。NP 网络处理器平台网络数据包处理设计的可编程集成电路内置多组微处理器 硬件协处理器并行运算。架构特点双 NP 架构接收 NP 负责解密、认证、流量分类发送 NP 负责加密、完整性校验硬件加速针对 TCP/IP 转发、包过滤指令优化高并发处理能力高速总线、高吞吐 I/O 接口优势可编程、开发周期短≤6 个月、成本低、功能易扩展国内厂商主流选择劣势复杂业务数据包重组、加密性能一般实际性能低于厂商标称ASIC 专用集成电路架构将转发、过滤逻辑固化至硬件芯片硬件加速转发吞吐量极高、延迟极低。优缺点优势线速转发、大流量处理性能强长期量产成本低劣势可编程性差、开发周期长12 个月、开发成本高、功能扩展受限适合固定业务大流量场景NP vs ASIC 对比总结灵活性NP ASICNP 可编程迭代更新快开发成本 / 周期NP 更低、周期更短极限转发性能ASIC 更强适用场景NP 中高端千兆防火墙ASIC 骨干高速防火墙三大硬件架构市场定位X86 工控低端中小企业防火墙主流NP、ASIC千兆及以上中高端防火墙主流方案UTM 统一威胁管理平台集成防火墙、入侵防御、病毒查杀、URL 过滤等多功能一体化硬件设备硬件底层可采用 X86/NP/ASIC多多核 CPU 专用加速卡提升综合性能。硬件防火墙日常例行检查项配置文件版本记录、修改流程留痕磁盘使用率设置容量告警基线CPU 负载判断设备运行负载是否异常后台守护进程检查安全服务全部正常运行系统关键文件变更记录审计异常安全日志提前定义告警事件长期留存日志防火墙配置基础配置原则两种默认安全策略默认拒绝所有流量业界主流安全方案手动放行业务必需端口默认允许所有流量手动阻断风险流量极少使用安全性差配置三大核心原则简单实用策略精简无需冗余功能规则越简单漏洞越少、管理越便捷全面深入纵深防御多层边界防护互联网边界、部门边界、主机防火墙分层部署多安全技术联动防火墙 入侵检测 数据加密 病毒防护内外兼顾同时防护外网入侵、内网横向渗透部署内网安全联动策略基础配置方案内网与外网边界部署包过滤路由器 / 应用网关复杂场景组合多种防火墙技术搭建多层防护体系。企业防火墙功能与配置方案中小企业必备防火墙功能动态状态包过滤实时维护会话连接表NAT 地址转换解决公网 IP 资源短缺安全域管控信任域 / 非信任域双向策略定时策略计划指定时段自动启用 / 关闭规则完整日志系统流量、告警、故障记录支持日志服务器导出IPSec VPN分支机构 / 远程用户安全内网接入邮件告警异常事件推送管理员异常报文防护丢弃畸形 IP/TCP、超限半连接、ICMP 洪水报文Web 内容过滤URL、Cookie、Java/ActiveX 控件拦截、代理管控防火墙策略配置要点规则顺序至关重要防火墙自上而下匹配规则高频业务策略前置提升效率所有规则末尾隐含一条deny all默认拒绝策略新规则追加至末尾。定时策略计划非工作时段关闭高危业务降低攻击面。日志分级采集仅记录核心告警选择性存储普通流量日志按需新增监控策略。包过滤匹配流程数据包自上而下逐条匹配规则匹配拒绝规则 → 直接丢弃匹配允许规则 → 转发处理无任何规则匹配 → 触发末尾默认拒绝阻断流量VPN 原理与技术VPN 概述定义依托运营商公网互联网构建虚拟专用加密通信隧道“虚拟” 指无需自建物理专线“专用” 指独立加密隔离传输通道。