防火墙原理与技术

• 防火墙概述

1. 防火墙的概念及作用

1. 概念

防火墙是一种将内网和外网分开的逻辑隔离技术。分离器、限制器、分析器。

1. 核心作用

防火墙属于静态安全技术，是不同网络 / 安全域之间信息唯一出入口；依据安全策略管控进出流量，自身具备强抗攻击能力，是网络安全基础设施。

3）工作机理

部署在主机与外网之间，所有外网流量必经防火墙校验；识别并拦截有害数据包，保护内网终端。

1. 四大基本特征

1. 补充定位

1. 防火墙是纵深防护体系核心组成部分
2. 零信任核心思想：永不信任，始终验证

6）防火墙局限性

1. 无法防范绕过防火墙的流量攻击
2. 不能拦截已携带病毒的文件 / 软件传输
3. 无法抵御数据驱动型攻击：缓冲区溢出、格式化字符串、输入验证漏洞、同步漏洞、信任漏洞等
4. 软件防火墙无法防御反射性 DDoS（攻击目标为带宽）

1. 防火墙分类

软件防火墙、硬件防火墙、芯片级防火墙

1. 防火墙三大基础技术

所有防火墙功能均基于以下三类技术扩展：静态包过滤、应用层代理、状态包过滤

1. （静态）包过滤技术

1. 技术原理

在网络层解析 IP 数据包，配置访问控制列表 ACL，校验报文头部、协议、IP、端口等信息，匹配规则放行，不匹配直接丢弃。
遵循最小特权原则：仅放行指定业务流量，其余全部阻断。

1. 优缺点

• 优点：与上层应用无关，转发速度快、效率高

• 缺点：规则复杂难维护，易产生性能瓶颈

1. 应用层代理技术

1. 概念

部署在防火墙主机的专用代理程序，针对特定协议提供中转服务；对内充当服务器、对外充当客户端，典型代表：HTTP 代理、FTP 代理。

1. 技术原理

完整解析应用层载荷，客户端、防火墙、外网服务器建立两条独立连接；代理校验访问权限，合规则代为请求外网资源并转发给内网用户。

1. 代理服务器解决的问题

1. 内网主机统一通过代理访问互联网
2. 缓存已访问页面，减少外网流量、提升重复访问速度
3. 精细化管控内网对外访问权限

1. 优缺点

• 优点：安全等级高，可深度检测应用层内容

• 缺点：需要建立双重连接，转发速度较慢

1. 状态包过滤技术

1. 技术背景

CheckPoint 公司基于动态包过滤研发，折中方案：兼顾包过滤高速、代理高安全两大优势。

1. 技术原理

1. 新建连接：匹配规则允许通行，生成会话状态表；
2. 后续报文：仅校验状态表，无需重复匹配完整规则；
3. 持续监控全层级通信，结合过滤规则 + 会话状态表双重校验流量。

1. 技术特点

为每条通信创建独立会话状态，全程跟踪整条连接；可解析高层协议、报文内容，无需开放大量端口，减少端口暴露带来的安全风险。

1. 优点

动态增减过滤规则，规避静态包过滤缺陷；支持高层协议深度分析，安全与性能均衡。

1. 自适应代理防火墙

融合代理安全性、包过滤高性能，两大核心组件：自适应代理服务器、动态包过滤器。
工作流程：初始应用层安全校验认证身份、建立可信通道；后续报文直接网络层转发，性能提升 10 倍以上，兼顾安全与速率。

防火墙技术实操示例

网络拓扑参数

• 内网网段：[192.168.0.0/24](192.168.0.0/24)

• 堡垒主机内网口 eth1：[192.168.0.1](192.168.0.1)；外网口 eth0：[10.11.12.13](10.11.12.13)

• DNS 服务器：[10.11.15.4](10.11.15.4)

