防火墙的那些事

点击蓝字

关注我们

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

防火墙作为网络安全的核心防线，防火墙反映了网络威胁形态的变化和安全理念的进步。

第一代：包过滤防火墙

工作在网络层(OSI第3层)，基于IP地址、端口和协议类型进行简单过滤

第二代：状态检测防火墙

跟踪连接状态(如TCP握手过程)，区分新建连接与已有连接的返回流量。有效防御IP欺骗和部分DoS攻击。

第三代：应用代理防火墙

工作在应用层(OSI第7层)，能够识别应用层协议语义。精细控制应用行为，防御缓冲区溢出等攻击。（什么是缓冲区溢出：）

第四代：统一威胁管理(UTM)

在防火墙的基础上增加了VPN、IPS、反病毒、内容过滤等功能。增加了这些功能就导致防火墙的性能会有所下降。

第五代：下一代防火墙(NGFW)

增加了应用识别、用户身份绑定、威胁情报集成等功能。

今天咱们详细聊聊第四代和第五代产品，虽然是两代产品但是功能没有变化，只是丰富了产品设计。

防火墙如果要能实现上述功能，前提是能够对流经防火墙的数据包能识别，能够认识它，也就是能够做到和深度流检测(DFI)。深度包检测(DPI)不仅检查包头信息，还深入分析数据包内容，识别应用层协议和恶意代码。深度流检测(DFI)分析网络流的行为特征，识别异常流量模式。

到这里，我们可以能疑惑，数据包和数据流到底是什么关系。

我们知道，网络里信息能够发送，实际是把信息分割成一个个小的数据包单位，进行传输。其结构包括：

1.包头（Header）

链路层头（如以太网帧头）：源/目的MAC地址、类型标识（如IPv4/IPv6）、VLAN标签等。

网络层头（如IP头）：源/目的IP地址、TTL（生存时间）、协议类型（TCP/UDP/ICMP）、分片信息。

传输层头（如TCP/UDP头）：源/目的端口号、序列号、校验和、TCP标志位（SYN/ACK等）。

2. 载荷（Payload）

实际传输的数据：应用层协议内容（如HTTP请求、DNS查询、视频流片段）。注：加密协议（TLS）下载荷为密文。

3. 包尾（Trailer，可选）

帧校验序列（FCS）：用于错误检测（如CRC校验），常见于链路层。

4. 特殊类型包

控制包：如TCP的SYN/ACK包、ICMP的Ping请求。

分片包：IP层对大包的分片重组标识。

说白了，就是七元组：源IP、目的IP、源Mac、目的Mac、源端口、目的端口（通过端口号识别对应的应用，要不然我们有微信QQ，系统怎么知道是发给微信的还是发给QQ的）、协议（协议里又分为对应的服务端口），最后会附加上有效的负载即想要发送的数据。因为，这些数据包是一个一个的传输的，上一个包和下一个包可能有关联，经过上下文的识别，就形成数据流了。可以把这些流可视化出来。这样我们就可以识别出异常流量，也能判断出它的行为。这就好比我们看见一个人他举起了手，然后攥起了拳头而且有一个向前向后的向量动作。我们肯能判断他想打人。我们就要阻止他，但是我们单看举手这个动作是发现不了什么问题的，通过一连串的动作才能做出判断。这里就有一个问题了，我们通过这样的一连串动作就判断他要打人是不是过激了？可能他在锻炼身体打太极；所以会有误判的可能。防火墙也是一样，也会误识别。怎么办呢？

从上边可以看出，防火墙的好坏就是能够深度解析数据包，认识里面的内容。把数据包打开后看里面的内容，然后作下一步处理。解析完数据包后可以做很多工作：

访问控制：根据七元组就可以做白名单的访问控制了。明确哪些可以通讯，哪些不可通信，减小了攻击面。如果防火墙支持应用识别，还可以做基于应用的访问控制，如现在游戏应用、微信、微博、炒股等内容，他是通过匹配应用特征（如HTTP头部的User-Agent字段），能够对已知协议识别（如HTTP/SMB）。所以说，底层还是要有强大的应用识别库。
地址转换：这个比较简单，最早是用在路由器中的。

VPN搭建：ipsecVPN和sslvpn等
WEB关键字过滤：搜索引擎内容的过滤、HTTP上传（POST内容的过滤、web邮件过滤（发件人、收件人，主题、内容、附件名）、web社区论坛（发帖内容、附件上传））以及HTTP网页浏览内容（文本非图片文字）的过滤，

URL过滤：基于URL分类来对用户访问WEB站点进行控制

邮件控制：用于对SMTP发送邮件及POP3、IMAP接收邮件进行控制，可以根据收件人、发件人、主题、内容、附件名、邮件大小及附件个数等信息，控制收取的邮件，通过策略决定放行或阻断。

文件类型过滤：HTTP的Content-Type（如application/pdf）、FTP的STOR命令后的文件名后缀（如.exe）、SMTP附件的MIME类型标识可以识别出文件类型，进一步对文件进行过滤。（详细识别方式请深入学习MIME映射知识）

入侵特征库检测：这个库是一些具有风险攻击的一些特征码正则表达式的黑名单库，所以说，防火墙能否挡住攻击，很大程度上取决于这个库，而且是否和数据包解析后的匹配程度。说到这里，是不是也会有误报的存在。

病毒防护：实际也是依赖文件特征对传输的文件进行过滤。可以对诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议进行文件扫描。效果如何也取决于这个病毒库是否强大，类似杀毒软件中的病毒库。

除此之外，还有一些基础的安全防护：ARP/ND攻击防护、DoS攻击防护、WEB安全防护等，其核心还是规则和库是否设置的巧妙。

那在我们实际应用中有什么效果呢，直观感受就是增加了很多限制，能够访问的内容相对变少了。有丰富的特征库，也能阻断一些攻击；那问题来了，通过上面分析，误报是一定的，无法避免。我们怎么判断那是真实攻击，哪些是误报的呢？每天产生上万条告警，安全管理看到后都麻了，虱子多了不扒痒，大家可能就关注的少了。再者，我们在选购防火墙时，如何选呢？其实基础功能大家都能做，一次投入终身使用。但是特征库是变化的，厂商能够持续投入吗？愿意投入吗，是个问题。个别不良商家特征库也在增加，就是不准，一问就是有误报是正常的，大家都有误报，但是没有准的怎么办？还是要多投入。现在各个安全厂商裁员降薪，想做研究有心无力；客户看到这种场景也不愿再加大投入。安全和保险一样，也就那样。这就导致市场前景不好。话又说回来，头部企业做得还是非常好的。

END