网络安全知识：防火墙

文摘 2025-02-02 06:00 河南

在计算机领域，防火墙是一种网络安全系统，它根据可配置的安全规则监视和控制传入和传出的网络流量。防火墙通常在受信任的网络与不受信任的网络（如Internet）之间或多个VLAN之间建立屏障。

防火墙是网络安全的基石，可保护网络免受未经授权的访问。可防止不良行为者（黑客、机器人和其他威胁）超载或渗透专用网络以窃取敏感数据。

传统上，防火墙通过在网络或计算机周围形成安全边界来控制流量。可以防止任何人在未经授权的情况下访问网络资源。如果没有这种保护，几乎任何人都可以进入网络并为所欲为。

当今的网络安全形势要求采取分层方法。虽然防火墙仍然是网络防御的基石，但高级威胁需要额外的安全措施。云计算和混合工作环境的兴起进一步凸显了对全面安全解决方案的需求。

幸运的是，尖端防火墙技术与人工智能服务正在加速网络安全。现代防火墙供应商将传统工具的优势与新解决方案的创新功能相结合，帮助组织抵御最复杂的攻击策略。

防火墙起什么作用？

防火墙可防御恶意流量。它们战略性地位于网络边缘或数据中心，可以密切监视任何试图跨越此边界的行为。

这种可视性还允许网络防火墙实时细致地检查和验证数据包。这涉及根据预定义的标准检查数据包以确定其是否构成威胁。如果数据包不符合标准，防火墙将阻止其进入或离开网络。

防火墙调节入站和出站流量，保护网络免受以下侵害：

外部威胁，如病毒、后门、钓鱼电子邮件和拒绝服务 (DoS) 攻击。防火墙会过滤传入的流量，防止未经授权访问敏感数据并阻止潜在的恶意软件感染。
内部威胁，例如已知的不良行为者或有风险的应用程序。防火墙可以强制执行规则和策略来限制某些类型的传出流量，这有助于识别可疑活动并减轻数据泄露。

防火墙与防病毒软件对比

防火墙和防病毒软件有什么区别？防火墙专注于控制网络流量和防止未经授权的访问。相比之下，防病毒程序则针对设备层面的威胁并消除这些威胁。更具体地说，主要区别包括：

范围：防病毒软件主要是一种端点解决方案，意味着安装在单个设备上。防火墙主要部署在网络级别，但一些组织直接在端点上安装托管防火墙以提供额外的保护。
功能：防火墙监控流量，在恶意数据进入网络（或端点）之前将其阻止。防病毒工具会扫描本地环境以查找恶意软件、勒索软件和其他传染性攻击的迹象。

企业通常会同时部署防火墙和防病毒程序。作为互补的解决方案，各自为保护企业资产提供了必要的保护层。

防火墙功能：NAT和VPN

网络地址转换 (NAT) 和虚拟专用网络 (VPN) 是两种不同的技术，每种技术都有一套与网络安全和连接相关的功能。NAT主要与路由目的的地址转换相关，而VPN用于在互联网上创建安全、加密的连接。

NAT

NAT 会在数据包通过防火墙时更改其目标地址或源地址。这样，多个设备就可以使用同一个 IP 地址连接到互联网，从而有助于保护专用网络免受外部威胁的直接影响。

在办公室环境中，每位员工都使用自己的计算机或移动设备访问互联网，以便浏览网页、发送电子邮件和访问云服务。尽管每台设备在公司内部网络中都有自己的私有 IP 地址，但所有出站流量在外部网络中都显示为来自分配给公司的同一公共 IP 地址。因此，潜在攻击者更难识别和瞄准单个设备。

VPN

VPN 是一种代理服务器。因此，它充当计算机或网络与互联网之间的屏障，接收所有网络请求，然后将其转发到网络。

VPN 很常见，可将专用网络扩展到公共网络（例如互联网）。这样，用户就可以安全地传输数据，就像他们的设备直接连接到专用网络一样。该连接在远程设备和公司网络之间建立了加密隧道，从而实现安全访问。

此功能在混合环境中尤其有用。远程员工可以利用 VPN 访问公司网络和关键应用程序，无论他们在哪里或如何工作。

防火墙的发展经历了四个不同的阶段：

第一代防火墙 始于1989年，采用数据包过滤方法。这些防火墙检查单个数据包，根据预定义规则决定允许或阻止它们。然而，这类防火墙无法识别这些数据包是否包含恶意代码（即恶意软件）。

第二代防火墙 始于21世纪初。这种防火墙也称为状态防火墙，可以跟踪活动连接的状态。通过观察网络流量，它们使用上下文来识别可疑行为并采取行动。不幸的是，这一代防火墙也有其局限性。

