防火墙

1.防火墙的概念

防火墙（Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993
年发明并引入国际互联网（US5606668（A）1993-12-15）。
它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。
在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。
在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

2.防火墙的发展历程

防火墙从诞生开始，已经历了四个发展阶段：
基于路由器的防火墙
用户化的防火墙工具套
建立在通用操作系统上的防火墙
具有安全操作系统的防火墙
现阶段常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

3.防火墙的基本类型

• 网络层防火墙
  网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

• 应用层防火墙
  应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

• 数据库防火墙
  数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
  数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。
  数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

4.Linux 防火墙

Linux 防火墙在企业应用中非常有用，举例如下：
中小企业与网吧里有iptables 作为企业的NAT路由器，可以用来代替传统路由器，而节约成本。
IDC机房一般没有硬件防火墙，IDC机房的服务器可以用Linux 防火墙代替硬件防火墙。
iptables 可以结合squid 作为企业内部上网的透明代理。传统代理需要在浏览器里配置代理服务器信息，而iptables+squid 的透明代理则可以把客户端的请求重定向到代理服务器的端口。客户端不要作任何设置，而感觉不到代理的存在。
将iptables 作为企业NAT 路由器时，可以使用iptables 的扩展模块屏蔽P2P 流量，还可以禁止非法网页。
iptables 可以用于外网IP 向内网IP 映射。
iptables 可以轻松防止轻量级DOS 攻击，比如ping 攻击及SYN 洪水攻击。
综述，Iptables 有两种应用模式：主机防火墙，NAT路由器。

5.防火墙的基本原理

对应下图的字节传输流程，可以分为以下几层：
包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。
状态检测（Stateful Inspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。
完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。

6.Netfilter 与 iptables

Netfilter是由Rusty Russell提出的Linux
2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network
Address Translation，NAT)，以及基于用户及媒体访问控制(Media Access
Control，MAC)地址的过滤和基于状态的过滤、包速率限制等。Iptables/Netfilter的这些规则可以通过灵活组合，形成非常多的功能、涵盖各个方面，这一切都得益于它的优秀设计思想。Netfilter/Iptables
数据包过滤系统可以当成一个整体，netfilter是内核的模块实现，iptables是对上层操作工具。

• 如果不严格的区分则在Linux中 netfilter 和 iptables 都可以认为是指Linux防火墙。

• 两者区别在于：netfilter 是 Linux的2.4版内核引入了一种全新的包过滤引擎，称为Netfilter。指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”的防火墙功能体系。iptables指的是用来管理Linux防火墙的命令程序，通常位于/sbin/iptables，属于“用户态”的防火墙管理体系。iptables是控制Netfilter的工具，是Linux 2.2版内核中比较老的命令ipchains的兄弟。
  Netfilter 所设置的规则是存放在内核内存中的，而 iptables 是一个应用层的应用程序，它通过 Netfilter 放出的接口来对存放在内核内存中的 XXtables（Netfilter的配置表）进行修改。这个XXtables由表tables、链chains、规则rules组成，iptables在应用层负责修改这个规则文件。类似的应用程序还有 firewalld 。

• iptables 和 netfilter 的联系
  很多人一提到防火墙立马就想到了是iptables，其实iptables并不是防火墙，他只是一个软件或者说是一个工具，这个软件可以编写某些规则，将写好的规则保存到netfilter的规则数据库中。因此，真正起到"防火"的功能是netfilter，并不是iptables。netfilter是内核中的一个框架，这个框架里面包含了4个表和5个链，这些链又包含了很多的规则。而数据包要比对的规则就是这个链中所定义的规则。

7.防火墙的性能

吞吐量：该指标直接影响网络的性能，吞吐量 时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比
背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数
并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数

8.防火墙的局限性

防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁：
首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet
的直接连接。
防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。
另外，防火墙很难防范来自于网络内部的攻击或滥用。

Windows防火墙及其应用

1.适用范围

• Windows 10
• Windows 11
• Windows Server 2016 和更高版本

Windows 8、Windows 7、Windows Vista、Windows Server 2012、Windows Server
2008 和 Windows Server 2008 R2 中的Windows Defender
防火墙是一个有状态的主机防火墙，它通过允许你创建规则来确定允许从网络进入设备的网络流量以及设备是哪些网络流量来帮助保护设备 允许发送到网络。
Windows Defender 防火墙还支持 Internet 协议安全 (IPsec)
，可用于要求任何尝试与设备通信的设备进行身份验证。 当需要身份验证时，无法作为受信任设备进行身份验证的设备无法与设备通信。 还可以使用
IPsec 要求对某些网络流量进行加密，以防止网络数据包分析器读取这些流量，这些分析器可能由恶意用户附加到网络。 Windows
Defender 防火墙应是实现各种安全技术的综合安全解决方案的一部分，例如外围防火墙、入侵检测系统、虚拟专用网络 (VPN)
、无线和有线连接的 IEEE 802.1X 身份验证以及 IPsec 连接安全规则。

