网络安全及进化原因
首先,只要是使用某种产品或者某种技术解决网络安全相关的问题,即属于网络安全的范畴,包括杀毒软件、IPS、ACL、FW、域控、AAA等;
网络安全是随着互联网兴起的
- 在封闭式网络向互联网发展中,出现了防火墙即IPS;
- 在无线网络兴起后,出现了WEP/WPA/WPA2/802.1X等安全技术;
- 在移动端大量出现后,出现了VPN相关的技术;而在从传统的IT架构向云计算转变中,
- 在物联网的逐步兴起中,数据的重要性随之凸显,网络安全的重要性随之提高,所以更加强大且完善的安全产品与技术也随之出现;
另一个原因
推动网络安全发展的原因是黑客工具及平台的兴起,包括Kali Linux, metaspliot,以及易用的python及ruby语言;
防火墙介绍
狭义定义的防火墙是一个连接两个或多个网络区域,并给予策略限制区域间流量的设备;
防火墙的主要作用
- 用来防止威胁从一个区域到达另外一个区域,如从外网区域进入内网区域,由DMZ区域进入内网区域等;
- 同时给予策略管理区域间的互相访问,满足对于数据资源的权限控制需求;
DMZ区域
DMZ即 Demilitarzed Zone 非军事化管理区域,即军事隔离带,该区域主要用来存放对外提供服务的服务器及VPN设备,包括无线中的访客网络等存在较大被攻击风险的设备及网络;
DMZ区域存在的意义就是存放一些易受攻击的、需要被保护的、需要从内网中隔离的设备(这个设备跟内网没太大关联);这样即使DMZ中设备被攻破,也不会危及内网的数据安全;
组网方案
双墙组网:将来自不同厂商的防火墙接入网络,第一道墙用于保护DMZ区,第二道墙用于保护内网;
单墙三口:即inside、outside、dmz三种区域接到同一防火墙;
防火墙的三种类型
Packet Filter
- 使用ACL进行权限管理及区域划分;
- 较老的防火墙技术;
- ACL分为标准列表及扩展列表,标准适用于NAT/VTY/SNMP/路由控制等,扩展适用于匹配流;
缺点:
- 需要同时匹配入方向及出方向两方面的策略;
- 配置这种过滤,难度系数比较高;
- 对FTP这种会动态协商第二信道的协议支持不太好;
Proxy Server[代理服务器]
- 这里指的是反向代理服务器,注意区分其与正向代理的区别,正向代理对服务器侧透明,反向代理对客户端侧透明;
- 这是一种工作模型,主要的应用方向是应用防火墙,如WAF, 邮件应用防火墙等;
- 主要建立两个TCP链接,一个是客户端至Proxy Server的,第二个是Proxy Server到实际应用服务器的;
优点:
- 因为其工作在OSI参考模型的7层,所以理论上是最安全的防火墙;
- Proxy Server同时具有Member cache的功能,可以节省资源的使用;
- Proxy Server还提供了移动的负载均衡的功能;
缺点:
- 因为需要维护两个TCP链接,所以链接速率会变慢;
- 仅对web应用有较好的支持;
Statefull packet filter[状态监控包过滤]
- 这种模式最早由CheckPoint公司提出;
- 在TCP或UDP流量穿越防火墙后,维护状态华信息表象,这个TCP或者UDP的后续流量就会自动根据状态化表项放行;
工作过程
- 首先在TCP/UDP流量穿越防火墙时,防火墙会记录源目IP地址,源目端口,序列号,flag位等信息,形成statefull session flow table;
- 当改记录会话存在返回流量时,首先查询状态化表项,即使未匹配任何策略,也会基于会话被放行;
end