防火墙技术及应用

目录

第1章防火墙基本知识1

1.1防火墙概述1

1.1.1防火墙产生的原因1

1.1.2防火墙定义1

1.1.3防火墙的作用2

1.2防火墙的前世今生3

1.2.1防火墙发展历史及分类3

1.2.2防火墙的新技术趋势5

1.3安全域和边界防御思想6

1.3.1安全域6

1.3.2边界防御思想7

1.3.3防火墙部署方式8

1.4防火墙产品标准10

1.4.1防火墙产品性能指标10

1.4.2防火墙产品标准演进历史11

1.4.3GB/T 20281—2015简介13

1.5下一代防火墙产品架构14

思考题15

第2章防火墙技术16

2.1包过滤技术16

2.1.1包过滤技术原理16

2.1.2包过滤技术的优缺点16

2.2应用代理技术17

2.2.1应用代理技术原理18

2.2.2应用代理技术的优缺点19

2.3会话机制和状态检测19

2.3.1防火墙会话机制19

2.3.2状态检测技术原理19

2.3.3状态检测技术的优缺点20防火墙技术及应用目录2.4应用识别技术21

2.4.1DPI技术23

2.4.2DFI技术24

2.5内容检查技术25

2.5.1内容检查技术原理25

2.5.2内容检查技术的优缺点27

思考题27

第3章防火墙网络部署28

3.1安全域和接口28

3.2IP协议29

3.2.1IP地址的基本概念29

3.2.2IP协议31

3.2.3IPv4向IPv6的过渡32

3.3VLAN技术38

3.3.1VLAN技术原理38

3.3.2VLAN技术的优缺点41

3.4路由41

3.4.1静态路由42

3.4.2默认路由43

3.4.3动态路由44

3.4.4策略路由46

3.4.5ISP路由及对称路由49

3.5二层透明网桥模式49

3.6三层路由模式51

3.7地址转换53

3.7.1静态NAT技术55

3.7.2动态NAT技术56

3.7.3端口地址转换技术57

3.8混合模式58

3.9旁路模式58

3.10DHCP服务59

3.11DNS透明代理61

3.12代理ARP63

3.13VPN65

3.13.1IPSec VPN65

3.13.2SSL VPN66

3.14QoS67

思考题69

第4章防火墙安全功能应用70

4.1安全策略概述70

4.1.1基本概念70

4.1.2一体化安全策略70

4.1.3安全策略智能管理72

4.2访问控制策略73

4.2.1行为管控74

4.2.2关键字过滤75

4.2.3内容过滤76

4.2.4文件过滤76

4.2.5邮件过滤78

4.2.6URL过滤81

4.3安全认证83

4.3.1本地用户认证83

4.3.2AD用户认证83

4.3.3LDAP用户认证84

4.3.4RADIUS用户认证85

4.3.5IEEE 802.1x认证85

4.4攻击防御86

4.4.1恶意扫描防御87

4.4.2欺骗防御87

4.4.3单包攻击防御88

4.4.4流量型攻击防御90

4.4.5应用层Flood攻击防御93

4.5入侵防御97

4.5.1网络入侵技术简介98

4.5.2入侵防御原理99

4.5.3入侵防御功能核心技术102

4.6病毒防御104

4.6.1病毒基本概念104

4.6.2病毒检测105

4.7SSL解密107

4.8云管端协同联动108

4.8.1云管端概述108

4.8.2云管端动态协同防御109

4.9基于网络的检测与响应110

4.9.1NDR的基础——数据驱动110

4.9.2安全问题发现111

4.9.3分析与响应中心113

4.10安全运维管理113

4.10.1运维管理113

4.10.2安全审计114

4.10.3高可用性115

4.11虚拟防火墙120

4.11.1虚拟系统的基本组成120

4.11.2虚拟系统管理及配置120

4.12集中管理121

思考题122

第5章典型案例124

5.1企业互联网边界安全解决方案124

5.1.1背景及需求124

5.1.2解决方案及分析125

5.2行业专网网络安全解决方案128

5.2.1背景及需求128

5.2.2解决方案及分析129

5.3企业级数据中心出口防护解决方案131

5.3.1背景及需求131

5.3.2解决方案及分析133

5.4多分支企业组网及网络安全解决方案136

5.4.1背景及需求136

5.4.2解决方案及分析137

思考题140

附录A防火墙技术英文缩略语141

参考文献144

第5章第5章典 型 案 例