• 安全需求：内网可访问外网 WWW、FTP；外网禁止主动访问内网主机

1. 静态包过滤规则

1. 动态包过滤（状态检测）规则

• 防火墙体系结构

防火墙技术竞争四大核心：管理（关键）、功能（基础）、性能（中坚）、抗攻击能力（保障）

1. 防火墙设计原则

1. 保持架构、规则设计简单化
2. 提前制定安全事故应急方案

1. 四大主流防火墙体系结构（教材 P41-250）

1）屏蔽路由器

仅使用一台过滤路由器实现边界防护，对数据包做放行 / 阻断判断。

• 优势：最简单、成本低，第一道基础防线

• 缺陷：配置需要深厚 TCP/IP 功底；单点防护；日志、监控能力薄弱

• 适用场景：网络主机数量少、无统一集中安全策略、非集中化管理、不使用动态 IP 分配

1. 双宿主机

内外网之间部署一台双网卡主机，关闭 IP 路由转发，内外网无法直接三层互通。

两种通信方式

1. 用户直接登录主机：维护账号成本高，存在入侵入口，稳定性差
2. 部署代理服务：

• 优点：可完整监控、记录、过滤流量，安全性更强

• 缺点：访问延迟高，部分特殊业务无法支持

1. 屏蔽主机

由过滤路由器 + 内网堡垒主机组合搭建。

1. 过滤路由器：互联网第一道防线，强制外网流量全部转发至堡垒主机；路由表是安全核心，一旦篡改可绕过防护。
2. 堡垒主机：部署在内网，高安全加固主机，运行代理服务，隐藏内网网段；外网访问内网必须经过堡垒主机校验。

• 优势：同时实现网络层包过滤 + 应用层代理双重防护，安全等级高于屏蔽路由器

• 不足：设备成本更高

1. 屏蔽子网（最高安全等级）

由外部过滤路由器、DMZ 隔离子网、内部过滤路由器三层架构组成，中间隔离区域称为 DMZ（非军事区 / 停火区）。

核心组件说明

1. DMZ 周边网络

• 位置：外网与内网中间隔离子网

• 用途：部署对外服务器（WWW、FTP），公网可访问，隔离风险；内网与 DMZ 禁止直接传输数据

• 安全价值：攻击者攻陷堡垒主机后，仍无法直达内网，增加一层隔断

1. 堡垒主机：部署在 DMZ，运行各类代理服务，处理内外网邮件、FTP、域名解析等入站业务
2. 外部路由器：保护 DMZ 设备，阻断外网伪造内网源 IP 的 IP 欺骗攻击
3. 内部路由器（阻塞路由器）：隔离 DMZ 与内网，承担主要包过滤工作，保护内网核心资产

屏蔽子网安全优势

1. 攻击者必须突破两台独立路由器，多层防护难以一次性攻陷内网
2. 内网网段完全隐藏，外网无法直接探测
3. 外网流量全部先进入 DMZ，核心内网不受直接暴露风险

衍生扩展结构

多堡垒主机、多层 DMZ、合并内外路由器、双 DMZ 架构等

1. 防火墙部署与访问控制场景

1. 内网 ↔ 外网访问控制
2. DMZ ↔ 外网访问控制
3. 内网业务子网 ↔ DMZ 访问控制
4. 远程拨号用户 ↔ 内网访问控制
5. 分支机构 ↔ 总部内网访问控制
6. 基础包过滤策略
7. 基于时间的定时访问控制
8. 用户分级权限管控
9. 高层应用协议过滤
10. IP-MAC 地址绑定防伪造
11. NAT 地址转换、公网 IP 复用
12. 端口映射发布内网服务
13. 透明模式接入网络
14. 流量限速、带宽管控
15. 全流量审计、日志存储
16. 日志告警报表系统
17. 多维度身份鉴别认证

• 软件防火墙

1. 软件防火墙技术

1. 工作原理

安装在 PC / 服务器操作系统上，运行于系统内核与NDIS 网络驱动接口之间；基于操作系统校验网卡流量，依靠规则库实现安全防护。
主流平台：Windows、Linux、Unix；代表产品：Checkpoint

