6.4.2 防火墙技术
本课核心知识点整理
防火墙检查的层次越高,越安全也越慢
防火墙的发展可以理解为:从“只看包头”逐步发展到“理解连接状态”,再到“理解应用内容”。检查越深入,安全性通常越强,但性能开销也越大。
| 类型 | 工作层次 | 看什么 | 优点 | 局限 |
|---|---|---|---|---|
| 包过滤防火墙 | 网络层/传输层 | 源 IP、目的 IP、端口、协议、方向 | 快,规则简单,成本低 | 不理解上下文和应用内容,安全性较弱 |
| 状态检测防火墙 | 网络层到传输层,关注会话状态 | 连接状态表、TCP 状态、会话方向 | 比单纯包过滤更安全,可识别异常连接 | 仍不充分理解应用语义 |
| 应用级防火墙/代理网关 | 应用层 | HTTP、FTP、邮件等应用数据 | 能检查应用内容,安全性高 | 性能开销大,对应用协议依赖强 |
| 下一代防火墙 | 多层融合 | 应用识别、用户、内容、威胁特征 | 综合能力强 | 复杂、成本高,配置错误仍会失效 |
课堂强调的取舍是:安全性和效率常常是一对矛盾。包过滤效率高但粗糙,应用代理安全细致但慢。
包过滤防火墙:只看“信封”
包过滤防火墙类似只看快递面单:从哪里来、到哪里去、走什么协议、访问哪个端口。
| 字段 | 例子 | 规则含义 |
|---|---|---|
| 源 IP | 203.0.113.10 | 允许/拒绝某来源 |
| 目的 IP | 10.0.0.8 | 保护某内部主机 |
| 源端口 | 临时端口 | 通常用于辅助判断 |
| 目的端口 | 80、443、22 | 控制访问 Web、HTTPS、SSH 等服务 |
| 协议 | TCP、UDP、ICMP | 控制协议类型 |
它的考点非常直接:看到“源地址、目的地址、端口、协议、报文头”,优先选包过滤。
状态检测:不只看单个包,还看它是不是一段合法会话
单个报文可能看起来合法,但如果它不属于已有连接,或者连接状态异常,就可能是攻击。状态检测防火墙会维护连接状态表。
text
客户端发起连接 -> 防火墙记录状态 -> 后续响应包匹配状态 -> 允许通过
陌生响应包直接进入 -> 没有对应状态 -> 拒绝或告警这就是它相对包过滤的进步:把孤立报文放回“会话上下文”中判断。
应用代理:内部主机不直接接触外部
应用级防火墙也常叫应用代理网关。它不是简单放行报文,而是替通信双方“代办”连接:
应用代理可以打开应用层数据检查,例如 HTTP 请求、邮件内容、FTP 命令等。因此它的安全性高,但需要更多处理时间和资源。
DMZ:给对外服务准备的缓冲区
DMZ(非军事区)用于放置必须对外提供服务、但又不能直接进入核心内网的服务器。典型包括 Web 服务器、DNS 服务器、邮件服务器。
| 区域 | 可信程度 | 常见资产 | 访问原则 |
|---|---|---|---|
| 外网 | 最不可信 | 互联网用户、外部系统 | 只能访问被允许的对外服务 |
| DMZ | 中间区域 | Web、DNS、邮件网关 | 可被外网有限访问,不能随意访问内网 |
| 内网 | 相对可信 | 数据库、业务系统、办公终端 | 尽量不直接暴露给外网 |
DMZ 的价值在于:即使 Web 服务器被攻破,攻击者也不能直接等同于进入内网核心区。
防火墙部署结构
课堂提到了几种常见结构,考试通常考名称和大致特点:
| 结构 | 特点 | 理解方式 |
|---|---|---|
| 双宿主主机 | 一台主机有两块网卡,分别连接内外网 | 最简单的边界代理结构 |
| 屏蔽路由器 | 用路由器进行包过滤 | 边界处用路由规则过滤 |
| 屏蔽子网 | 在内外网之间设置中间网络,形成 DMZ | 结构更复杂,隔离效果更强 |
例题
包过滤防火墙通常依据:
应用级防火墙的主要特点是:
关于防火墙安全性与效率的关系,较合理的说法是:
自查要点
- 包过滤、状态检测、应用代理分别看什么?
- 为什么应用代理更安全但效率较低?
- DMZ 中通常放哪些服务器?
- 屏蔽子网为什么比单纯双宿主主机更适合隔离?
- 看到“源 IP、端口、协议”应优先想到哪类防火墙?