2.部署Windows Defender 防火墙的设计

可以使用实现目标将这些Windows Defender 防火墙之一与高级安全设计或自定义设计相结合，以合并此处所述目标中的元素：

• 基本防火墙策略设计。 将进出设备的网络流量限制为仅需要和授权的流量。
• 域隔离策略设计。 防止作为域成员的设备从非域成员的设备接收未经请求的网络流量。 可以建立更多“区域”来支持某些设备的特殊要求，例如：必须能够接收来自非隔离设备的请求的设备的“边界区域”。用于存储网络传输期间必须保护的敏感数据的设备的“加密区域”。
• 服务器隔离策略设计。 将对服务器的访问限制为仅限一组授权用户和设备。 此服务器通常可配置为域隔离设计中的区域，但也可以配置为独立设计，为一小组设备提供域隔离的许多优势。
• 基于证书的隔离策略设计。 此设计是对前两个设计之一的补充，并支持其任何功能。 它使用部署到客户端和服务器的加密证书进行身份验证，而不是默认在 Active Directory 中使用的 Kerberos V5 身份验证。 此设计使不属于 Active Directory 域的设备（例如运行 Windows 以外的操作系统的设备 ）能够参与隔离解决方案。

3.出入站规则配置

防火墙的两种配置模式：简单配置和高级设置

• 简单配置只需要在需要启动的服务旁把勾勾上即可。
  

• 域：在服务器隔离策略设计中，将服务器分配到一个区域，该区域仅允许访问作为已批准网络访问组的成员进行身份验证的用户和设备， (NAG) 。此设计通常从按照 域隔离策略设计 部分中所述配置的网络开始。 对于此设计，请为具有更多安全要求的服务器创建区域。 这些区域可以将对服务器的访问限制为仅限授权组的成员，并且可以选择性地要求加密进出这些服务器的所有流量。 这些限制和要求可以基于每个服务器或一组共享共同安全要求的服务器来完成。

• 公共网络：一般是指当前的网络环境可能存在风险，例如咖啡厅或机场等公共场所

• 专用网络：一般是指当前的网络环境存在风险较少，甚至没有

• 我们可以根据当前的网络情况选择不同的配置文件。

• 高级设置，能满足复杂的规则过滤。
  

对于配置简单防火墙而言，最重要的是入站规则，而出站一般是全部放行 而且还需要遵守一个规则： 拒绝的应用和端口 永远比允许的多
简单说，就是我们只配置允许的，而允许之外的全部拒绝
注意：我们可以不允许任何入站，但不能不允许所有出站，否则我们的数据包出不了防火墙，会造成连不了网等情况

Linux防火墙及其应用

很多 Linux 发行版本已经自带了防火墙，通常是
iptables。它很强大并可以自定义，但配置起来有点复杂。幸运的是，有开发者写出了一些前端程序来帮助用户控制防火墙，而不需要写冗长的
iptables 规则。

• firewalld与iptables关系与区别
  1.firewalld与ipables都不是真正的防火墙，只是用来定义防火墙规则功能的管理工具，将定义好的规则交由内核中的netfilter来实现真正的防火墙功能。
  2.在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables等。

• 与直接控制iptables相比，使用firewalld有两个主要区别：
  1.firewalld使用区域和服务而不是链式规则。
  2.firewalld默认是拒绝的，需要设置以后才能放行。而iptables默认是允许的，需要拒绝的才去限制。
  3.firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效。
  4.iptables service在/etc/sysconfig/iptables中存储配置，而firewalld将配置存储在/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里。
  
  1、域（zone）
  Firewalld 旨在让防火墙的配置工作尽可能简单。它通过建立域zone来实现这个目标。一个域是一组的合理、通用的规则，这些规则适配大部分用户的日常需求。默认情况下有九个域。

• trusted：接受所有的连接。这是最不偏执的防火墙设置，只能用在一个完全信任的环境中，如测试实验室或网络中相互都认识的家庭网络中。

• home、work、internal：在这三个域中，接受大部分进来的连接。它们各自排除了预期不活跃的端口进来的流量。这三个都适合用于家庭环境中，因为在家庭环境中不会出现端口不确定的网络流量，在家庭网络中你一般可以信任其他的用户。

• public：用于公共区域内。这是个偏执的设置，当你不信任网络中的其他计算机时使用。只能接收选定的常见和最安全的进入连接。

• dmz：DMZ 表示隔离区。这个域多用于可公开访问的、位于机构的外部网络、对内网访问受限的计算机。对于个人计算机，它没什么用，但是对某类服务器来说它是个很重要的选项。

• external：用于外部网络，会开启伪装（你的私有网络的地址被映射到一个外网 IP 地址，并隐藏起来）。跟 DMZ 类似，仅接受经过选择的传入连接，包括 SSH。

• block：仅接收在本系统中初始化的网络连接。接收到的任何网络连接都会被 icmp-host-prohibited 信息拒绝。这个一个极度偏执的设置，对于某类服务器或处于不信任或不安全的环境中的个人计算机来说很重要。
  drop：接收的所有网络包都被丢弃，没有任何回复。仅能有发送出去的网络连接。比这个设置更极端的办法，唯有关闭 WiFi 和拔掉网线。

• firewall-cmd –get-zones获得当前所有域

firewalld的默认区域是public，firewalld默认提供了九个zone配置文件：block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml，