第8章防火墙技术原理与应用

1. 防火墙概述 ※
2. 防火墙类型与实现技术 ※
3. 防火墙主要产品与技术指标 ※
4. 防火墙体系结构类型 ※
5. 防火墙技术应用 ※※
   命题规则：上午选择题2分，下午案例高概率5-10分
   作为一名信息安全工程师，配置防火墙应该是基本能力，这一章相对来说很重要

8.1防火墙概述

防火墙实质上就是访问控制的一个产品

8.1.1 防火墙概念（引入）

注意，这里的防火墙不是windows系统自带的软件防火墙Windows Defender

 根据网络的安全信任程度和需要保护的对象，人为地将企业网络划分若干安全区域，常见的安全区域有：

• 内联网（intranet），内网是防火墙的重点保护区域，包含单位网络内部的所有网络设备和主机。该区域是可信的，内网发出的连接较少进行过滤和审计。

外联网（Extranet），内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；

• DMZ区（Demilitarized Zone）又称军事缓冲区，DMZ是一个逻辑区。从内网中划分出来（目前我看到的是介于内部网络和外部网络之间的网络段），常放置公共服务设备，包含向外网提供服务的服务器集合，向外提供信息服务。DMZ中的服务器有Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。DMZ区保护级别较低，可以按要求放开某些服务和应用。

有关DMZ，我看到的有两种情况，有在内网和外网中间，还有单独划分出来的区域。如下两图所示

• 外网(Internet)，是防火墙重点防范的对象，针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计，不符合条件的则不允许访问。

  在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，可以隔离有害通信，进而阻断网路攻击。这种安全设备就叫做防火墙，一般安装在不同安全区域的边界，用于控制网络通信安全

防火墙(Firewall)是网络互联的重要设备，用于控制网络之间的通信外部网络用户的访问必须先经过安全策略过滤，而内部网络用户对外部网络的访问则无须过滤。
现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能。

8.1.2 防火墙工作原理

  防火墙是由一些软、硬件组合而成的网络访问控制器，他根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其它外部网络相互隔离，限制网络互访，保护内部网络的安全。

防火墙采用白名单和黑名单两种机制:
(1)白名单机制:只允许符合规则的包通过防火墙，其余则禁止。
(2)黑名单机制:拒绝符合规则的报文通过防火墙，其他则放行。

简单的防火墙可以用路由器、交换机实现，复杂的需要用一台计算机，甚至一组计算机实现。

防火墙的功能主要有以下几个方面

过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙，禁止未授权的用户访问受保护的网络，降低被保护网络受非法攻击的风险。
限制网络访问。防火墙只允许外部网络访问受保护网络的制定主机或网络服务，通常受保护网络中的Mail、FTP、WWW服务器等可让外部访问，而其他类型的访问则予以禁止。防火墙也可以用来限制受保护网络中的主机访问外部网络的某些服务，例如某些不良网站
网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道，可以记录所有通过它的访问，并提供网络使用情况的统计数据。
网络带宽控制。防火墙可以控制网络带宽的分配使用，实现部分网络质量服务（QoS）保障
协同防御。防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全

8.1.3 防火墙安全风险

  采用防火墙安全措施的网络仍然存在以下网络安全风险：
（1）网络安全旁路。防火墙只能对通过它的网络通信包进行访问控制，而未经过它的网络通信就无能为力
（2）防火墙功能缺陷，导致一些网络威胁无法阻断。主要安全缺陷如下：

1. 防火墙不能完全防止感染病毒的软件或文件传输，防火墙是网络通信的瓶颈，因为己有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以致不能指望防火墙逐个扫描每个文件查找病毒，只能在每台主机上安装反病毒软件。
2. 防火墙不能防止基于数据驱动式的攻击（比如缓冲区的溢出），当有些表面看来无害的数据被邮寄或复制到 主机上并被执行而发起攻击时，就会发生数据驱动攻击效果。防火墙对此无能为力。
3. 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制，某些基于网络隐蔽 通道的后门能绕过防火墙的控制。例如 http tunnel 等。
4. 防火墙安全机制形成单点故障和特权威胁，防火墙处于不同网络安全区域之间，所有区域之间的通信都经过防火墙，受其控制，从而形成安全特权。一旦防火墙自身的安全管理失效，就会对网络造成单点故障和网络安全特权失控。
5. 防火墙无法有效防范内部威胁，处于防火墙保护的内网用户一旦操作失误，网络攻击者就能利用内部用户发起主动网络连接，从而可以躲避防火墙的安全控制。
6. 防火墙效用受限于安全规则。防火墙依赖于安全规则更新，特别是采用黑名单策略的防火墙，一旦安全规则更新不及时，极易导致防火墙的保护功能失效。

