发展历程
纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展;
防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW 等到 AI 防火墙,有以下特点:访问控制越来越精细、防护能力越来越强、性能越来越高;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image022.png)
设备形态
防火墙根据设备形态分为,框式防火墙、盒式防火墙、软件防火墙,支持在云上云下灵活部署;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image.png)
严格意义上,防火墙还有更多的部署形态,例如桌面型防火墙(盒式防火墙的一种)。桌面型防火墙适用于小型企业、行业分支、连锁商业机构等场景;
华为盒式防火墙同时支持传统模式和云管理模式。云管理模式由云端统一管理分支机构的安全接入,支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析;
我们以学习 桌面型防火墙、软件防火墙 为主,后续内容聚焦的框式/盒式硬件防火墙(我们这辈子可能都不会域间框式防火墙);
软件防火墙
iptables 与 firewalld 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,即它们只是种前端服务。
iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理;
firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理;
设备对比
以园区网为例:
1)交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网;
2)路由器作用是路由的分发、寻址和转发,构建外部连接网络;
3)防火墙作用是流量控制和安全防护,区分和隔离不同安全区域;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image001.png)
防火墙与路由器转发流程对比
防火墙的转发流程比路由器复杂;
以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有 SPU(Service Processing Unit),用于实现防火墙的安全功能;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image002.png)
设备类别
报文过滤防火墙
原理:包过滤防火墙的基本原理是通过 匹配数据包(比如 ACL 匹配)并执行控制策略 来实施数据包的过滤。包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。包过滤防火墙主要基于数据包中的源/目的 IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息;
优势:包过滤防火墙的设计简单,非常易于实现,而且价格便宜;
缺点,包过滤防火墙主要表现以下几点:
1)逐包检测,性能较低;
2)ACL 规则难以适应动态需求。随着 ACL 复杂度和长度的增加,其过滤性能呈指数下降;静态的 ACL 规则难以适应动态的安全要求;
3)通常不检查应用层数据;
4)无报文关联分析,容易被欺骗。包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机 IP 地址设成一个合法主机 IP 地址,就能很轻易地通过报文过滤器;
本例中通过配置防火墙安全策略,实现仅允许办公区 IP 访问互联网:
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image003.png)
状态检测防火墙
状态检测防火墙就是支持状态检测功能的防火墙。状态检测是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文;
原理:状态检测防火墙通过对连接的首个数据包(后续简称首包)检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制(转发或阻塞);
本例中,状态检测防火墙检测到 10.0.0.1 与 20.0.0.1 建立 TCP 连接,并产生会话信息。第三次握手报文不符合 TCP 连接状态,报文被丢弃;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image004.png)
NGFW 也是状态检测防火墙的一种,其在内容安全和处理性能有极大的提升;
人工智能防火墙
AI 防火墙是结合 AI 技术的新一代防火墙。它通过结合 AI 算法或 AI 芯片等多种方式,进一步提高了防火墙的安全防护能力和性能;
/L3.Firewall,_Implementation/1.Concepts_and_Fundamentals/pasted_image005.png)
华为 AI 防火墙,内置的恶意文件检测引擎 CDE、诱捕 Sensor、APT 检测引擎和探针,支持与沙箱和华为大数据分析平台 CIS 联动检测,打造智能防御体系;
华为 HiSecEngine USG6000E 系列是业界首批推出的 AI 防火墙。AI 防火墙没有统一的标准,例如通过用大量数据和算法“训练”防火墙,让其学会自主识别威胁;通过内置 AI 芯片,提高应用识别和转发性能,都可以被称为 AI 防火墙;
APT(Advanced Persistent Threat,高级持续性威胁)是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式;
沙箱(Sandbox)是一个用于检测病毒的安全设备,它为疑似病毒构建虚拟环境,通过观察其后续行为检测病毒。沙箱是 APT 检测的重要设备。华为的沙箱产品为 Firehunter;
CIS(Cybersecurity Intelligence System)能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动,有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知,同时可以结合华为 HiSec 解决方案高效地完成威胁的处置闭环,防患未然;
自研恶意文件检测引擎(CDE)引入 PE Class 2.0 AI 算法,对全文件进行还原,对文件内容进行深度检测。(业界主流基于流检测。流检测的检测速度快,但只还原文件头,不对文件内容进行检查;
华为独创的 AIE APT 检测引擎,引入 AI 算法,持续防御最新威胁;
更多 AI 防火墙相关内容请参考:
1)https://e.huawei.com/cn/products/enterprise-networking/security
2)https://e.huawei.com/cn/material/networking/e1869bfff9ca42c1b4f6a83f69118215
DMZ(Demilitarized Zone)
DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。在企业中一般用于服务器的放置;