前4章介绍了防火墙的原理、技术、网络部署以及防火墙应用。本章介绍下一代防火墙应用案例。本章针对各应用不同的应用背景和安全需求，分析其存在的安全问题，提出不同的解决方案，同时以360新一代智慧防火墙为例，展示多种部署方式。
5.15.1企业互联网边界安全解决方案5.1.1背景及需求〖*2〗1. 应用背景随着计算机、宽带技术的迅速发展，网络办公日益流行，互联网已经成为人们工作、生活、学习中不可或缺、便捷高效的工具。越来越多的企业的正常运营依赖于网络的高效、稳定。而互联网宽松自由的特点，也使其成为恶意组织、黑客对企业实施攻击的通道。
边界安全是企业安全防护体系的重要阵地，同时互联网边界是企业网络的第一道防线，也是最后一道防线。
2. 用户需求
1） 防止互联网访问中造成恶意攻击
我国面临的攻击威胁极为严重，而互联网作为我国最大、使用最广泛的网络往往承受着更多、更高级的攻击威胁。
为了避免攻击者从互联网边界入侵企业的内网，在企业接入互联网后，一方面要避免内网用户访问钓鱼网站和被植入恶意软件（木马、病毒、勒索软件）、访问恶意URL等威胁，另一方面要加强对高级持续性威胁的监控与拦截。
2） 防止员工违规访问引发的企业风险
尽管互联网提供了许多有价值的信息资源，但由于互联网本身所固有的开放性、国际性和无组织性，使网络上充斥着不良信息。要健康、合法地使用互联网，需要做到下面几点：
（1） 禁止企业员工访问宣传反动言论、色情、在线赌博、恐怖暴力以及封建迷信的站点。
（2） 管理员工上网行为，禁止员工在上班时间使用P2P下载、炒股、进行网络视频聊天、玩游戏等，提升员工的工作效率，合理使用带宽资源。防火墙技术及应用第5章典型案例（3） 防止员工在发帖、网络聊天中在网上发布违法违规内容，要避免涉及政治敏感话题、分裂主义等不利于社会稳定的违法违规言论从企业内部发布到互联网，降低企业的法律风险。
（4） 及时发现并阻止可能与商业或研发机密有关的信息外泄，减少机密外泄风险。并且在及时阻止的同时记录日志，实现事后追责。
3） 精准定位内部的失陷主机
失陷主机是指被攻击者成功侵入，行为特征符合“受到控制”或“发起恶意行为”的主机。当前，失陷主机已相当普遍，权威机构的一项研究表明，在PC数量超过5000台的大型企业网络中，有超过90%的企业均存在活跃的失陷主机，而攻陷这些主机的手法多种多样。此外，由于失陷主机受控或发起恶意行为往往难寻规律，隐蔽性强，绝大部分已存在失陷主机的企业根本无法感知。因此，企业互联网边界需要建立失陷主机检测和处理的机制，防止因为失陷主机造成的信息外泄或者对外发起恶意攻击，使企业面临经济损失及法律风险。
5.1.2解决方案及分析〖*2〗1. 解决方案360新一代智慧防火墙（以下简称“智慧防火墙”）是一款兼具复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御等能力，并集成互联网威胁情报、异常行为分析、安全可视化等新一代安全技术的创新型边界安全产品。
如图51所示，智慧防火墙在互联网边界出口部署，基于其自身强大的应用、威胁识别能力和多维数据分析，能做到对通过互联网出口的流量高精度管控，通过与天御云的协同联动，打破传统防火墙的静态防御、单兵作战的防御模式，全面提升了边界防御能力。
图51企业互联网边界安全解决方案拓扑
1） 基于本地引擎和云端协防高效拦截外部威胁
智慧防火墙通过启用一体化安全防护策略，将反病毒、漏洞防御、防间谍软件、恶意URL防御等功能集成到一条策略中，并基于优越的架构设计保障高性能的安全能力。
通过在互联网边界启用智慧防火墙的漏洞防御、防间谍软件、反病毒、URL过滤功能，基于本地安全引擎，能高效拦截常见漏洞入侵、间谍软件、病毒、木马、钓鱼网站、恶意URL访问等网络威胁。
同时，智慧防火墙专属的天御云安全服务可为智慧防火墙提供云端的协防能力。在智慧防火墙本地启用病毒云查杀、URL云识别、云沙箱、情报云检测等配置。智慧防火墙在检测到异常URL、可疑文件时，可以将无法判断的内容上报至天御云进行进一步分析判定。
天御云基于360强大的漏洞挖掘能力和情报收集分析能力，可为智慧防火墙提供威胁情报服务，智慧防火墙将互联网出口流量中的可疑行为的特征（可疑文件MD5、可疑目的IP地址、可疑URL等）发送到天御云进行大数据分析，可有效发现高级威胁。
智慧防火墙通过云端协同可以极大地提升特征库数量级，补充本地识别库，并提升防火墙对高级威胁的识别能力，提高防火墙拦截的精确度和高效性。
2） 启用精细化、细粒度的上网管控策略
基于智慧防火墙深度内容识别的上网行为管控策略，一方面可有效限制企业内部网络机密信息的传播，从而降低公司机密泄露的风险，保证信息安全；另一方面可有效限制员工终端系统可访问的应用，从而提高工作效率。