PS：有的防火墙有防病毒功能

8.1.4 防火墙发展

  防火墙技术发展演变：（1）防火墙控制粒度不断细化（2）检查安全功能持续增强（3）产品分类更细化（4）智能化增强

8.2防火墙类型与实现技术

按照防火墙的实现技术及保护对象，常见的防火墙类型可分为包过滤防火墙、代理防火墙、下一代防火墙、Web 应用防火墙、数据库防火墙、工控防火墙。

防火墙的实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等

8.2.1包过滤防火墙

  包过滤是在I P层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外，还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙，简称为包过滤型防火墙（Packet Filter）【要求考生能根据实际情况，对防火墙包过滤规则表中的表项如源地址，端口，操作等进行填空，属于基本要求】

包过滤是在 IP 层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外，还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙，简称为包过滤型防火墙(Packet Filter)，其工作机制如图 8-3所示。

  包过滤式防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能，并默认转发所有的包。包过滤的控制依据是规则集，典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成，一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型（UDP、TCP、ICMP）、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。

包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP、UDP、TCP、ICMP和其他协议。包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则(如ACL)来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。

在案例题里，大概率不会出思科防火墙的配置，但是选择题是有出题的可能性(21年就出了），后续会更新思科基本配置方法

也要注意 ACL的形式实现上表的过滤规则,新教材还在使用 cisco 的设备,实际软考都考华为的设备了。暂时以教材为准。

  Cisco IOS有两种访问规则形式，即标准IP访问表和扩展IP访问表，他们的区别主要是访问控制条件不一样。标准IP访问表只是根据IP包的源地址进行控制，扩展IP访问表同时匹配源地址和目的地址


  Cisco IOS有两种访问规则形式，即标准IP访问表和扩展IP访问表，他们的区别主要是访问控制条件不一样。标准IP访问表只是包过滤成为当前解决网络安全问题的重要技术之一，不仅可以用在网络边界，而且也可以用在单台主机上。如下图是windows11 配置包过滤的地方。

包过滤防火墙技术的优点：低负载、高通过率、对用户透明

包过滤技术的弱点：不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址盗用。如果攻击者把自己主机的IP地址设置成一个合法主机的IP地址，就可以轻易通过包过滤器。

8.2.2基于状态检测技术的防火墙

  基于状态的防火墙通过用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。

基于状态检测的防火墙检测每一个TCP、UDP之类的会话连接。
基于状态的会话包含特定会话的源地址、目的地址、端口号、TCP序列号信息以及与此会话相关的其他标志信息。
基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。
基于状态检测的防火墙的性能比包过滤防火墙和代理服务器式防火墙要高。
思科PIX和ASA属于基于状态检测的防火墙

状态防火墙处理包流程的主要步骤如下

1. 接收到数据包
2. 检查数据包的有效性，若无效，则丢掉数据包并审计
3. 查找会话表；若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计
4. 当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包；否则，丢掉该数据包并审计。

8.2.3代理服务器式防火墙

  应用服务代理防火墙扮演着受保护网络的内部网络主机和外部网络主机的网络通信连接“中间人”角色，代理防火墙代替受保护网络的主机向外部网络发送服务请求，并将外部服务请求响应的结果返回给受保护网络主机

  采用代理服务技术的防火墙简称为代理服务器，它能提供应用级的网络安全访问控制。代理服务器按照所代理的服务可分为FTP代理、Telnet代理、Http代理、Socket代理、邮件代理等。如下是windows11设置代理服务器的方式

  代理服务技术也是常用的防火墙技术，安全管理员为了对内部网络用户进行应用级上的访问控制，常安装代理服务器。受保护的内部用户对外部网络访问时，首先要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网络的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性。

代理服务器式防火墙对第四层到第七层的数据进行检查，与包过滤防火墙相比，需要更高的开销。用户经过建立会话状态并通过认证及授权后，才能访问到受保护的网络。压力较大的情况下，代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。

