防火墙总结
0x0 WHY-为什么要用防火墙
公网区域不安全,存在很多安全隐患,为了避免内网受到威胁,使用防火墙来保护内网不受外网入侵;根据等级保护2.0技术要求中的:安全区域边界要求,需要使用防火墙
0x1 WHAT-什么是防火墙
防火墙是一台工作在网络边界用来保护内网不受外网入侵的一个安全系统
0x2 HOW-防火墙如何实现防护
0x2.1 传统防火墙
- 包过滤防火墙:使用ACL来控制数据包,需要手动放通合法的流量
- 状态检测防火墙:通过ACL来做数据的放通,数据传输先建立会话表,后续数据依照会话表进行转发
- 应用代理防火墙:数据通过时先对用户做认证,认证通过以后再给用户的应用建立代理
- 可以做用户认证,行为管理,URL过滤,关键字识别;无法处理应用层攻击,代理是软件层的处理,消耗计算机的性能,运维起来很麻烦
- UTM:同一威胁管理,将传统防火墙、AV、IDS、IPS结合起来;在处理进程时是串行处理,效率低,会重复解析数据包
- 部署方式:路由模式、透明模式、混合模式
0x2.2 下一代防火墙和传统防火墙的区别
- 下一代防火墙:增强了应用控制和应用识别、增加了入侵检测防护、文件泄露防护、web网站防护、恶意代码防护
- 部署方式:路由模式、透明模式、混合模式、旁路模式
0x2.3 下一代防护墙的防护方式
0x2.3.1 服务器端
服务器端面临的威胁:不必要的访问、操作系统漏洞、被扫描和嗅探、WEB攻击
- 针对DDOS攻击:SYN代理
- 设置每目的IP激活阈值,每目的IP丢包阈值
- 针对web服务器
- WAF,设置黑白名单过滤
- 针对入侵检测
- IDS/IPS
- 针对文件被篡改
- 文件监控系统、二次认证
0x2.3.2 终端
终端面临的风险:敏感信息泄露、机密文件被窃取、系统/数据被破坏、被抓肉鸡或者当作跳板
- 终端安全检测方式
- 基于应用:需要放通一定量的报文才能识别
- 基于服务:使用五元组识别
- 基于应用的控制速度慢但精确、基于服务速度快但笼统
- 网关杀毒技术
- 检查通信中所带的文件是否含有特定的病毒特征,防止病毒的扩散;基于流、基于代理的扫描
- 僵尸网络防范
- 事前通过安全策略阻止黑客控制内网主机、事中识别并阻止受到感染的主机像CC服务器发起连接;阻止木马传播的行为;阻止CC服务器给内网肉鸡下发指令、事后阻止内网肉鸡对服务器发起DDOS攻击
0x3 WAF如何工作
- 对HTTP请求进行异常检测;
- 增强的输入验证;
- 基于规则、异常的保护;
- 状态管理