智慧防火墙支持通过预定义的URL类及用户自定义的URL类对URL进行过滤，仅允许用户打开某些网页，或者禁止用户打开某些网页。例如可以通过策略禁止企业员工访问色情、犯罪、邪教等网站。
智慧防火墙通过深度内容过滤模块，针对邮件协议、文件传输协议、Web应用协议、网页邮箱、云盘进行应用层的内容进行过滤，可以对含有预定义或自定义违规关键字的内容进行过滤，防止企业员工对外发布违法言论，规避企业的法律风险。
智慧防火墙支持精细化应用识别控制，可以做到基于应用的上网行为管控策略，限制网络内部的用户使用某种指定的应用程序或协议。该方法在不限制用户访问互联网的前提下，能够差别化地限制某些影响工作效率或占用大量带宽的应用（如QQ、P2P）的使用，并且限制通过WLAN上网的手机用户使用与工作无关的应用。
智慧防火墙支持深度文件属性识别技术，对文件类型的识别不依赖后缀名，即使修改文件后缀名，也不影响智慧防火墙识别该文件。当使用POP3、SMTP、IMAP、FTP、HTTP协议及网页邮箱、云盘传输文件时，通过识别文件类型，对文件的上传和下载进行过滤，可以有效限制企业内部网络机密信息的传播，从而降低公司机密泄露的风险，保证信息安全。
智慧防火墙提供精细化的上网行为管控措施，不仅能规避企业员工访问非法网站、发布非法言论的问题，还能有效提升员工工作效率和带宽利用率。
3） 与天御云协同联动，精准发现内网失陷主机
防火墙的部署位置在企业互联网边界，与天御云进行实时协同，检测内网可疑失陷主机，并利用分析中心“智慧调查”相关的关联分析特性及时研判网络风险，进而下发处置策略。
天御云将智慧防火墙上报的日志数据汇聚至大数据分析引擎，提取网络内主机的行为数据，可通过大数据技术挖掘偏离正常基线的异常行为。同时，由防火墙上报的威胁日志将会和其他多种来源的攻防信息汇聚为威胁情报，天御云将海量的威胁情报与本地行为数据进行匹配对撞，可智慧发现失陷主机或者可能失陷的风险主机。
当智慧防火墙提供了可能失陷的风险主机后，可根据受害IP地址或者威胁事件匹配到IOC条目进行一键跳转，通过数据中心和分析中心，将流量经过设备各功能模块检测时所产生的日志信息关联聚合，呈现一次攻击发生的全过程。
当经过发现、分析调查工作后，如果确定为失陷主机，智慧防火墙还支持根据自定义时间一键处置失陷主机或者一键处置威胁事件，做到“智慧处置”，使整个处理流程变得简单、高效。
通过智慧防火墙和天御云的协同联动，不但可以预警网内的失陷主机，同时还可以向用户提供分析回溯的可见性及一键式的处置策略下发能力，实现对内部风险点和威胁的检测、分析、处置的闭环管理。
2. 用户价值
1） 全面、精确的威胁检测能力
基于360深厚的攻防研究储备和安全大数据能力，智慧防火墙可对3000余种漏洞利用攻击、500余万种恶意文件实现防御。此外，还可与安全私有云、沙箱检测系统等部件展开智能协同，通过病毒云查杀、URL云过滤、可疑文件深度鉴别等高级功能进一步提升威胁检出能力，确保互联网边界的安全性。
2） 基于内容、URL、应用行为的精细化管控
智慧防火墙系统提供内容过滤、URL过滤、网络行为管理功能，从而实现对用户的网络行为进行管控。行为管控策略不仅可精确到IP地址，更可精确到用户。同时，在文件过滤中还实现了对敏感信息泄露的防御，在内容过滤中实现了基于关键字的内容发布过滤，提供支持6700余种应用和700余种手机APP管控，使应用控制更加精细化。
3） 云端协同精确定位失陷主机
基于多手段的安全数据采集和深入分析，并得益于情报共享的生态体系，360具备全球领先的威胁情报生产能力。基于云端威胁情报技术的失陷主机发现，智慧防火墙可在互联网边界对网络流量进行多维度关联分析、递进式数据钻取，通过人性化UI界面直观展现失陷主机的发现、调查、处置一体化流程以及安全事件的溯源取证过程。5.25.2行业专网网络安全解决方案5.2.1背景及需求〖*2〗1. 应用背景专网是指在一些行业、部门或单位内部，为满足其进行组织管理、安全生产、调度指挥等需要所建设的专用数据网络。由于其具有保密性高、稳定可靠等诸多优势，被政府、公安、检察院、法院、税务、海关、教育等行业用户广泛采用。
专网建设成本高昂，一般只有重要行业、关键部门才会斥巨资建设并维护，其承载的应用均为组织的核心业务，对安全性要求极高。长期以来，大部分安全管理者片面地认为，专网是一个与公网、互联网隔离的封闭网络，隔离是解决网络安全问题最有效的方式，足以确保外部威胁无法侵入。
然而，随着“互联网+”时代的到来，业务应用场景日益复杂，网络边界越来越不清晰。事实证明，隔离的专网并不是安全的自留地，若不采取得当的安全措施，专网一旦被突破，将极有可能在瞬间全部沦陷，正所谓“单点突破、整网暴露”。因此，行业专网的安全问题不能一隔了之，而是应该采取更加有效的安全措施。