第三代防火墙出现于21世纪初期后期。通常称为代理防火墙或应用程序级网关，充当客户端和服务器之间的中介，转发请求并过滤响应。

第四代防火墙也称为下一代防火墙 (NGFW)，于2010年开始出现。NGFW 将传统功能与新的高级功能（如入侵防御 (IPS)、应用层过滤和高级威胁检测）相结合。

尽管每一代防火墙都比上一代有所改进，但许多早期版本至今仍在使用。

防火墙历史

防火墙这个术语最初是指用来将火势限制在一排相邻建筑物内的墙。后来被用来指类似的结构，例如将汽车或飞机的发动机舱与乘客舱隔开的金属板。20 世纪 80 年代，这个术语开始用于描述网络技术，当时互联网在全球使用和连通性方面还比较新。网络安全防火墙的前身是20 世纪 80 年代使用的路由器。由于它们已经将网络隔离，因此路由器可以对穿过网络的数据包进行过滤。

在用于实际计算之前，该术语出现在约翰·巴德姆 (John Badham) 1983 年的计算机黑客电影《战争游戏》中，由留着大胡子、戴着眼镜的程序员保罗·里希特 (Paul Richter) 朗读，这可能启发了该术语后来的使用。

最早在商业上取得成功的防火墙和网络地址转换 (NAT) 产品之一是PIX（专用互联网交换）防火墙，由约翰·梅耶斯创立并运营的创业公司 Network Translation Inc. 于 1994 年发明。PIX 防火墙技术由 Brantley Coile 以顾问软件开发人员的身份编写。他们意识到新出现的 IPv4 地址耗尽问题，因此设计了 PIX，使组织能够使用有限数量的注册 IP 地址将专用网络安全地连接到公共互联网。创新的 PIX 解决方案迅速赢得了业界赞誉，并于 1995 年 1 月荣获《数据通信杂志》颁发的“年度热门产品”奖。思科系统公司寻求进军快速增长的网络安全市场，随后于 1995 年 11 月收购了 Network Translation Inc.，以获得 PIX 技术的使用权。PIX 成为思科的旗舰防火墙产品线之一，最终被 2005 年推出的自适应安全设备 (ASA) 平台所取代。

防火墙的类型

防火墙分为基于网络的系统和基于主机的系统。基于网络的防火墙位于两个或多个网络之间，通常位于局域网（LAN）和广域网（WAN）之间，其基本功能是控制相连网络之间的数据流。它们要么是运行在通用硬件上的软件设备，要么是运行在专用硬件上的硬件设备，要么是运行在由虚拟机管理程序控制的虚拟主机上的虚拟设备。防火墙设备还可以提供非防火墙功能，如DHCP或VPN服务。基于主机的防火墙直接部署在主机本身上，以控制网络流量或其他计算资源。这可以是作为操作系统一部分的守护进程或服务，也可以是用于保护的代理应用程序。

数据包过滤器

最早报告的网络防火墙类型称为数据包过滤器，它可以检查计算机之间传输的数据包。防火墙维护一个访问控制列表，该列表规定了要查看哪些数据包以及应应用哪些操作（如果有），默认操作设置为静默丢弃。针对数据包的三个基本操作包括静默丢弃、使用Internet 控制消息协议或TCP 重置响应丢弃发送方以及转发到下一跳。数据包可以通过源和目标IP 地址、协议或源和目标端口进行过滤。20 世纪和 21 世纪初的大部分互联网通信使用传输控制协议(TCP) 或用户数据报协议(UDP) 结合众所周知的端口，使那个时代的防火墙能够区分特定类型的流量，例如网页浏览、远程打印、电子邮件传输和文件传输。

第一篇关于防火墙技术的论文发表于 1987 年，当时来自数字设备公司(DEC) 的工程师开发了被称为数据包过滤防火墙的过滤系统。在AT&T 贝尔实验室，Bill Cheswick和Steve Bellovin继续进行数据包过滤方面的研究，并基于他们最初的第一代架构为自己的公司开发了一个工作模型。1992年，Steven McCanne 和 Van Jacobson在劳伦斯伯克利实验室发表了一篇关于BSD 数据包过滤器(BPF) 的论文。

状态防火墙

1989 年至 1990 年间， AT&T 贝尔实验室的三位同事Dave Presotto、Janardan Sharma 和 Kshitij Nigam 开发了第二代防火墙，称之为电路级网关。

第二代防火墙不仅能完成第一代防火墙的功能，还能记住两个IP 地址在OSI 模型第 4 层（传输层）用于对话的端口号，从而了解端点之间的具体对话，从而可以检查节点之间的总体交换情况。