VPN 组成与原理完整 VPN 三要素VPN 服务器、VPN 客户端、加密数据隧道VPN 服务器公网固定 IP接收连接请求数据包加解密VPN 客户端主动发起隧道连接本地报文封装加密隧道公网中加密虚拟传输通道基于隧道协议封装报文隧道分层二层隧道数据链路层封装 PPP 帧代表 PPTP、L2F、L2TP三层隧道网络层封装 IP 报文代表 IPSec、GRE封装上层数据包完整作为下层报文载荷传输VPN 三大核心安全作用数据源身份认证确认报文发送方真实身份防伪造数据完整性校验传输过程无篡改识别恶意修改、传输丢包数据加密保密明文加密传输公网无法窃听VPN 分类方式按应用场景Access 远程接入 VPN、Intranet 企业内网互联 VPN、Extranet 上下游合作外网 VPN接入方式专线 VPN、拨号 VPN隧道协议二层、三层、四层、2.5 层 MPLS 隧道隧道建立模式自愿隧道客户端主动发起、强制隧道运营商统一配置路由模式叠加模式、对等模式支持大规模运营商 VPNVPN 整体特点安全加密机制完善、可保障基础服务质量、部署成本低、扩展性强、运维便捷。6安全实现机制加密算法、双向身份认证、数据完整性校验、密钥协商与自动更新。主流隧道技术与协议二层隧道协议PPTP、L2F、L2TPPPTP微软点对点隧道协议适配拨号远程用户基于 PPP 扩展L2F思科私有二层转发协议支持 ATM / 帧中继 / IP 多介质L2TP融合 PPTP 与 L2F 优势客户端 / 服务器均可发起隧道封装 PPP 帧传输三层隧道协议IPSec、GREIPSec企业站点 VPN 主流IP 层安全标准通过 AH、ESP 两种安全机制实现加密校验AH 协议IP 包头 载荷完整校验身份认证、完整性、防重放无加密ESP 协议仅加密校验 IP 载荷支持加密、认证、完整性、防重放企业最常用GRE 通用路由封装封装任意三层协议IP/IPX支持所有路由协议构建跨网段隧道。二层 / 三层隧道对比三层 IPSec 隧道安全性、扩展性更强隧道终结于运营商网关对企业内网风险更低二层隧道多用于个人远程拨号隧道终结在企业边界设备内网安全压力更大。隧道协议通用能力对比维度用户验证、令牌卡多因子认证、客户端动态地址分配、数据压缩、传输加密、密钥自动更新、多网络协议兼容。2.5 层隧道MPLS 多协议标签交换 VPN核心原理IP 报文头部添加转发标签运营商骨干依靠标签快速交换无需解析完整 IP 路由。双层标签机制内层标签区分 VPN 站点外层标签骨干网转发。运营商边缘 PE 路由器维护独立 VPN 路由表为报文打标签骨干 P 路由器仅根据外层标签转发不感知客户 VPN 网段MPLS VPN 特点运营商侧部署用户设备无需支持 MPLS支持多 VPN 独立私有地址无冲突时无需 NAT仅跨厂商互通时使用 NAT依靠标签隔离流量不依赖加密封装对比 IPSecIPSec VPN VS MPLS VPNIPSec端到端加密隧道自主部署适合跨互联网异地企业互联MPLS运营商骨干标签隔离无内置加密适合同一运营商专线企业组网四层应用层隧道SSL VPN基于 HTTPSTCP 443 端口浏览器无需客户端软件即可接入内网应用。SSL 通信流程客户端与 SSL 网关双向证书认证建立加密 SSL 隧道SSL 网关充当代理转发客户端与业务服务器流量SSL 三大协议组件握手协议身份认证、协商加密套件、记录协议报文加密传输、警告协议异常告警IPSec VPN VS SSL VPNIPSec三层全网络打通所有业务流量加密适合站点互联SSL应用层代理仅放开指定 Web / 业务系统仅远程移动用户轻量化访问VPN 行业发展趋势主流方案格局IPSec 站点 VPN 市场占比最高MPLS 运营商专线 VPN 第二SSL 远程接入 VPN 高速增长技术定位IPSec企业分支站点互联标准端到端完整加密防护SSL VPN移动办公、远程运维轻量化首选免客户端MPLS VPN大型企业多分支机构运营商专线组网发展痛点多 VPN 统一管理平台缺失大型企业需要集中目录账号管理整体优势兼顾传统专线安全稳定与互联网低成本是企业跨地域组网主流方案