硬件防火墙 VS 软件防火墙

补充概念

1. 规则库型：依靠定期升级攻击特征库拦截威胁
2. 行为跟踪型：分析网络连接行为阻断攻击，不受病毒库版本限制

1. 软件防火墙短板

消耗主机硬件资源，降低网络转发效率；依托操作系统存在系统漏洞；无法防御反射性 DDoS 攻击（攻击消耗带宽，防火墙无法拦截海量反射流量）。

1. Web 安全与防火墙

1. Web 安全防护重点：病毒防范、系统加固、边界防火墙防护
2. 防火墙 Web 防护价值：拦截非法访问、加密远程传输、防止数据窃听；全程监控网卡进出流量

1. 防火墙整体安全体系

1. 核心定位：安全策略的落地载体，管控内外网双向访问权限；所有互联网流量必须经过防火墙校验。
2. 完整安全策略配套内容：用户安全职责、网络访问规范、账号认证、数据加密、病毒防护、员工安全培训；仅部署防火墙无配套策略等同于无防护。
3. Windows 组策略防火墙作用：阻止远程入侵、禁止来宾共享、暴力破解防护、限制程序运行、强化系统内置防火墙。

互联网防火墙优缺点

优点

• 全网安全集中管控，统一边界扼制点

• 流量告警、全上网行为日志审计

• 支持 NAT、WWW/FTP 服务发布

缺陷（同防火墙通用局限）

1. 无法拦截绕过防火墙的流量
2. 不能查杀传输文件内病毒
3. 无法抵御数据驱动型攻击（缓冲区溢出、格式化字符串、输入验证漏洞等）

1. 防火墙故障排查要点

1. 优先核查安全策略配置（绝大多数故障源于规则错误）
2. 关闭业务不需要的闲置端口；端口阻塞会导致应用收发数据异常
3. FTP、邮件、流媒体故障需同时排查服务器状态与防火墙策略
4. 使用 netstat 定位异常端口流量

软件防火墙核心技术：数据流指纹检测

基于状态检测机制，将同一通信所有数据包整合为完整数据流，维护动态连接状态表，结合规则表协同校验；相比静态包过滤，灵活性、安全性大幅提升。

• 硬件防火墙

1. 硬件防火墙四大硬件平台架构

1. 路由器防火墙

核心功能

1. 网络互联：多类型局域网、广域网接口互通
2. 数据处理：包过滤、转发、加密、QoS、防火墙策略
3. 网络管理：配置、性能监控、故障容错、流量控制

硬件组成

CPU、DRAM 内存（路由表、缓存、临时数据包）、以太网 / WAN 控制逻辑、异步串口（管理终端）

缺陷

命令行配置复杂、易出错；易遭受 IP/TCP 欺骗；包过滤消耗大量 CPU 资源；日志审计功能薄弱。

1. X86 平台防火墙

1. 通用工控 X86：普通 PC 架构（主板、CPU、硬盘），精简外设接口，搭载防火墙软件；开发简单，性能瓶颈明显，无法满足大带宽线速转发。
2. 网络优化 X86：网络处理模块与系统模块分离，衍生 NP、ASIC 专用硬件平台。
3. NP 网络处理器平台

• 网络数据包处理设计的可编程集成电路，内置多组微处理器 + 硬件协处理器并行运算。

架构特点

1. 双 NP 架构：接收 NP 负责解密、认证、流量分类；发送 NP 负责加密、完整性校验硬件加速
2. 针对 TCP/IP 转发、包过滤指令优化，高并发处理能力
3. 高速总线、高吞吐 I/O 接口

• 优势：可编程、开发周期短（≤6 个月）、成本低、功能易扩展；国内厂商主流选择

• 劣势：复杂业务（数据包重组、加密）性能一般，实际性能低于厂商标称

1. ASIC 专用集成电路架构

将转发、过滤逻辑固化至硬件芯片，硬件加速转发，吞吐量极高、延迟极低。

优缺点

• 优势：线速转发、大流量处理性能强，长期量产成本低

• 劣势：可编程性差、开发周期长（＞12 个月）、开发成本高、功能扩展受限，适合固定业务大流量场景

NP vs ASIC 对比总结

1. 灵活性：NP > ASIC（NP 可编程，迭代更新快）
2. 开发成本 / 周期：NP 更低、周期更短
3. 极限转发性能：ASIC 更强
4. 适用场景：NP 中高端千兆防火墙；ASIC 骨干高速防火墙

