概述
防火墙:我们网络里面的防火墙,它的任务就是啥,就是防止这些安全风险从一个区域蔓延到另外一个区域的设备
作用:控制 防护
核心:防火墙的核心任务---控制和防护---安全策略---防火墙通过安全策略识别流量并做出相应
的动作。
分类
按物理特性分
软件防火墙
硬件防火墙
按性能分
百兆级防火墙
千兆级防火墙
吞吐量:单位时间内防火墙处理的数据量
按防火墙结构划分
单一主机
分布式防火墙
路由集成防火墙
按防火墙技术划分
包过滤防火墙
应用代理防火墙
状态检测放火墙
防火墙发展进程
传统防火墙(包过滤防火墙) —— 一个严格的规则表
判断信息:
数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围:
网络层、传输层(3-4层)
和路由器的区别:
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。
防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用:包过滤技术
优势:
对于小型站点容易实现,处理速度快,价格便宜
劣势:
规则表很快会变得庞大复杂难运维,只能基于五元组
因为只关注三四层数据,无法检测应用层,则无法充分的识别安全风险
需要逐包匹配检测,则效率较低。可能会成为网络的瓶颈。
规则:防火墙的安全策略在进行匹配时,自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条拒绝所有的规则
传统防火墙(应用代理防火墙)—-每个应用添加代理
判断信息:
所有应用层的信息包
工作范围:
应用层(7层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。
应用代理防火墙工作7层,检查所有的应用层信息包,每个应用需要添加对应的代理服务。
技术应用:
应用代理技术
优势:
检查了应用层的数据
劣势:
检测效率低,配置运维难度极高
可伸缩性变差:
每一种应用都需要开发对应的代理功能,否则无法代理
传统防火墙(状态检测防火墙)-首次检查建立会话表
判断信息:
IP地址、端口号、TCP标记
工作范围:
数据链路层、网络层、传输层(2-4层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。
是包过滤防火墙的升级版,一次检查建立会话表,后期直接按会话表放行。
技术应用:
状态检测技术
优势:
主要检查3-4层能够保证效率,对TCP防御较好
劣势:
应用层控制较弱,不检查数据区
‘’会话表技术“ --- 首包检测
入侵检测系统(IDS) ——网络摄像头
部署方式:
旁路部署,可多点部署(并联)
工作范围:
2-7层
工作特点:
根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:
传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
特点:
IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险
一种侧重于风险管理的安全设备
存在一定的滞后性
入侵防御系统(IPS)——抵御2-7层已知威胁
部署方式:
串联部署
工作范围:
2-7层
工作特点:
根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
目的:
IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
特点:
侧重于风险控制的安全设备
防病毒网关(AV)——基于网络侧识别病毒文件
判断信息:
数据包
工作范围:
2-7层
目的:
防止病毒文件通过外网络进入到内网环境
和防火墙的区别:
-
防病毒网关 防火墙 专注病毒过滤 专注访问控制 阻断病毒传输 控制非法授权访问 工作协议层: ISO 2-7层 工作协议层:ISO 2-4层 识别数据包IP并还远传输文件 识别数据包IP 运用病毒分析技术处理病毒体 对比规则控制访问方向 具有防火墙访问控制功能模块 不具有病毒过滤功能
-
传统的病毒检测方法
MD5 :
完全匹配二进制序列
病毒特征码:
特征码部分匹配二进制序列
配置规则
正则表达式,当A出现时且B和C只有一个出现
沙箱:
虚拟执行,开销大,潜伏期长
字节信息、原始底层特征、人为定义
Web应用防火墙(WAF)——专门用来保护web应用
判断信息:
http协议数据的request和response
工作范围:
应用层(7层)
目的:
防止基于应用层的攻击影响Web应用系统
主要技术原理:
代理服务︰
会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
特征识别:
通过正则表达式的特征库进行特征识别
算法识别:
针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等
由于网络的终极蓝图是万物互联,现在越来越多应用开始由C/S(客户端——服务端)架构向B/S(浏览器——服务器)架构转换,http协议越来越广泛,web安全越来越重要
统一威胁管理(UTM)——多合一安全网关包含
功能:
FW、IDS、IPS、AV
工作范围:
2-7层(但是不具备web应用防护能力)
目的:
将多种安全问题通过一台设备解决
优点:
功能多合一有效降低了硬件成本、人力成本、时间成本
缺点∶
模块串联检测效率低,性能消耗大
本质只是将各个安全设备传来起来,对数据进行一层层的筛查,并没有解决时间成本
下一代防火墙(NGFW)——升级版UTM
包含功能:
FW、IDS、IPS、AV、WAF
工作范围:
2-7层
和UTM的区别:
与UTM相比增加的web应用防护功能;
UTM是串行处理机制,NGFW是并行处理机制
NGFW的性能更强,管理更高效
NGFW是在数据传入是就对数据进行解包,解包后的数据会分别发给AV,IPS等模块同时处理,然后得出结果对数据进行操作
与UTM区别图示: