防火墙
对网络行为进行控制的一种设备,区域之间隔离,核心是安全防护
概念
属于安全设备,
保护一个区域免受另一个区域的攻击,
能够对外网进行隔离。
有着入侵防御,防止病毒的作用
分类
硬件防火墙:盒式,框式
软件防火墙:自身电脑,服务器系统
防火墙的部署模式
旁观
串联
透明
路由
网桥
二层
各个设备之间的对比
交换机:接入终端和汇聚路由 徐建内部互联互通的局域网
路由器:构建外部连接网络,负责不同网段的转发
防火墙:流量的安全管控和防护,区分不同的安全区域
应用场景
边界
内部管控
数据中心
数据联动
发展历程
-
包过滤防火墙:通过配置ACL对数据包进行过滤
缺点:每个包每个包的检测,效率低;没有报文交互,容易被欺骗
-
状态检测防火墙:支持状态检测,根据首个数据包进行检测,创建会话连接,根据会话连接,对后续数据包进行控制(转发或堵塞)
缺点:功能单一
-
UTM防火墙:在状态检测的基础上增加了杀毒,抗ddos,ids,ips防病毒网关
缺点:每个数据包都要进行模块检测 消耗资源太大
-
下一台防火墙:通过芯片与算法设计,再此基础上可以同时处理多个数据包,增加apt攻击行为检测,更具有安全性,对未知的安全攻击进行进一步防御
基本概念
安全区域
大部分的安全策略都是在安全区域中进行的,没有区域无法运行防火墙,区域中的设备都具有统一属性,区域之间访问需要部署安全策略
区域分类
trust(信任)优先级:85
untrust(非信任)优先级:5
dmz(服务器区域) 优先级:50
local(本地) 优先级:100
区域间的访问主要看源地址和目的地址 两者所在区域
安全策略
对流量转发和对流量管控的一体化检测的策略
组成
匹配条件:valn安全区域 IP地址 用户 时间段 URL 应用
执行动作:允许和禁止
安全配置文件:反病毒 各种行为过滤
按顺序匹配,一旦命中 停止匹配
会话表
会话表是用来记录tcp udp icmp等协议的转态表项
工作原理
发送流量经过防火墙,如果是首包,创建会话表
在创建会话表的时候,进行状态检测路由-安全-nat等策略进行匹配
如果没问题 创建会话,后面的报文根据会话表型来进行发送
会话表存在,就缩减检测时间提高转发能力
注:会话表如果长时间不连接,会话表会删除表项避免消耗资源
如果有需求,可以通过设置长时间模式,不一定所有的设备都有长时间模式,华为设备可以设置72小时
多通道产生的问题
如果设置了安全策略单向,两个端口以上的协议就无法建立起来,需要server-map表
配置命令
service-manage ping permit-------接口视图下允许通过的协议
service-manage telnet deny-----接口视图下不允许通过的协议
firewall zone name trust--------创建并进入对应区域内
firewall zone name om----------自定义区域
set priority 81 -------定义区域优先级
add interface gi 0/0/2-------------添加接口到区域内
security-policy------进入安全策略
rule name dmz-unstrust----创建规则
source-zone untrust------配置安全策略中条件,去指定源区域
source-addresss IP地址/网段-----条件 源地址
destination-adress IP地址/网段----条件 目的地址
service icmp--配置服务类型(默认为all)
action permit------执行策略动作
路由器远程登录防火墙
telnet server enable--------开启telnet服务
aaa-------进入aaa视图
manager-user www----创建用户
password cipher admin@123-------创建密码
service-type telnet-----账号支持支持telnet
level 5-------设置权限等级5
user-int vty 0 4------进入vty通道
protocol inbound telnet------支持telnet协议
service-manage telnet permit-----接口视图下支持telnet协议
nat策略
nat-policy------------进入nat策略视图
rule name easyip------------nat策略名字
source-zone trunst
destination-zone untrust
service icmp
action source-nat easy-ip----------激活nat模式 选择easyip
源NAT技术
背景:
企业或家庭所使用的的网络为私有网络,使用的私有地址;运营商维护的网络为公网地址,使用的是公有地址。私有地址不能在公网中通信
解决方案
多个用户共享少量公网地址访问net的时候,可以使用源NAT技术实现。
源NAT技术只对报文源地址进行转换
源NAT技术可以分为NAT NO-pat,NAPT、easy ip和三元组nat
目的NAT
是对报文中的目的地址和端口进行转换。通过目的NAT技术奖公网ip地址转换为私网ip地址,使用公网用户可以利用公网地址访问内部server
当外网用户访问内部server是,防火墙的处理结果如下:
当外网用户访问内网server的报文到达防火墙是,防火墙将报文的目的ip地址由公网地址转换为私网地址
当回程报文返回至防火墙时,防火墙再将报文的源地址有私网地址转换为公网地址
根据转换后的的目的地址是否固定,目的nat分为静态目的nat和动态目的nat
mode pat //在地址池组启动端口转换
section 12.1.1.1 2.1.1.3 //规划地址池范围
action soutce-nat adresss-group 1 //激活nat模式