三大硬件架构市场定位

1. X86 工控：低端中小企业防火墙主流
2. NP、ASIC：千兆及以上中高端防火墙主流方案

1. UTM 统一威胁管理平台

集成防火墙、入侵防御、病毒查杀、URL 过滤等多功能一体化硬件设备；硬件底层可采用 X86/NP/ASIC，多多核 CPU + 专用加速卡提升综合性能。

1. 硬件防火墙日常例行检查项

1. 配置文件：版本记录、修改流程留痕
2. 磁盘使用率：设置容量告警基线
3. CPU 负载：判断设备运行负载是否异常
4. 后台守护进程：检查安全服务全部正常运行
5. 系统关键文件：变更记录审计
6. 异常安全日志：提前定义告警事件，长期留存日志

• 防火墙配置

1. 基础配置原则

1. 两种默认安全策略

1. 默认拒绝所有流量（业界主流安全方案），手动放行业务必需端口
2. 默认允许所有流量，手动阻断风险流量（极少使用，安全性差）

1. 配置三大核心原则

1. 简单实用：策略精简，无需冗余功能；规则越简单，漏洞越少、管理越便捷
2. 全面深入（纵深防御）

• 多层边界防护：互联网边界、部门边界、主机防火墙分层部署

• 多安全技术联动：防火墙 + 入侵检测 + 数据加密 + 病毒防护

1. 内外兼顾：同时防护外网入侵、内网横向渗透，部署内网安全联动策略

1. 基础配置方案

内网与外网边界部署包过滤路由器 / 应用网关；复杂场景组合多种防火墙技术搭建多层防护体系。

1. 企业防火墙功能与配置方案

中小企业必备防火墙功能

1. 动态状态包过滤，实时维护会话连接表
2. NAT 地址转换，解决公网 IP 资源短缺
3. 安全域管控（信任域 / 非信任域双向策略）
4. 定时策略计划，指定时段自动启用 / 关闭规则
5. 完整日志系统：流量、告警、故障记录，支持日志服务器导出
6. IPSec VPN，分支机构 / 远程用户安全内网接入
7. 邮件告警，异常事件推送管理员
8. 异常报文防护：丢弃畸形 IP/TCP、超限半连接、ICMP 洪水报文
9. Web 内容过滤：URL、Cookie、Java/ActiveX 控件拦截、代理管控

防火墙策略配置要点

1. 规则顺序至关重要：防火墙自上而下匹配规则，高频业务策略前置提升效率；所有规则末尾隐含一条deny all默认拒绝策略，新规则追加至末尾。
2. 定时策略计划：非工作时段关闭高危业务，降低攻击面。
3. 日志分级采集：仅记录核心告警，选择性存储普通流量日志，按需新增监控策略。

包过滤匹配流程

数据包自上而下逐条匹配规则：

1. 匹配拒绝规则 → 直接丢弃
2. 匹配允许规则 → 转发处理
3. 无任何规则匹配 → 触发末尾默认拒绝，阻断流量

• VPN 原理与技术

1. VPN 概述

1. 定义

依托运营商公网（互联网）构建虚拟专用加密通信隧道；“虚拟” 指无需自建物理专线，“专用” 指独立加密隔离传输通道。

1. VPN 组成与原理

完整 VPN 三要素：VPN 服务器、VPN 客户端、加密数据隧道

1. VPN 服务器：公网固定 IP，接收连接请求，数据包加解密
2. VPN 客户端：主动发起隧道连接，本地报文封装加密
3. 隧道：公网中加密虚拟传输通道，基于隧道协议封装报文

隧道分层

1. 二层隧道（数据链路层）：封装 PPP 帧，代表 PPTP、L2F、L2TP
2. 三层隧道（网络层）：封装 IP 报文，代表 IPSec、GRE
3. 封装：上层数据包完整作为下层报文载荷传输

1. VPN 三大核心安全作用

1. 数据源身份认证：确认报文发送方真实身份，防伪造
2. 数据完整性校验：传输过程无篡改，识别恶意修改、传输丢包
3. 数据加密保密：明文加密传输，公网无法窃听