代理服务器的优点：

• 不允许外部主机直接访问内部主机
• 支持多种用户认证方案
• 可以分析数据包内部的应用命令
• 可以提供详细的审计记录

应用服务代理技术的缺点是

• 速度比包过滤慢
• 对用户不透明
• 与特定应用协议相关联，代理服务器并不能支持所有的网络协议

8.2.4网络地址转换技术

  NAT是Network Address Translation 的英文缩写，中文含义是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。

  实现网络地址转换的方式主要有：

静态NAT（static NAT）：在内部网路中的每个主机都被永久映射成外部网络中的某个合法地址
NAT池（pooledNAT）：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络
端口NAT（PAT）：把内部地址映射道外部网络的一个IP地址的不同端口上。

目前，许多路由器产品都具有 NAT功能。开源操作系统 Linux 自带的 IPtables 防火墙支持地址转换技术。

2.5 Web防火墙技术
  Web应用防火墙（又称为WAF）是一种用于保护Web服务器和Web应用的网络安全机制。其技术原理是根据预定义的过滤规则和安全防护规则，对所有访问Web服务器的HTTP请求和服务器的响应，进行HTTP协议和内容的过滤，进而对Web服务器和Web应用提供安全防护功能。

  web防火墙的HTTP过滤的常见功能主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL内容关键字过滤、Web服务器返回内容过滤。WAF可以抵御的典型攻击主要是SQL注入攻击、XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。目前Web应用防火墙有ModSecurtiy、WebKlight、ShadowDaemon等

8.2.5 Web 防火墙技术

Web 应用防火墙是一种用于保护 Web 服务器和 Web应用的网络安全机制。其技术原理是根据预先定义的过滤规则和安全防护规则,对所有访问 Web服务器的HTTP请求和服务器响应,进行 HTTP 协议和内容过滤，进而对 Web服务器和 Web 应用提供安全防护功能。Web 应用防火墙的 HTTP过滤的常见功能主要有允许/禁止HTTP请求类型、HTTP协议头各个字段的长度限制、后缀名过滤、URL 内容关键字过滤、Web 服务器返回内容过滤。Web 应用防火墙可抵御的典型攻击主要是 SOL注入攻击、XSS 跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF 攻击等。目前，开源Web 应用防火墙有ModSecurity、WebKnight、ShadowDaemon 等。

8.2.6数据库防火墙

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。

数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“原地址、目的地址、源端口、目的端口、SQL语句”等信息，根据这些信息及安全规则监控数据库风险行为，阻断违规SQL操作、阻断或允许合法的SQL执行。

虚拟补丁技术通过在数据库外创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，就可保护数据库安全

8.2.7 工控防火墙技术

工业控制系统专用防火墙系统简称为工控防火墙，是一种用于保护工业设备系统的网络安全机制。其技术原理主要通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备，实现工控网络的安全隔离和工控现场操作的安全保护。

工控防火墙侧重于分析工控协议，主要包括Modbus TCP协议、IEC 61850协议、OPC协议、Ethenet/IP协议和DNP3协议等。同时工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求

8.2.8 下一代防火墙技术

  相对于传统网络防火墙，下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外，还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。如：（1）应用识别和管控（2）入侵防护(IPS)；（3）数据泄露；（4）恶意代码防护；（5）URL分类与过滤；（6）带宽管理与QoS优化；（7）加密通信分析

1. 应用识别和管控。不依赖端口，通过对网络数据包深度内容的分析，实现对应用层协议和应用程序的精准识别，提供应用程序级功能控制，支持应用程序安全防护。
2. 入侵防护((IPS)。能够根据漏洞特征进行攻击检测和防护，如 SQL 注入攻击。
3. 数据防泄露。对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如 Word,Excel,PPT, PDF 等，并对敏感内容进行过滤。
4. 恶意代码防护。采用基于信誉的恶意检测技术，能够识别恶意的文件和网站。构建 Web 信誉库，通过对互联网站资源(IP、URL、域名等)进行威胁分析和信誉评级,将含有恶意代码的网站资源列入 Web 信誉库，然后基于内容过滤技术阻挡用户访问不良信誉网站，从而实现智能化保护终端用户的安全。
5. URL 分类与过滤。构建 URL 分类库，内含不同类型的 URL 信息(如不良言论、网络“钓鱼”、论坛聊天等)，对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤。
6. 带宽管理与Qos优化。通过智能化识别业务应用，有效管理网络用户/P 使用的带宽，确保关键业务和关键用户的带宽，优化网络资源的利用。
7. 加密通信分析。通过中间人代理和重定向等技术，对 SSL,SSH 等加密的网络流量进行监测分析。