应用防火墙

1993 年 10 月， Marcus Ranum、Wei Xu 和 Peter Churchyard 发布了一款名为防火墙工具包 (FWTK) 的应用防火墙。成为Trusted Information Systems的 Gauntlet 防火墙的基础。应用层过滤的主要优势在于，它可以理解某些应用程序和协议，例如文件传输协议(FTP)、域名系统(DNS) 或超文本传输协议(HTTP)。这使它能够识别使用非标准端口的有害应用程序或服务，或检测允许的协议是否被滥用。它还可以提供统一的安全管理，包括强制加密的 DNS和虚拟专用网络。

自 2012 年起，下一代防火墙在应用层提供了更广泛的检查，扩展了深度数据包检查功能，包括但不限于：

Web 过滤
入侵防御系统
用户身份管理
Web 应用程序防火墙
内容检查与启发式分析
TLS 检查

特定于端点

基于端点的应用程序防火墙通过确定进程是否应接受任何给定的连接来发挥作用。应用程序防火墙通过检查数据包的进程 ID是否符合数据传输所涉及的本地进程的规则集来过滤连接。应用程序防火墙通过挂接到套接字调用来过滤应用程序层和较低层之间的连接，从而实现其功能。挂接到套接字调用的应用程序防火墙也称为套接字过滤器。

防火墙策略

防火墙运行的核心是控制其决策过程的策略。这些策略统称为防火墙规则，是决定允许或阻止跨网络边界的流量的具体准则。

防火墙规则基于对网络数据包与预定安全标准的评估。网络数据包（用于跨网络传输数据）必须符合规则中定义的某些属性才能通过防火墙。这些属性通常包括：

流向：入站或出站流量
来源：流量来源（IP 地址、范围、网络或区域）
目的地：流量去往何处（IP 地址、范围、网络或区域）
端口：特定于各种服务的网络端口（例如，HTTP的端口 80 ）
协议：网络协议的类型（例如TCP、UDP、ICMP）
应用程序：七层检查或分组 av 服务。
操作：是否允许、拒绝、丢弃或要求对流量进行进一步检查

区域

区域是网络中的逻辑段，将具有类似安全要求的设备分组在一起。通过将网络划分为区域（例如“技术”、“ WAN ”、“ LAN ”、“公共”、“专用”、“ DMZ ”和“无线”），管理员可以实施控制这些区域之间流量的策略。每个区域都有自己的信任级别，并受特定防火墙规则的约束，这些规则规范数据的进出。

典型的默认设置是允许从 LAN 到 WAN 的所有流量，并丢弃从 WAN 到 LAN 的所有流量。

服务

在网络术语中，服务是通常由网络端口和协议标识的特定功能。常见示例包括端口 80 和 443 上的 HTTP/HTTPS（Web 流量）、端口 21 上的 FTP（文件传输）和端口 25 上的 SMTP（电子邮件）。服务是用户所依赖的应用程序背后的引擎。从安全角度来看，控制对服务的访问至关重要，因为服务是常见的攻击目标。防火墙采用规则来规定哪些服务应该可以访问、谁可以访问以及在什么情况下可以访问。例如，防火墙可能配置为阻止传入的 FTP 请求以防止未经授权的文件上传，但允许传出的 HTTPS 请求进行 Web 浏览。

应用

应用程序是指用户在网络上与之交互的软件系统。它们可以是 Web 浏览器和电子邮件客户端，也可以是复杂的数据库系统和基于云的服务。在网络安全中，应用程序非常重要，因为不同类型的流量可能带来不同的安全风险。因此，可以制定防火墙规则来根据生成或接收流量的应用程序来识别和控制流量。通过使用应用程序感知，防火墙可以根据组织策略和合规性要求允许、拒绝或限制特定应用程序的流量，从而减轻易受攻击或不受欢迎的应用程序带来的潜在威胁。

应用程序既可以是服务的分组，也可以是L7 检查。

用户身份

由于用户位置和设备使用情况的动态特性，仅基于 IP 地址实施防火墙规则通常是不够的。^{用户 ID 将转换为 IP 地址。}

这就是“用户 ID”概念产生重大影响的地方。用户 ID 允许根据个人用户身份（而不仅仅是固定的源或目标 IP 地址）制定防火墙规则。这通过更精细地控制谁可以访问某些网络资源（无论他们从哪里连接或使用什么设备）来增强安全性。

用户 ID 技术通常通过使用目录服务（例如Active Directory、LDAP、RADIUS或TACACS+ ）集成到防火墙系统中。这些服务将用户的登录信息与其网络活动联系起来。通过这样做，防火墙可以应用与用户组、角色或单个用户帐户相对应的规则和策略，而不是单纯依赖于网络拓扑。