1. VPN 分类方式

1. 按应用场景：Access 远程接入 VPN、Intranet 企业内网互联 VPN、Extranet 上下游合作外网 VPN
2. 接入方式：专线 VPN、拨号 VPN
3. 隧道协议：二层、三层、四层、2.5 层 MPLS 隧道
4. 隧道建立模式：自愿隧道（客户端主动发起）、强制隧道（运营商统一配置）
5. 路由模式：叠加模式、对等模式（支持大规模运营商 VPN）

1. VPN 整体特点

安全加密机制完善、可保障基础服务质量、部署成本低、扩展性强、运维便捷。

6）安全实现机制

加密算法、双向身份认证、数据完整性校验、密钥协商与自动更新。

1. 主流隧道技术与协议

1. 二层隧道协议：PPTP、L2F、L2TP

1. PPTP：微软点对点隧道协议，适配拨号远程用户，基于 PPP 扩展
2. L2F：思科私有二层转发协议，支持 ATM / 帧中继 / IP 多介质
3. L2TP：融合 PPTP 与 L2F 优势，客户端 / 服务器均可发起隧道，封装 PPP 帧传输
4. 三层隧道协议：IPSec、GRE

IPSec（企业站点 VPN 主流）

IP 层安全标准，通过 AH、ESP 两种安全机制实现加密校验

1. AH 协议：IP 包头 + 载荷完整校验，身份认证、完整性、防重放，无加密
2. ESP 协议：仅加密校验 IP 载荷，支持加密、认证、完整性、防重放，企业最常用

GRE 通用路由封装

封装任意三层协议（IP/IPX），支持所有路由协议，构建跨网段隧道。

二层 / 三层隧道对比

三层 IPSec 隧道安全性、扩展性更强；隧道终结于运营商网关，对企业内网风险更低；二层隧道多用于个人远程拨号，隧道终结在企业边界设备，内网安全压力更大。

1. 隧道协议通用能力对比维度

用户验证、令牌卡多因子认证、客户端动态地址分配、数据压缩、传输加密、密钥自动更新、多网络协议兼容。

1. 2.5 层隧道：MPLS 多协议标签交换 VPN

核心原理

IP 报文头部添加转发标签，运营商骨干依靠标签快速交换，无需解析完整 IP 路由。双层标签机制：内层标签区分 VPN 站点，外层标签骨干网转发。

• 运营商边缘 PE 路由器：维护独立 VPN 路由表，为报文打标签

• 骨干 P 路由器：仅根据外层标签转发，不感知客户 VPN 网段

MPLS VPN 特点

1. 运营商侧部署，用户设备无需支持 MPLS
2. 支持多 VPN 独立私有地址，无冲突时无需 NAT；仅跨厂商互通时使用 NAT
3. 依靠标签隔离流量，不依赖加密封装（对比 IPSec）

IPSec VPN VS MPLS VPN

1. IPSec：端到端加密隧道，自主部署，适合跨互联网异地企业互联
2. MPLS：运营商骨干标签隔离，无内置加密，适合同一运营商专线企业组网

1. 四层应用层隧道：SSL VPN

基于 HTTPS（TCP 443 端口），浏览器无需客户端软件即可接入内网应用。

SSL 通信流程

1. 客户端与 SSL 网关双向证书认证
2. 建立加密 SSL 隧道
3. SSL 网关充当代理，转发客户端与业务服务器流量

SSL 三大协议组件

握手协议（身份认证、协商加密套件）、记录协议（报文加密传输）、警告协议（异常告警）

IPSec VPN VS SSL VPN

1. IPSec：三层全网络打通，所有业务流量加密，适合站点互联
2. SSL：应用层代理，仅放开指定 Web / 业务系统，仅远程移动用户轻量化访问

1. VPN 行业发展趋势

1. 主流方案格局：IPSec 站点 VPN 市场占比最高；MPLS 运营商专线 VPN 第二；SSL 远程接入 VPN 高速增长
2. 技术定位

• IPSec：企业分支站点互联标准，端到端完整加密防护

• SSL VPN：移动办公、远程运维轻量化首选，免客户端

• MPLS VPN：大型企业多分支机构运营商专线组网

1. 发展痛点：多 VPN 统一管理平台缺失，大型企业需要集中目录账号管理
2. 整体优势：兼顾传统专线安全稳定与互联网低成本，是企业跨地域组网主流方案