网络安全【学习笔记4】

网络安全

2021-10-23

防火墙技术

防火墙：位于两个或多个网络之间执行访问控制的软件和硬件系统，它根据访问控制规则对进出网络的数据流进行过滤位于内部和外部网络之间，用于过滤和监视内外网络之间的数据流的屏障本质上就是一种能够限制网络访问的设备或软件
防火墙对数据流的处理
- 允许
- 拒绝：通知发送方
- 丢弃：不通知发送方
防火墙的功能：提供可控的过滤网络通信，只允许授权的通信，对数据和访问进行控制、对网络活动进行记录
- 访问控制：禁止或允许特定用户访问特定资源
- 内容控制：禁止内网用户访问外网的不安全服务等
- 日志功能：记录通过防火墙的信息内容和活动
- 对网络攻击的检测和告警
- 集中管理
- 其他功能：流量控制、网络地址转换（NAT），虚拟专用网等
任何关键性的服务器都建议放在防火墙之后
防火墙的分类
- 适用范围
  - 个人防火墙：保护一台计算机，一般提供简单的包过滤功能，通常内置在操作系统或随杀毒软件提供
  - 网络防火墙：保护一个网络中的所有主机，布置在内网与外网的连接处，通常由路由器提供或使用专业的防火墙
- 在网络协议栈中的过滤层次
  - 包过滤防火墙（分组过滤防火墙）：根据网络层的信息进行控制。根据企业的安全策略定义一组访问控制规则，然后防火墙在内存中建立一张与访问控制规则对应的访问控制列表。对于每个数据包，如果在访问控制列表中有对应的项，则防火墙按规则的要求允许或拒绝数据包的通过，否则应用默认规则（丢弃或允许）
    - 静态包过滤防火墙：访问控制列表在运行过程中不会动态变化，其过滤规则只利用了 IP 与 TCP/UDP 报头中的几个字段，只适合一些对安全要求不高的场合，其访问控制规则的配置比较复杂，对于某些需要打开动态端口的应用，很难定义合适的规则
    - 动态包过滤防火墙：通过检查应用程序信息以及连接信息，来判断某个端口是否需要临时打开，当传输结束时，端口又可以恢复为关闭状态。只有在主机主动地跟外界连接时，其他的机器才可以与它连接
  - 电路级网关防火墙：根据传输层的协议信息进行过滤
  - 应用级网关防火墙（代理防火墙）：根据应用层协议的信息进行过滤
防火墙的典型部署：屏蔽主机模式、双宿/多宿主机模式、屏蔽子网模式
堡垒主机：是一种配置了较为全面的安全防范措施的网络上的计算机，它为网络间的通信提供了一个阻塞点。通常堡垒主机可以用作应用级和电路级网关的平台，是一个组织机构网络安全的中心主机特征：
1. 堡垒主机硬件平台运行较为安全的操作系统，成为可信任的系统
2. 只有网络管理员认为必要的服务才会安装在堡垒主机上
3. 当允许一个用户访问代理服务时，堡垒主机可能会要求进行额外认证。另外，每一个代理服务都可能需要相应的鉴别机制( Authentication)
4. 每一个代理都只能支持标准应用服务命令集中的一个子集
5. 每一个代理只允许访问指定主机的通信
6. 每一个代理模块都是一个为网络安全设计的一个很小的软件包
7. 代理之间相互独立
8. 代理通常无需进行磁盘访问，不需要读取初始配置文件
9. 堡垒主机是一个组织机构网络安全的中心主机
防火墙存在的问题
- 不能防范不经由防火墙的攻击
- 不能防止感染了病毒的软件或文件的传输
- 不能防止数据驱动式攻击
- 安装、管理、配置复杂
- 在高流量的网络中，容易成为网络的瓶颈
防火墙的功能指标
防火墙的性能指标
- 吞吐量：通常用防火墙在不丢包的条件下每秒转发包的最大数目来表示
- 时延：在防火墙最大吞吐量的情况下，数据包从到达防火墙到被防火墙转发出去的时间间隔
- 丢包率：在不同负载的情况下，因为来不及处理而不得不丢弃的数据包占收到的数据包总数的比例。不同的负载量通常在最小值到防火墙的线速值（防火墙的最高数据包转发速率）之间变化，一般选择线速的 10%作为负载增量的步长
- 背对背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。描述了网络设备承受突发数据的能力
- 最大位转发率：位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值
- 最大并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。这项性能可以反映一定流量下防火墙所能顺利建立和保持的并发连接数及一定数量的连接情况下防火墙的吞吐量变化
- 最大并发连接建立速率：每秒所能建立起的 TCP/HTTP 连接数及防火墙所能保持的最大 TCP/HTTP 连接数
- 有效通过率：总转发数据量(bit/s)减去丢失的和重发的数据量(bit/s)
- 其他性能指标：最大策略书、平均无故障间隔时间等