网络空间安全重点规划丛书编审委员会顾问委员会主任： 沈昌祥（中国工程院院士）
特别顾问： 姚期智（美国国家科学院院士、美国人文及科学院院士、中国科学院院士、“图灵奖”获得者）
何德全（中国工程院院士）蔡吉人（中国工程院院士）
方滨兴（中国工程院院士）吴建平（中国工程院院士）
王小云（中国科学院院士）
主任： 封化民
副主任： 韩臻李建华张焕国冯登国
委员： （按姓氏拼音为序）
蔡晶晶曹珍富陈克非陈兴蜀杜瑞颖杜跃进
段海新范红高岭宫力谷大武何大可
侯整风胡爱群胡道元黄继武黄刘生荆继武
寇卫东来学嘉李晖刘建伟刘建亚马建峰
毛文波潘柱廷裴定一钱德沛秦玉海秦志光
卿斯汉仇保利任奎石文昌汪烈军王怀民
王劲松王军王丽娜王美琴王清贤王新梅
王育民吴晓平吴云坤徐明许进徐文渊
严明杨波杨庚杨义先俞能海张功萱
张红旗张宏莉张敏情张玉清郑东周福才
左英男
丛书策划： 张民21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它会直接关系到国家安全、企业经营和人们的日常生活。 随着信息安全产业的快速发展，全球对信息安全人才的需求量不断增加，但我国目前信息安全人才极度匮乏，远远不能满足金融、商业、公安、军事和政府等部门的需求。要解决供需矛盾，必须加快信息安全人才的培养，以满足社会对信息安全人才的需求。为此，教育部继2001年批准在武汉大学开设信息安全本科专业之后，又批准了多所高等院校设立信息安全本科专业，而且许多高校和科研院所已设立了信息安全方向的具有硕士和博士学位授予权的学科点。
信息安全是计算机、通信、物理、数学等领域的交叉学科，对于这一新兴学科的培养模式和课程设置，各高校普遍缺乏经验，因此中国计算机学会教育专业委员会和清华大学出版社联合主办了“信息安全专业教育教学研讨会”等一系列研讨活动，并成立了“高等院校信息安全专业系列教材”编审委员会，由我国信息安全领域著名专家肖国镇教授担任编委会主任，指导“高等院校信息安全专业系列教材”的编写工作。编委会本着研究先行的指导原则，认真研讨国内外高等院校信息安全专业的教学体系和课程设置，进行了大量前瞻性的研究工作，而且这种研究工作将随着我国信息安全专业的发展不断深入。系列教材的作者都是既在本专业领域有深厚的学术造诣、又在教学第一线有丰富的教学经验的学者、专家。
该系列教材是我国第一套专门针对信息安全专业的教材，其特点是：
① 体系完整、结构合理、内容先进。
② 适应面广： 能够满足信息安全、计算机、通信工程等相关专业对信息安全领域课程的教材要求。
③ 立体配套： 除主教材外，还配有多媒体电子教案、习题与实验指导等。
④ 版本更新及时，紧跟科学技术的新发展。
在全力做好本版教材，满足学生用书的基础上，还经由专家的推荐和审定，遴选了一批国外信息安全领域优秀的教材加入到系列教材中，以进一步满足大家对外版书的需求。“高等院校信息安全专业系列教材”已于2006年年初正式列入普通高等教育“十一五”国家级教材规划。
2007年6月，教育部高等学校信息安全类专业教学指导委员会成立大会暨第一次会议在北京胜利召开。本次会议由教育部高等学校信息安全类专业教学指导委员会主任单位北京工业大学和北京电子科技学院主办，清华大学出版社协办。教育部高等学校信息安全类专业教学指导委员会的成立对我国信息安全专业的发展起到重要的指导和推动作用。2006年教育部给武汉大学下达了“信息安全专业指导性专业规范研制”的教学科研项目。2007年起该项目由教育部高等学校信息安全类专业教学指导委员会组织实施。在高教司和教指委的指导下，项目组团结一致，努力工作，克服困难，历时5年，制定出我国第一个信息安全专业指导性专业规范，于2012年年底通过经教育部高等教育司理工科教育处授权组织的专家组评审，并且已经得到武汉大学等许多高校的实际使用。2013年，新一届“教育部高等学校信息安全专业教学指导委员会”成立。经组织审查和研究决定，2014年以“教育部高等学校信息安全专业教学指导委员会”的名义正式发布《高等学校信息安全专业指导性专业规范》（由清华大学出版社正式出版）。
