常用的防火墙技术有哪些-基础技术组合可解决日常网络防护问题
前段时间处理部门内网病毒横向扩散的事故,被逼着彻底摸清常用的防火墙技术有哪些,也实打实试了各类技术的落地效果,才发现很多课本里的理论,放到实际运维里根本不贴合真实场景,能用的永远是那几类基础核心技术。
当时的问题很棘手,办公网段十几台电脑莫名中招木马,病毒反复在内网跳转传播,终端杀毒软件查杀完不到半天就会复现,连续排查两天都找不到核心突破口。最开始只盯着终端防护整改,完全忽略了防火墙的边界拦截和内网隔离作用,做了一堆无用功,耽误了不少整改进度。
折腾好久才搞明白,内网病毒扩散的核心漏洞是端口无管控,老旧业务系统开放了大量无用高危端口,给了恶意程序入侵和传播的通道。最先落地的是包过滤技术,这是最基础、普及率最高的防火墙技术,设备会实时抓取所有进出网络的数据包,核对数据包的源IP、目的IP、传输端口和通信协议,对照预设的黑白名单规则放行或拦截数据。当时直接在防火墙后台批量封禁了135、445等闲置高危端口,瞬间拦截了九成以上的异常扫描和入侵流量。
包过滤做完,隐患依旧没彻底清除。
后来才反应过来,单纯的包过滤只校验数据包表层信息,根本识别不了伪装成合法流量的恶意传输,这时候就必须用上应用代理技术。这项技术会切断内外网设备的直接通信链路,所有网络请求都要经过防火墙代理中转,能精准识别各类应用层协议和程序流量,区分正常办公软件和恶意程序的传输行为。当时直接设置了办公应用白名单,只允许钉钉、办公浏览器、业务系统等指定程序联网,隐藏在合法流量里的病毒传输通道直接被掐断。
本以为两层防护足够稳住局面,隔天还是监测到大量外网陌生IP的端口爆破尝试,对方一直在持续扫描服务器端口,试图抓取系统漏洞入侵。应对这种外网主动攻击,状态检测技术的优势就完全体现出来了。它区别于静态的包过滤,会实时记录每一条网络连接的运行状态,跟踪连接的建立、数据传输、断开全过程,只响应内网主动发起的合法连接,直接拦截所有外网主动发起的陌生访问请求,从源头杜绝了端口扫描、暴力破解这类常见攻击。
最后收尾加固用的是NAT地址转换技术,也是企业组网最常用的防火墙技术之一。公司公网IP数量有限,内网所有终端设备都是通过NAT转换共用公网IP联网,既能隐藏内网设备的真实IP,避免内网主机直接暴露在公网中成为攻击目标,也能统一管控全网设备的外网访问权限,杜绝终端私自访问高危外网站点。
四层技术层层叠加整改后,内网彻底清零了异常流量,持续一周监测都没有出现病毒扩散和外网攻击记录。根本没用什么小众高端的防护手段,全是行业最通用的防火墙基础技术,只是之前没摸清各类技术的适用场景,才导致防护一直有漏洞。
整改结束的当晚,逐条整理了所有防火墙规则,把每类技术的适用场景、配置参数全部录入了运维台账,方便后续日常巡检直接复用。