状态检查技术

基于状态的防火墙通过利用 TCP 会话和 UDP“伪”会话的状态信息进行网络访问控制。采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的 TCP 连接或 UDP 流时，防火墙会创建会话项，然后依据状态表项检查，与这些全话相关联的包才允许通过防火墙。

状态防火墙处理包流程

1. 接收到数据包。
2. 检查数据包的有效性，若无效，则丢掉数据包并审计。
3. 查找会话表：若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计。
4. 当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包；否则，丢掉该数据包并审计。

应用服务代理—应用层网关

应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人“的角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机.

检查进出的数据包，通过自身复制传递数据，阻止在内外部直接建立联系。

应用代理可以理解应用层上的协议，能够做一些复杂的访问控制。

对每一类应用都需要一个专门的代理

采用代理服务技术的防火墙简称为代理服务器，它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为

• FTP 代理
• Telnet 代理
• Http 代理
• Socket 代理
• 邮件代理

应用服务代理技术的优点:

• 不允许外部主机直接访问内部主机；
• 支持多种用户认证方案；
• 可以分析数据包内部的应用命令；
• 可以提供详细的审计记录。

应用服务代理技术的缺点是：

• 速度比包过滤慢；
• 对用户不透明；
• 与特定应用协议相关联，代理服务器并不能支持所有的网络协议。

应用服务代理—电路层网关

电路级网关是一个通用代理服务器，通常可以认为它工作于OSI模型的会话层或TCP/IP协议的TCP层。

• 电路级网关的实现典型就是Socks5协议，支持多种认证方式。
• Socks5只是简单的传递数据包，而不是使用哪种协议，比如ftp

网络地址供换技术NAT(Networtk Address Translation)

NAT 技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网 IP 地址和大量主机之间的矛盾。

NAT 技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。

基于 NAT 技术的防火墙上配置有合法的公共 IP 地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。

实现网络地址转换的方式主要有：

• 静态 NAT（StaticNAT）:内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
• NAT 池（pooledNAT）:在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络
• 端口 NAT（PAT）:把内部地址映射到外部网络的一个 IP 地址的不同端口上

开源操作系统 Linux 自带的 IPtables 防火墙支持地址转换技术

Web 防火墙技术

Web 应用防火墙是一种用于保护 Web 服务器和 Web 应用的网络安全机制。

其技术原理是根据预先定义的过滤规则和安全防护规则，对所有访问 Web 服务器的 HTTP 请求和服务器响应，进行 HTTP 协议和内容过滤，进而对 Web 服务器和 Web 应用提供安全防护功能。

Web 应用防火墙的 HTTP 过滤的常见功能

• 允许/禁止 HTTP 请求类型
• HTTP 协议头各个字段的长度限制
• 后缀名过滤
• URL 内容关键字过滤
• Web 服务器返回内容过滤

Web 应用防火墙可抵御的攻击

• SQL 注入攻击
• XSS 跨站脚本攻击
• Web 应用扫描
• Webshell
• Cookie 注入攻击
• CSRF 攻击

数据库防火墙技术

数据库防火墙是一种用于保护数据库服务器的网络安全机制。

其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。

数据库通信协议深度分析可以获取访问数据库服务器的应用程序数据包的“源地址、目标地址、源端口、目标端口、SQL 语句”等信息，然后依据这些信息及安全规则监控数据库风险行为，阻断违规 SQL 操作、阻断或允许合法的SQL 操作执行，

虚拟补丁技术通过在数据库外部创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术

工业控制系统专用防火墙简称为工控防火墙，是一种用于保护工业设备及系统的网络安全机制。其技术原理主要是通过工控协议深度分析，对访问工控设备的请求和响应进行监控，防止恶意攻击工控设备，实现工控网络的安全隔离和工控现场操作的安全保护。工控防火墙与传统的网络防火墙有所差异，工控防火墙侧重于分析工控协议，主要包括 Modbus TCP 协议、IEC 61850 协议、OPC 协议、Ethernet/IP 协议和 DNP3 协议等。同时，工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求

下一代防火墙技术

下一代防火墙除了集成传统防火墙的包过滤、状态检测、地址转换等功能外，还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能

1. 应用识别和管控。不依赖端口，通过对网络数据包深度内容的分析，实现对应用层协议和应用程序的精准识别，提供应用程序级功能控制，支持应用程序安全防护。
2. 入侵防护（IPS）。能够根据漏洞特征进行攻击检测和防护，如 SQL 注入攻击。
3. 数据防泄露。对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如 Word、Excel、 PPT、 PDF 等，并对敏感内容进行过滤。
4. 恶意代码防护。采用基于信誉的恶意检测技术，能够识别恶意的文件和网站，构建 Web 信誉库，通过对互联网站资源（IP、URL、域名等）进行威胁分析和信誉评级，将含有恶意代码的网站资源列入 Web 信誉库，然后基于内容过滤技术阻挡用户访问不良信誉网站，从而实现智能化保护终端用户的安全。
5. URL 分类与过滤。构建 URL 分类库，内含不同类型的 URL 信息（如不良言论、网络“钓鱼”、论坛聊天等），对与工作无关的网站、不良信息、高风险网站实现准确、高效过滤。
6. 带宽管理与 QoS 优化。通过智能化识别业务应用，有效管理网络用户/IP 使用的带宽，确保关键业务和关键用户的带宽，优化网络资源的利用。
7. 加密通信分析。通过中间人代理和重定向等技术，对 SSL、SSH 等加密的网络流量进行监测分析

防火墙共性关键技术

深度包检测（Deep Packet lnspection，DPI）:是一种用于对包的数据内容及包头信息进行检查分析的技术方法。传统检查只针对包的头部信息，而 DPI 对包的数据内容进行检查，深入应用层分析。DPI 运用模式（特征）匹配、协议异常检测等方法对包的数据内容进行分析。DPI 已经被应用到下一代防火墙、Web 防火墙、数据库防火墙、工控防火墙等中，属于防火墙的核心技术之一。然而，DPI 面临模式规则维护管理复杂性、自身安全性、隐私保护、性能等一系列挑战和问题。DPI 需要不断更新维护深度检测策略，以确保防火墙持续有效。对于 DPI 的自身安全问题，相关研究人员已经提出针对模式匹配算法进行复杂度攻击的方法。隐私保护技术使得 DPI 的检测能力受到限制，加密数据的搜索匹配成为 DPI 的技术难点。DPI 需要处理包的数据内容，使得防火墙处理工作显著增加，这将直接影响网络传输速度。围绕 DPI 的难点问题，相关研究人员提出利用硬件提高模式匹配算法性能，如利用 GPU 加速模式匹配算法。

操作系统:防火墙的运行依赖于操作系统，操作系统的安全性直接影响防火墙的自身安全。目前，防火墙的操作系统主要有 Linux、 Window、设备定制的操作系统等。操作系统的安全增强是防火墙的重要保障。

网络协议分析:防火墙通过获取网络中的包，然后利用协议分析技术对包的信息进行提取，进而实施安全策略检查及后续包的处理。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