本文详细探讨了防火墙中的安全策略、五元组匹配、状态检测技术、ASPF应用、用户认证方法、NAT转换、智能选路原则以及防火墙的高可靠性措施,如HRP和VGMP协议。
一、安全策略
安全策略 --- 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面 是可以完成内容安全的检测。
五元组 --- 源IP,目标IP,源端口,目标端口,协议
安全策略:
1,访问控制(允许和拒绝)
2,内容检测 --- 如果允许通过,则可以进行内容检测
二、防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流 的“特征”记录下来(记录在本地的“会话表”),之后,该数据流后续的报文都将基于这个 特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
当web服务器给PC进行回报时,来到防火墙上,防火墙会将报文中的信息和会话表的信 息进行性比对,如果,发现报文中的信息与会话表中的信息相匹配,并且,符合协议规 范对后续报文的定义,则认为该数据包属于PC,可以允许该数据包通过。
1,会话表;
2,状态检测
1,会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算 HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效 率。 因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触 发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除 掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会 话表,如果无法创建会话表,则将丢弃该数据流的数据。 如果会话表的老化时间过长:会造成系统资源的浪费,同时,有可能导致新的会话表项 无法正常建立 如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中 断,影响业务的转发。 不同协议的会话表老化时间是不同
状态检测技术 状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建 会话表。可以选择开启或者关闭该功能。
三、ASPF
FTP --- 文件传输协议
FTP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集 FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用 两个端口号20,21 并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模模式。
主动模式:客户端——服务器、服务器——客户端
被动模式:客户端——服务器、客户端——服务器
像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议) ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
四、防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限 分区
用户认证 --- 上网行为管理的一部分
用户,行为,流量 --- 上网行为管理三要素
用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的
认证方式
本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将证结果返回,防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似。
认证策略
Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以 选择免认证,不做认证。
匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录。
五、防火墙nat
静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和目标IP地址
nat:
目标nat
双向nat
多出口nat
六、防火墙的智能选路
防火墙的智能选路 就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高 通信效率,避免绕路。
策略路由 -- PBR 传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对 一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。 策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维 度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行 转发。 如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照 对应动作执行,不再向下匹配;
防火墙的智能选路是指防火墙根据网络流量的特征和策略,动态地选择最佳的路径来处理网络流量。智能选路可以提高网络的安全性和性能,使得防火墙能够更加灵活地应对不同的网络环境和攻击。
智能选路的实现通常包括以下几个方面:
流量分析:防火墙会对进入或离开网络的流量进行深度分析,包括源IP地址、目标IP地址、端口号、协议类型等信息。通过对流量的分析,防火墙可以了解流量的特征和行为。
策略匹配:防火墙会根据预先设定的安全策略进行匹配,判断流量是否符合规定的策略。策略可以包括允许或拒绝特定IP地址、端口号或协议类型的流量。
路由选择:根据流量的特征和策略匹配的结果,防火墙会选择最佳的路径来处理流量。最佳路径可以根据网络拓扑、带宽、延迟等因素进行选择,以保证网络的安全性和性能。
动态调整:智能选路还可以根据网络环境的变化和实时流量的情况进行动态调整。例如,当某条路径出现故障或拥堵时,防火墙可以自动切换到备用路径,以保证网络的连通性和稳定性。
七、防火墙的可靠性
防火墙是计算机网络安全的关键组件之一,其高可靠性对于保护网络免受潜在威胁至关重要。以下是提高防火墙高可靠性的一些方法:
1.冗余配置:采用冗余配置是提高防火墙可靠性的一种重要手段。通过在网络中引入备用防火墙设备,当主设备发生故障或遭受攻击时,备用设备能够接管工作,确保网络的连通性。
2.负载均衡:使用负载均衡技术可以将流量均匀地分配到多个防火墙设备上,避免某个设备因为过载而导致性能下降或故障。这有助于提高整个防火墙系统的吞吐量和稳定性。
3.故障转移和故障恢复:建立有效的故障转移和故障恢复机制,使得在发生故障时能够迅速地切换到备用设备,减少服务中断时间。这可以通过技术手段,如虚拟 IP 地址漂移、心跳检测等来实现。
HRP --- Huawei Redundancy Protocol --- 华为冗余协议 这是一款华为的私有协议 --- 备份配置信息和状态信息。 HRP备份有一个前提,就是两台设备之间必须专门连一根用于备份的线路,这跟线路我 们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线) 心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受 路由策略限制(直连场景。非直连场景依然需要配置安全策略。) HRP协议本身算是VGMP协议的一部分 HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认 1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期 内,都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自 身为主。 VGMP的报文也是通过这条心跳线发送的。
扫一扫
1191
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
