几乎每个中型和大型组织都在Internet上存在，并具有与其连接的组织网络。在外部Internet和内部网络之间的边界进行网络分区对于网络安全至关重要。有时，内部网络(内部网)被称为“受信任”端，外部Internet被称为“不受信任”端。

防火墙类型

防火墙是一种网络设备，可将组织的内部网络与较大的外部网络/ Internet隔离开。它可以是硬件，软件或组合系统，可防止未经授权访问内部网络或从内部网络进行未经授权的访问。

所有进入或离开内部网络的数据包都通过防火墙，防火墙检查每个数据包并阻止那些不符合指定安全标准的数据包。

在网络边界部署防火墙就像在单个点上聚合安全性一样。这类似于将公寓锁定在入口处，而不必在每个门上锁定。

出于以下原因，防火墙被认为是实现网络安全的重要元素-

• 内部网络和主机不太可能得到适当的保护。

• 互联网是一个危险的地方，罪犯，来自竞争公司的用户，心怀不满的前雇员，来自不友好国家的间谍，故意破坏者等都是危险的地方。

• 为了防止攻击者对网络资源发起拒绝服务攻击。

• 防止外部攻击者非法修改/访问内部数据。

防火墙分为三种基本类型-

• 数据包过滤器(无状态和有状态)
• 应用层网关
• 电路级网关

但是，这三个类别不是相互排斥的。现代防火墙具有多种功能，可能会将其置于三个类别中的不止一个类别中。

无状态和有状态数据包筛选防火墙

在这种类型的防火墙部署中，内部网络通过路由器防火墙连接到外部网络/ Internet。防火墙逐包检查和过滤数据。

数据包过滤防火墙主要根据诸如源和/或目标IP地址，协议，源和/或目标端口号以及IP标头中的各种其他参数之类的条件来允许或阻止数据包。

该决定可以基于IP头字段以外的因素，例如ICMP消息类型，TCP SYN和ACK位等。

包过滤规则有两个部分-

• 选择标准-用作决策的条件和模式匹配。

• 动作字段-该部分指定如果IP数据包满足选择标准时要采取的动作。该操作可以是阻止(拒绝)或允许(允许)穿过防火墙的数据包。

数据包过滤通常是通过在路由器或交换机上配置访问控制列表(ACL)来完成的。 ACL是数据包过滤规则的表。

当流量进入或退出接口时，防火墙从上到下将ACL应用于每个传入的数据包，找到匹配的标准并允许或拒绝各个数据包。

无状态防火墙是一种刚性工具。它查看数据包并允许其满足条件，即使它不属于任何已建立的正在进行的通信。

因此，这种防火墙被现代网络中的状态防火墙所取代。与仅基于无状态防火墙的基于ACL的数据包检查方法相比，这种类型的防火墙提供了更深入的检查方法。

状态防火墙监视连接的建立和拆除过程，以在TCP / IP级别上检查连接。这使他们可以跟踪连接状态，并确定在任何给定时间点哪些主机具有打开的授权连接。

它们仅在请求新连接时引用规则库。将属于现有连接的数据包与防火墙的开放连接状态表进行比较，并做出允许或阻止的决定。此过程可以节省时间并提供更高的安全性。除非数据包属于已建立的连接，否则不允许该数据包侵入防火墙。它可以使防火墙上的非活动连接超时，此后它不再允许该连接的数据包。

应用网关

应用程序级网关充当应用程序级流量的中继节点。他们拦截传入和传出的数据包，运行代理服务器，从而复制和跨网关转发信息，函数作为一个代理服务器，以防止受信任的服务器或客户机和不可信任主机之间的任何直接连接。

代理是特定于应用程序的。他们可以在OSI模型的应用程序层过滤数据包。

特定于应用程序的代理

特定于应用程序的代理仅接受由特定应用程序生成的数据包，这些数据包旨在为其复制，转发和过滤。例如，只有Telnet代理可以复制，转发和过滤Telnet流量。

如果网络仅依赖于应用程序级网关，则传入和传出数据包将无法访问未配置代理的服务。例如，如果网关运行FTP和Telnet代理，则只有这些服务生成的数据包才能通过防火墙。所有其他服务均被阻止。

应用程序级过滤

应用程序级代理网关检查并过滤单个数据包，而不是简单地复制它们并在网关之间盲目转发它们。特定于应用程序的代理检查通过网关的每个数据包，并通过应用程序层验证数据包的内容。这些代理可以过滤应用协议中的特定种类的命令或信息。

应用程序网关可以限制特定操作的执行。例如，可以将网关配置为阻止用户执行“ FTP put”命令。这可以防止攻击者修改存储在服务器上的信息。

透明

尽管应用程序级网关可以是透明的，但许多实现都需要用户身份验证，然后用户才能访问不受信任的网络，此过程会降低真正的透明度。如果用户来自内部网络或Internet，则身份验证可能会有所不同。对于内部网络，可以允许一个简单的IP地址列表连接到外部应用程序。但是，从Internet方面，应该实施强身份验证。

