預(yù)備知識(shí)認(rèn)識(shí)防火墻1.什么是防火墻防火墻(Firewall)是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)之間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合，是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備。防火墻這個(gè)名字借鑒了古代用于防火的防火墻的喻義，是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻通常具有以下三個(gè)特點(diǎn)。(1)位置特點(diǎn)：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。只有當(dāng)防火墻成為內(nèi)、外網(wǎng)絡(luò)之間通信的唯一通道時(shí)，才可以全面、有效地保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。(2)功能特點(diǎn)：只有符合安全策略的數(shù)據(jù)流才能通過防火墻。根據(jù)企業(yè)的安全策略(允許、拒絕、監(jiān)測(cè))控制出入網(wǎng)絡(luò)的信息流，確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)流量快速地從一條鏈路轉(zhuǎn)發(fā)到其它鏈路上。(3)性能特點(diǎn)：防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。防火墻處于網(wǎng)絡(luò)邊緣，就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這就要求防火墻自身具有非常強(qiáng)的抗攻擊的本領(lǐng)。2.防火墻的種類1)包過濾型防火墻包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是靜態(tài)包過濾，工作在OSI模型的網(wǎng)絡(luò)層上，之后發(fā)展出來的動(dòng)態(tài)包過濾則是工作在OSI模型的傳輸層上。包過濾型防火墻工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道，它把網(wǎng)絡(luò)層和傳輸層作為數(shù)據(jù)監(jiān)控的對(duì)象，對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析，并與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行核對(duì)，一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)包就會(huì)被丟棄?；诎^濾技術(shù)的防火墻的優(yōu)點(diǎn)是對(duì)于小型的、不太復(fù)雜的站點(diǎn)比較容易實(shí)現(xiàn)，同時(shí)其缺點(diǎn)也是很顯著的。首先面對(duì)大型的、復(fù)雜的站點(diǎn)，包過濾的規(guī)則表很快會(huì)變得很大而且復(fù)雜，規(guī)則很難測(cè)試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。其次是這種防火墻依賴于一個(gè)單一的部件來保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問題，或者外部用戶被允許訪問內(nèi)部主機(jī)，則這個(gè)外部用戶就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)，形成很大的安全隱患。2.防火墻的種類2)應(yīng)用代理型防火墻應(yīng)用代理型防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)檢測(cè)過濾功能的透明代理服務(wù)器。但是它并不是單純地在一個(gè)代理設(shè)備中嵌入包過濾技術(shù)，而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)。應(yīng)用代理型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，能夠有效地判斷出各層中的非法侵入。這種防火墻一般還帶有分布式探測(cè)器，能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。應(yīng)用代理型防火墻基于代理技術(shù)，通過防火墻的每個(gè)連接都必須建立在為之創(chuàng)建的代理進(jìn)程上，而代理進(jìn)程自身是要消耗一定時(shí)間的，于是數(shù)據(jù)在通過代理防火墻時(shí)就不可避免地發(fā)生遲滯現(xiàn)象。應(yīng)用代理型防火墻以犧牲速度為代價(jià)換取了比包過濾型防火墻更高的安全性能。2.防火墻的種類3)狀態(tài)檢測(cè)型防火墻狀態(tài)檢測(cè)型防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過濾規(guī)則作出安全決策。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開放過多端口，進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來的安全隱患。3.RHEL9中的防火墻Linux內(nèi)核提供的防火墻功能通過netfilter框架實(shí)現(xiàn)，并提供Iptables、Nftables、Firewalld等工具配置和修改防火墻的規(guī)則。Linux內(nèi)核包含一個(gè)強(qiáng)大的網(wǎng)絡(luò)過濾子系統(tǒng)netfilter。netfilter子系統(tǒng)允許內(nèi)核模塊對(duì)遍歷系統(tǒng)的每個(gè)數(shù)據(jù)包進(jìn)行檢查。這表示任何傳入、傳出或轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包在到達(dá)用戶空間中的組件之前，都可以通過編程方式被檢查、修改、丟棄或拒絕。盡管系統(tǒng)管理員可以編寫自己的內(nèi)核模塊與netfilter交互，但通常大家都不會(huì)這么做，而是使用其他程序與netfilter交互。這些程序中，最常見和最知名的是Iptables。在RHEL7之前的版本中，iptables是與netfilter交互的主要方法。Iptables命令是一個(gè)低級(jí)工具，使用該工具正確管理防火墻可能具有挑戰(zhàn)性。此外，它僅能調(diào)整IPv4防火墻規(guī)則。為保證更完整的防火墻覆蓋率，需要使用其他實(shí)用程序，如用于IPv6的ip6tables和用于軟件橋的ebtables。從RHEL7開始引入了一種與netfilter交互的新方法：Firewalld。Firewalld是一個(gè)可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程。該守護(hù)進(jìn)程不僅涵蓋IPv4和IPv6，還可以涵蓋ebtables設(shè)置。3.RHEL9中的防火墻為了克服iptables的一些限制和不足，從RHEL8開始引入了nftables。與iptables相比，nftables主要由以下幾個(gè)變化：(1)iptables大部分工作在內(nèi)核態(tài)完成，如果要添加新功能，只能重新編譯內(nèi)核；nftables大部分工作是在用戶態(tài)完成，添加新功能不需要改內(nèi)核。(2)nftables在設(shè)計(jì)上更為現(xiàn)代化和模塊化，它提供了一種更靈活的方式來處理復(fù)雜的規(guī)則，同時(shí)減少了內(nèi)核中的代碼冗余。(3)iptables的規(guī)則結(jié)構(gòu)由表、鏈和規(guī)則組成，其中規(guī)則包含match（匹配）和target（目標(biāo)）。而nftables引入了更為高級(jí)的“元數(shù)據(jù)”概念，允許用戶自定義數(shù)據(jù)結(jié)構(gòu)，使得規(guī)則管理更加靈活和強(qiáng)大。(4)nftables的語法和命令結(jié)構(gòu)與iptables有所不同，它提供了一種新的聲明式配置語言，這種語言更接近于現(xiàn)代編程語言，使得規(guī)則集的編寫更加直觀和易于維護(hù)。從RHEL9開始，nftables成為默認(rèn)的防火墻后端配置工具。防火墻除了Linux內(nèi)嵌的防火墻之外，目前市場(chǎng)上還有很多獨(dú)立的防火墻產(chǎn)品。在這些產(chǎn)品中絕大多數(shù)是我國具有自主知識(shí)產(chǎn)權(quán)的國產(chǎn)品牌產(chǎn)品，如華為、華三、深信服、天融信、山石等。我國的網(wǎng)絡(luò)安全產(chǎn)品從無到有、從低級(jí)到高級(jí)，越來越強(qiáng)大，逐漸引領(lǐng)世界