8.2.9 防火墙共性关键技术

  防火墙涉及多种技术，其中关键技术主要有以下几种

1. 深度包检测：深度包检测(Deep Packet Inspection，DPI)，是一种用于对包的数据内容及包头信息进行检查分析的技术方法。

2. 操作系统：防火墙的运行依赖于操作系统，操作系统的安全性直接影响防火墙的自身安全。目前，防火墙的操作系统主要有Linux、Windows、设备定制的操作系统等。操作系统的安全增强是防火墙的重要保障。

3. 网络协议分析：防火墙通过获取网络中的包，然后利用协议分析技术对信息进行提取，进而实施安全策略检查及后续包的处理

8.3防火墙主要产品与技术指标

8.3.1 防火墙主要产品

稍微看一下

  防火墙是广泛应用的网络安全产品，其产品形态有硬件实体和软件模式。商业产品的主要形态为物理硬件实体，安全功能软件集成到硬件实体中。开源防火墙产品主要以软件模式存在，如IPtables。目前，防火墙的主要产品如下

网络防火墙：部署在不同安全域之间，解析和过滤经过防火墙的数据流，具备网络层访问控制及过滤功能的网络安全产品。
web应用防火墙：根据预先定义的过滤规则和安全防护规则，对所有访问Web服务器的HTTP请求和服务器响应进行HTTP协议和内容过滤，并对Web服务器和Web应用提供安全防护的网络安全产品。
数据库防火墙：基于数据库协议分析与控制技术，可实现对数据库的访问行为控制操作和危险操作阻断的网络安全产品
主机防火墙：特点是部署在终端计算机上，监测和控制网络级数据流和应用程序访问的网络安全产品。
工控防火墙：部署在工业控制环境，基于工控协议深度分析与控制技术，对工业控制系统、设备以及控制域之间的边界进行保护，并满足特定工业环境和功能需求的网络安全产品
下一代防火墙：部署在不同安全域之间，解析和过滤经过 防火墙的数据流，集成应用识别和管控、恶意代码、入侵防护、事件关联等多种安全功能，同时具备网络层和应用层访问控制及过滤功能的网络安全产品
家庭防火墙：防火墙功能模块集成在智能路由器中，具有IP地址控制、MAC地址限制、不良信息过滤控制、防止蹭网、智能家居保护等功能的网络安全产品

8.3.2防火墙主要技术指标

防火墙评价指标可分为四类，即安全功能要求、性能要求、安全保障要求、环境适应性要求。

• 防火墙安全功能指标
  
• 防火墙性能指标

最大吞吐量、最大连接速率、最大规则数、并发连接数

防火墙安全保障指标用于测评防火墙的安全保障程度，主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定。
环境适应性指标用于评估防火墙墙的部署和正常运行所需要的条件，包括网络环境、物理环境
防火墙自身安全指标主要有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等

8.4防火墙防御体系结构类型

防火墙防御结构主要有基于双宿主主机防火墙、基于代理主机防火墙、基于屏蔽子网的防火墙

8.4.1 基于双宿主主机防火墙结构

• 双宿主主机结构式最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统

将一个内部网络和外部网络分别连接在不同的网络卡，使内外网不能直接通信

8.4.2 基于代理型防火墙结构

双宿主主机结构由一台同时连接内、外网络的主机提供安全保障，代理型结构则不同，代理型结构中由一台主机同外部网连接，该主机代理内部网和外部网的通信。同时，代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构，如图 8-13 所示。

代理主机属于内网，相当于内外网直接交互，易出现单点故障，可通过屏蔽子网结构改进

8.4.3 基于屏蔽子网的防火墙结构

• 屏蔽子网架构是在代理结构中增加一层周边网络的安全机制，使内部网络有两层隔离带。基于拍片子王防火墙结构的特点如下；

  （1）应用代理位于被屏蔽子网中，内部网络向外公开的服务器也放在屏蔽子网中，外部网络只能访问屏蔽子网，不能直接进入内部网络

  （2）两个包过滤路由器的功能和配置是不同的。包过滤路由器A的作用是过滤外部网络对屏蔽子网的访问。把偶哦率路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证