应用程序网关实际上在两个方向(客户端↔代理↔服务器)上的两个TCP连接之间中继TCP段。

对于出站数据包，网关可以用其自己的IP地址替换源IP地址。该过程称为网络地址转换(NAT)。它确保内部IP地址不会暴露给Internet。

电路级网关

电路级网关是数据包过滤器和应用程序网关之间的中间解决方案。它在传输层运行，因此可以充当任何应用程序的代理。

与应用程序网关类似，电路级网关也不允许跨网关的端到端TCP连接。它建立两个TCP连接，并将TCP网段从一个网络中继到另一个网络。但是，它不会像应用程序网关那样检查应用程序数据。因此，有时它被称为“管道代理”。

袜子

SOCKS(RFC 1928)指电路级网关。它是一种网络代理机制，使SOCKS服务器一侧的主机能够完全访问另一侧的主机，而无需直接IP可达性。客户端连接到防火墙上的SOCKS服务器。然后，客户端为要使用的身份验证方法进行协商，并使用所选方法进行身份验证。

客户端向SOCKS服务器发送连接中继请求，其中包含所需的目标IP地址和传输端口。在检查客户端满足基本过滤条件之后，服务器接受请求。然后，网关代表客户端打开与请求的不受信任主机的连接，然后密切监视随后的TCP握手。

SOCKS服务器通知客户端，如果成功，则开始在两个连接之间中继数据。当组织信任内部用户并且不想检查Internet上发送的内容或应用程序数据时，将使用电路级网关。

DMZ的防火墙部署

防火墙是一种用于控制组织内部网络的“传入”和“传出”网络流量的机制。在大多数情况下，这些系统具有两个网络接口，一个用于外部网络(例如Internet)，另一个用于内部。

防火墙进程可以严格控制允许从一侧穿越到另一侧的内容。希望提供对其Web服务器的外部访问的组织可以限制到达防火墙的端口80(标准http端口)的所有流量。不允许所有其他流量(例如邮件流量，FTP，SNMP等)通过防火墙进入内部网络。下图显示了一个简单防火墙的示例。

在上面的简单部署中，尽管所有来自外部的其他访问都被阻止，但攻击者有可能不仅联系Web服务器，而且联系内部网络上的其他任何主机(由于意外或其他原因使端口80打开)。

因此，大多数组织面临的问题是如何在保持内部网络的严格安全性的同时，使对Web，FTP和电子邮件等公共服务的合法访问成为可能。典型的方法是部署防火墙以在网络中提供非军事区(DMZ)。

在此设置中(如下图所示)，部署了两个防火墙。一个在外部网络和DMZ之间，另一个在DMZ和内部网络之间。所有公共服务器都放置在DMZ中。

通过此设置，可能会有允许公共访问公共服务器的防火墙规则，但是内部防火墙可以限制所有传入连接。通过拥有DMZ，可以为公用服务器提供足够的保护，而不是将其直接放置在外部网络上。

入侵检测/预防系统

数据包过滤防火墙仅基于涉及TCP / UDP / IP标头的规则进行操作。他们不尝试在不同会话之间建立相关性检查。

入侵检测/防御系统(IDS / IPS)通过查看数据包内容来执行深度数据包检查(DPI)。例如，检查中对已知病毒，击字符串的数据库包。

应用程序网关会查看数据包内容，但仅针对特定的应用程序。他们不会在数据包中查找可疑数据。 IDS / IPS查找数据包中包含的可疑数据，并尝试检查多个数据包之间的相关性，以识别任何攻击，例如端口扫描，网络映射和拒绝服务等。

IDS和IPS之间的区别

IDS和IPS在检测网络异常方面相似。 IDS是一种“可见性”工具，而IPS被认为是一种“控制”工具。

入侵检测系统位于网络的一侧，可以在许多不同的点监视流量，并提供对网络安全状态的可见性。如果通过IDS报告异常，则纠正措施由网络管理员或网络上的其他设备启动。

入侵防御系统就像防火墙一样，它们串联在两个网络之间，并控制通过它们的流量。它对检测网络流量中的异常强制执行指定的策略。通常，在注意到异常之前，它将丢弃所有数据包并阻止整个网络流量，直到管理员解决了此类异常为止。

IDS类型

IDS有两种基本类型。

• 基于签名的IDS

  • 它需要具有已知攻击特征的数据库。

  • 签名由表征特定攻击的数据包的类型和顺序定义。

  • 这种IDS的局限性在于只能检测到已知的攻击。该IDS还会引发错误警报。当正常的数据包流与攻击特征匹配时，就会发生虚警。

  • 著名的公共开源IDS示例是“ Snort” IDS。

• 基于异常的IDS

  • 这种类型的IDS创建正常网络操作的流量模式。

  • 在IDS模式下，它将查看统计上异常的流量模式。例如，ICMP异常负载，端口扫描中的指数增长等。

  • 检测到任何异常流量模式都会生成警报。

  • 这种IDS部署面临的主要挑战是难以区分正常流量和异常流量。

概要

在本章中，我们讨论了用于网络访问控制的各种机制。通过访问控制实现网络安全的方法在技术上不同于本教程前面各章中讨论的在不同网络层实现安全控制的方法。但是，尽管实现方法不同，但是它们是相互补充的。

网络访问控制包括两个主要组件：用户身份验证和网络边界保护。 RADIUS是一种流行的机制，用于在网络中提供中央身份验证。

防火墙通过将内部网络与公共Internet分开来提供网络边界保护。防火墙可以在网络协议的不同层的函数。 IDS / IPS可以监视网络流量中的异常情况，以检测攻击并采取预防措施。