防火墙技术及应用出版说明2015年6月，国务院学位委员会、教育部出台增设“网络空间安全”为一级学科的决定，将高校培养网络空间安全人才提到新的高度。2016年6月，中央网络安全和信息化领导小组办公室（下文简称中央网信办）、国家发展和改革委员会、教育部、科学技术部、工业和信息化部及人力资源和社会保障部六大部门联合发布《关于加强网络安全学科建设和人才培养的意见》（中网办发文〔2016〕4号）。为贯彻落实《关于加强网络安全学科建设和人才培养的意见》，进一步深化高等教育教学改革，促进网络安全学科专业建设和人才培养，促进网络空间安全相关核心课程和教材建设，在教育部高等学校信息安全专业教学指导委员会和中央网信办资助的网络空间安全教材建设课题组的指导下，启动了“网络空间安全重点规划丛书”的工作，由教育部高等学校信息安全专业教学指导委员会秘书长封化民校长担任编委会主任。本规划丛书基于“高等院校信息安全专业系列教材”坚实的工作基础和成果、阵容强大的编审委员会和优秀的作者队伍，目前已经有多本图书获得教育部和中央网信办等机构评选的“普通高等教育本科国家级规划教材”“普通高等教育精品教材”“中国大学出版社图书奖”和“国家网络安全优秀教材奖”等多个奖项。
“网络空间安全重点规划丛书”将根据《高等学校信息安全专业指导性专业规范》（及后续版本）和相关教材建设课题组的研究成果不断更新和扩展，进一步体现科学性、系统性和新颖性，及时反映教学改革和课程建设的新成果，并随着我国网络空间安全学科的发展不断完善，力争为我国网络空间安全相关学科专业的本科和研究生教材建设、学术出版与人才培养做出更大的贡献。
我们的Email地址是： zhangm@tup.tsinghua.edu.cn，联系人： 张民。

“网络空间安全重点规划丛书”编审委员会没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。
为了更多、更快、更好地培养网络安全人才，如今许多学校都在努力培养网络安全人才，都在下大功夫、花大本钱，聘请优秀老师，招收优秀学生，建设一流的网络空间安全专业。
网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是网络空间安全专业人才培养的关键。但是，这是一项十分艰巨的任务。原因有二： 其一，网络空间安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程、信息工程等多门学科，因此，其知识体系庞杂，难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。
“防火墙技术及应用”是网络空间安全和信息安全专业的基础课程，全面介绍防火墙技术及应用知识。全书共5章。第1章介绍防火墙基本知识，第2章介绍防火墙技术，第3章介绍防火墙网络部署，第4章介绍防火墙安全功能应用，第5章介绍典型案例。
本书既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材，也适合作为网络安全研究人员的入门基础读物。本书将随着新技术的发展而更新。
由于作者水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

作者2018年11月