在防火墙规则中使用用户 ID 的示例

假设有一所学校想要限制学生访问社交媒体服务器。他们可以在防火墙中创建一条规则，利用用户 ID 信息来执行此策略。

目录服务配置 — 首先，必须将防火墙配置为与存储用户组成员身份的目录服务进行通信。在本例中，即 Active Directory 服务器。
用户识别 — 防火墙通过解释身份验证日志将网络流量映射到特定用户 ID。当用户登录时，防火墙会将该登录与用户的IP 地址关联起来。
定义用户组 — 在防火墙的管理界面中，根据目录服务定义用户组。例如，创建“学生”等组。
创建防火墙规则：

来源：用户 ID（例如，学生）
目标： IP 地址列表
服务/应用程序：允许的服务（例如HTTP、HTTPS）
行动：拒绝

实施默认允许规则：

来源：LAN专区
目标：WAN区域
服务/应用：任何
操作：允许

使用此设置，只有经过身份验证并被标识为“学生”成员的用户才能访问社交媒体服务器。从 LAN 接口开始的所有其他流量都将被允许。

最常见的防火墙日志类型

流量日志：

描述：流量日志记录有关网络数据传输的全面详细信息。其中包括源和目标 IP 地址、端口号、使用的协议以及防火墙采取的操作（例如允许、丢弃或拒绝）。
意义：对于网络管理员来说，分析和了解设备之间的通信模式至关重要，有助于排除故障和优化网络性能。

威胁预防日志：

描述：专门用于捕获与安全威胁相关的信息的日志。这包括来自入侵防御系统 (IPS)、防病毒事件、反机器人检测和其他威胁相关数据的警报。
意义：对于识别和应对潜在的安全漏洞至关重要，帮助安全团队主动保护网络。

审计日志：

描述：记录管理操作和对防火墙配置所做的更改的日志。这些日志对于跟踪管理员出于安全和合规目的所做的更改至关重要。
意义：通过提供管理活动的详细历史记录、协助调查和确保遵守安全政策来支持审计和合规工作。

事件日志：

描述：常规事件日志，捕获防火墙上发生的各种事件，帮助管理员监控和解决问题。
意义：提供防火墙活动的整体视图，有助于识别和解决网络基础设施内的任何异常或性能问题。

会话日志：

描述：提供有关已建立的网络会话的信息的日志，包括会话开始和结束时间、数据传输速率以及相关的用户或设备信息。
意义：有助于实时监控网络会话，识别异常活动，优化网络性能。

DDoS 缓解日志：

描述：记录与分布式拒绝服务 (DDoS) 攻击相关的事件的日志，包括防火墙为保护网络而采取的缓解措施。
意义：对于及时识别和减轻 DDoS 攻击、保护网络资源和确保不间断的服务可用性至关重要。

地理位置日志：

描述：捕获网络连接地理位置信息的日志。这对于根据地理区域监控和控制访问非常有用。
意义：通过检测和阻止源自特定地理位置的可疑活动来帮助增强安全性，从而更有力地防御潜在威胁。

URL 过滤日志：

描述：记录与网络流量和 URL 过滤相关的数据。这包括有关阻止和允许的 URL 的详细信息，以及用户访问的网站类别。
意义：通过监控和控制网络活动，使组织能够管理互联网访问、执行可接受的使用政策并增强整体网络安全。

用户活动日志：

描述：捕获用户特定信息的日志，例如身份验证事件、用户登录/注销详细信息以及用户特定的流量模式。
意义：有助于追踪用户行为，确保责任，并提供涉及特定用户的潜在安全事件的见解。

VPN 日志：

描述：与虚拟专用网络 (VPN) 连接相关的信息，包括连接和断开连接、隧道信息和 VPN 特定的错误等事件。
意义：对于监控VPN连接的完整性和性能至关重要，确保远程用户和企业网络之间的安全通信。

系统日志：

描述：提供有关防火墙系统整体运行状况、状态和配置更改的信息的日志。这可能包括与高可用性 (HA)、软件更新和其他系统级事件相关的日志。
意义：对于维护防火墙基础设施、诊断问题以及确保系统最佳运行至关重要。

合规日志：

描述：专门用于记录与法规遵从性要求相关的事件的日志。这可能包括确保遵守行业标准或法律规定的活动。
意义：对于受特定法规约束的组织至关重要，有助于证明其遵守合规标准并促进审计流程。

配置

配置防火墙是一项复杂且容易出错的任务。网络可能因配置错误而面临安全问题。防火墙策略配置基于特定的网络类型（例如公共或私有），可以使用防火墙规则进行设置，以阻止或允许访问，以防止黑客或恶意软件的潜在攻击。

祺印说信安

学习网络安全、说网络安全；共同致力于网络安全、网络安全等级保护。