防火墙与入侵检测系统

前言

防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）是网络安全防御的核心组件。理解它们的工作原理、部署位置和配置方法，是软考中级网络工程师的重要考点。

防火墙基础

防火墙定义

防火墙是位于内部网络和外部网络之间的网络安全设备，通过执行访问控制策略来保护网络安全。

基本功能

访问控制：允许/拒绝特定流量
网络隔离：划分安全区域（DMZ、内网、外网）
地址转换（NAT）：隐藏内部网络结构
日志审计：记录所有通过/拒绝的连接

防火墙分类

按实现方式分类

类型	工作层次	优点	缺点
包过滤（Packet Filter）	网络层/传输层	速度快	无法检查应用层数据
状态检测（Stateful Inspection）	网络层/传输层	跟踪连接状态	资源消耗大
应用层代理（Application Proxy）	应用层	精细控制	性能瓶颈
混合型（Next-Gen FW）	多层	综合防护	成本高、配置复杂

按部署位置分类

类型	位置	特点
主机防火墙	单台主机	保护本机，软件防火墙
网络防火墙	网络边界	保护整个网段，硬件设备
分发防火墙	各主机	分布式防护，适合大型网络

安全区域与DMZ

DMZ（非军事区）

DMZ是位于内网和外网之间的缓冲区域，用于放置对外提供服务的服务器。

安全区域设计

1
2
3
4
5
6
Internet
   |
   |---- [防火墙]
   |
   +---- DMZ区（Web、DNS、邮件服务器）
   |---- 内网（办公网络）

DMZ配置原则

外网 → DMZ：允许必要的访问（如用户访问Web服务）
外网 → 内网：严格限制，一般禁止
DMZ → 内网：仅允许必要的数据库连接
内网 → DMZ：禁止（防止被渗透后跳板攻击）

端口策略示例

方向	源	目的	协议	端口	动作
In	Any	DMZ	TCP	80	允许（HTTP）
In	Any	DMZ	TCP	443	允许（HTTPS）
In	Any	DMZ	TCP	22	允许（SSH管理）
Out	DMZ	Internal	TCP	3306	允许（MySQL）
In	Any	Internal	TCP	Any	拒绝（禁止外网直连内网）

NAT技术

NAT类型

类型	描述	应用场景
静态NAT（一对一）	1个私网IP对应1个公网IP	服务器发布
动态NAT（PAT）	多个私网IP共享1个公网IP	家庭/办公上网
端口转发（Port Forwarding）	公网IP端口映射到内网IP端口	内网服务发布

PAT工作原理

1
2
3
4
5
6
7
内网多台主机（192.168.1.x）访问互联网
       |
       |---- NAT路由器（公网IP：202.114.0.1）
       |
    通过不同端口（源端口）区分
       |
       v---- Internet

NAT转换表示例：

内网IP:端口	公网IP:端口
192.168.1.10:1234	202.114.0.1:20001
192.168.1.11:5678	202.114.0.1:20002
192.168.1.12:7890	202.114.0.1:20003

入侵检测系统（IDS）

IDS定义

IDS是对网络入侵行为进行检测的设备或系统，通过分析网络流量、系统日志等数据来识别可疑活动。

IDS分类

按检测方法分类

类型	原理	代表技术
异常检测（Anomaly）	建立正常行为基线，偏离即报警	统计分析、机器学习
误用检测（Misuse）	匹配已知攻击特征库	特征匹配、协议分析

按部署位置分类

类型	部署位置	优点	缺点
NIDS（网络IDS）	网络关键节点	监控整个网段	加密流量难以检测
HIDS（主机IDS）	重要服务器	精确检测主机行为	消耗主机资源
DIDS（分布式IDS）	多个位置	综合分析	成本高、复杂

常见检测技术

签名检测：匹配已知攻击特征
协议分析：检测异常协议行为
流量异常：流量统计、阈值报警
漏洞扫描：检测端口扫描、指纹识别

入侵防御系统（IPS）

IPS vs IDS

特性	IDS	IPS
作用	检测和报警	检测并阻断
工作方式	旁路部署	串联部署
性能影响	不影响网络流	增加延迟
误报影响	可容忍	误报可能阻断合法流量

IPS防御技术

虚拟补丁（Virtual Patching）：在IPS上阻断漏洞利用流量
流量清洗：过滤DDoS攻击流量
行为分析：基于应用层协议（HTTP/HTTPS）的防护
沙箱隔离：可疑文件隔离执行

防火墙配置实例

ACL规则编写

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
! 拒绝所有流量
access-list 100 deny ip any any

! 允许内网访问DNS
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 53

! 允许外网访问DMZ的Web服务
access-list 100 permit tcp any host 202.114.0.10 eq 80

! 允许已建立的连接返回
access-list 100 permit tcp any any established

防火墙区域配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
firewall zone trust
  description 内网区域
  set zone trust
  add interface ethernet0/1

firewall zone untrust
  description 外网区域
  set zone untrust
  add interface ethernet0/0

firewall zone dmz
  description DMZ区域
  set zone dmz
  add interface ethernet0/2

! 允许untrust访问dmz的HTTP/HTTPS
access-policy from untrust to dmz action permit tcp-http
access-policy from untrust to dmz action permit tcp-https

! 禁止untrust访问trust
access-policy from untrust to trust action deny

网络安全部署策略

纵深防御（Defense in Depth）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
Internet
   |
   v---- 第1层：边界防火墙/IPS
   |
   v---- 第2层：网络IDS
   |
   v---- 第3层：主机HIDS
   |
   v---- 第4层：数据加密/备份
   |
   v---- 核心资产

最小权限原则

默认拒绝：未明确允许的流量一律拒绝
按需开放：仅开放必需的端口和服务
定期审计：定期审查和清理不需要的规则
分权管理：不同管理员拥有不同权限级别

练习题

题目1：关于DMZ区域的描述，正确的是（）

A. DMZ应该放置内部文件服务器 B. DMZ允许内网无限制访问外网 C. DMZ服务器对外提供服务，安全性低于内网 D. DMZ和内网可以直接互通，无需控制

答案：C（DMZ是牺牲区域，安全性低于内网）

题目2：以下关于NAT的描述，错误的是（）

A. NAT可以缓解IPv4地址不足的问题 B. 静态NAT实现私网IP和公网IP一对一映射 C. PAT通过端口号区分不同的内部主机 D. NAT能够加密内部网络的通信内容

答案：D（NAT仅做地址转换，不加密内容）

题目3：IDS和IPS的主要区别是（）

A. IPS部署在内网，IDS部署在边界 B. IPS能够阻断攻击，IDS仅检测报警 C. IDS检测更准确，IPS误报率更高 D. IPS只支持签名检测，IDS支持异常检测

答案：B（IPS=IDS+阻断）

附录

参考文献

《网络安全原理与实践》- William Stallings
《防火墙技术指南》- Cisco Press
软考中级网络工程师网络安全部分

文章封面

网络防御