  （3）优点：安全级别最高；缺点：成本高，配置复杂。
  
  A过滤外部网对被屏蔽子网的访问，B过滤被屏蔽子网对内部网的访问

8.5防火墙技术应用

8.5.1防火墙应用场景类型

• 上网保护：利用防火墙的访问控制及内容过滤功能，保护内网和上网计算机安全，防止互联网黑客直接攻击内部网络，过滤恶意网络流量，切断不良信息访问
• 网站保护：通过web应用防火墙代理互联网客户端对web服务器的所有技术请求，清洗异常流量，有效控制政务网站应用的各类安全威胁。
• 数据保护：受保护的数据区域边界部署防火墙，对数据库服务器或数据存储设备的所有请求和响应进行安全检查，过滤恶意操作，防止数据遭到威胁
• 网络边界保护：在安全域之间部署防火墙，利用防火墙进行访问控制，限制不同安全域之间的网络通信
• 终端保护：在终端设备安装防火墙，利用防火墙阻断不良网址，防止终端设备受到侵害
• 网络安全应急响应：利用防火墙，对恶意攻击源及网络通信进行阻断，过滤恶意流量，防止网络安全事件影响扩大

8.5.2 防火墙部署基本方法

防火墙部署根据受保护的网络环境和安全策略进行，如

  第一步，根据组织或公司的安全策略要求，将网络划分为若干安全区域

  第二步，在安全区域之间设置针对网络通信的访问控制点；

  第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略

  第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构

  五步，在防火墙上，配置实现对应的网络安全策略

  第六步，测试验证边界安全策略是否正常执行

  第七步，运行和维护防火墙

8.5.3 IPtables防火墙应用参考（重点）

重点重点，大题可能会要写iptables指令，后续会更新iptables专题

  IPtables是Linux系统自带的防火墙，支持数据包过滤、数据包转发、地址转换、基于MAC地址过滤、基于状态的过滤、包速率限制等安全功能。IPtables可用于构建Linux主机防火墙，也可以用于构建网络防火墙。IPtables常见配置如下

#1.删除所有存在的规则
iptables -F

#2.设置默认链策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#3.阻止特定的ip地址
#ip = "x.x.x.x"
iptables -A INPUT -s ip -j DROP

#4.Allow ALL incoming SSH
#iptables -A -INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

8.5.4 Web 应用防火墙应用参考

Web应用防火墙主要依赖于安全规则，因而规则的维护更新是防火墙有效的基础。目前，OWASP核心规则集(OWASPModSecurity Core Rule Set)是一组用于 Web 应用防火墙的通用攻击检测规则。核心规则集(CRS)的目的是保护 Web应用程序的安全，使其免受各种攻击包括 OWASP TOP 10 攻击，同时使得 Web 防火墙减少虚假报警。CRS3.0 提供 13 种常见的攻击规则类型，包括 SOL注入、跨站点脚本等。目前，微软公司 Azure 应用程序网关的应用防火墙(WAF)支持CRS3.0和 CRS2.0。如图 8-15 所示，微软公司 Azure 应用程序网关可以用于保护多个网站的安全。在不需要修改代码的情况下，使得 Web 应用程序免受 Web 漏洞攻击，一个单独应用程序网关实例可以托管多达100个受 Web 应用防火墙保护的网站。

8.5.5 包过滤防火墙应用参考

已知某公司内部网与外部网通过路由器互连，内部网络采用路由器自带的过滤功能来实现网络安全访问控制，如图 8-16所示。

为了保证内部网络和路由器的安全，特定义如下网络安全策略:

• 只允许指定的主机收集 SNMP 管理信息:
• 禁止来自外部网的非法通信流通过;
• 禁止来自内部网的非法通信流通过;
• 只允许指定的主机远程访问路由器。

根据上述网络安全策略，路由器的过滤规则安全配置信息如下，

8.5.6 工控防火墙应用参考

如图 8-17 所示，在调度中心和各场站之间部署工业防火墙，进行网络层级间的安全隔离和防护，提高门站、储配站、输配站等各站的安全防护能力。将每个场站作为一个安全域，在各场站 PLC/RTU 等工业控制设备的网络出口位置部署工业防火墙，对外来访问进行严格控制，以实现重要工业控制装置的单体设备级安全防护。

8.6 本章小结

本章首先介绍了防火墙的概念以及工作原理，并重点分析了防火墙的实现技术和防火墙的评价指标;然后对防火墙的防御体系结构类型进行了归纳分析，主要有双宿主主机结构、代理型结构、屏蔽子网结构;最后给出防火墙的应用案例。