该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。
防火墙与其他设备区别
防火墙,故名思意就是阻止火势从一个区域蔓延到另一个区域,所以作用就是保护一个区域免受来自其他区域的攻击。
我们之前常接触的设备是交换机和路由器,交换机主要是隔离冲突域和组建局域网。路由器主要是寻址路由,分组重组来使得不同网络互通。这两者的实质是转发,而防火墙的实质是控制。
我们也知道,路由器其实也是有一定的防护能力的,像一些简单包过滤。那防火墙相比路由器在安全防护上有什么特点呢?我们来比较下两者的区别。
①路由器注重网络互通,防火墙重点是判断某个数据包是否被允许通过,通过后会有什么影响。
②路由器在安全方面主要是简单包过滤,而防火墙是基于状态包过滤的应用级信息过滤。
③路由器主要是进行转发而设计的,所以在转发的时候设备本身运算量会很大,如果再进行包过滤,很吃内存CPU。而防火墙是为了过滤而设计的,并不是为了转发,所以进行数据包过滤时性能好。
综上,从安全控制上,防火墙是首选,如果企业使用路由器充当防护,首先防护能力非常低,其次要花费一定的成本在路由器设备升级上。
防火墙产品
华为防火墙有USG2000、USG5000、USG6000和USG9500四个系列,分别是从低中高端设备,USG2000和5000是UTM产品,USG6000是下一代防火墙,USG9500是高端防火墙。
安全区域
华为安全区域是用于划分网络,标识流量路线,当报文在区域间流动,就需要被控制。
缺省有4个区域,分别是local(100)、trust(85)、dmz(50)、untrust(5)。级别越大越可信。local区域不能添加任何接口,不过所有接口缺省是属于local区域的。
报文从高级别的区域流向低级别的区域时为出方向(outbound),反之时入方向(inbound)。
安全策略
上图明明配置了网关,也加入了区域,按理如果是路由器,配置了网关就可以通了。为什么会这样呢?这是因为如果防火墙没有配置任何安全策略,或者所有策略都没有被匹配到,那么缺省是禁止任何数据通过的。也叫缺省包过滤。
上图配置完安全策略(源区域、目的区域、源网段、应用控制动作)后,发现可以通了,但是提出了一个问题,就是为什么只配置单方向的安全策略就可以互通?
我们知道防火墙有包过滤防火墙,应用代理防火墙,状态检测防火墙等。
包过滤防火墙只能根据静态规则来判断是否允许报文通过,认为报文是无状态的孤立个体,采用包过滤技术,要实现通信必须配置两个方向的规则,即允许本区域访问其他区域和允许其他区域访问本区域。这时就暴露了两个缺点:①允许外部访问受保护区域就存在了安全隐患。②每个报文都要检查,严重影响设备转发效率。
所以后来就有了状态检测防火墙,状态检测防火墙使用基于连接状态的状态检测和会话机制,通信双方交互的属于同一连接的报文都作为整体来对待。如何实现呢?①设定规则允许本区域访问其他区域。②源自受保护区域的首包通过防火墙时会建立一个会话表,会话表中每条会话(有老化时间)就代表一个连接,由五元组(源地址,源端口,目的地址,目的端口,协议)来唯一确定。③当回包到达防火墙时,会检查五元组来判断是否为同一连接,如果是则直接进行转发,提高了转发效率。
到这就明白了为什么前面只配置了单方向的安全策略就可以实现双方通信了。
配置文件和一体化检测
随着需求和技术发展,08年时发布了下一代防火墙(NGFW)。当流量到达NGFW时,会进行安全策略检测,先检测流量的属性(源目的安全区域,源目的地地址,源目的端口等),然后进行条件匹配:
①如果所有条件都匹配,则执行所匹配的安全策略的动作。
A、如果动作为禁止,则阻断流量。
B、如果动作为允许,则判断改安全策略下是否引用了安全配置文件。如果引用了,则进行一体化检测。如果没有,则流量通过。
②但凡有个条件不匹配,则继续往下匹配,如果所有安全策略都不匹配,则缺省是禁止。
上面我们提到了配置文件和一体化检测。
配置文件是指很多功能如反病毒,入侵检测,文件过滤等。
一体化检测是指对一条流量的内容只进行一次检测和处理,就可以实现配置文件的功能。只要有一个配置文件阻断流量,则NGFW会阻断流量。只有全部配置文件允许,则流量才会被允许转发。
综上,流量——>NGFW——>安全策略匹配(条件——>动作——>配置文件)。
ASPF和Server-map表
我们前面提到状态检测和会话机制,是由五元组(源地址,源端口,目的地址,目的端口,协议)来唯一确认一条连接,防火墙会对回包进行五元组检测。一样则表示是同一连接。但是如果是采用多通道协议呢?我们所熟悉的多通道协议就有典型的FTP协议。FTP协议有控制连接和数据连接,数据连接使用的端口号在控制连接中协商。根据数据连接的发起方式FTP分为主动模式(FTP Server主动向FTP Client发起数据连接)和被动模式(FTP Server被动接收FTP Client发起的数据连接)。
以主动模式为例:
①客户端先向服务器21端口发起控制连接,然后服务器20端口主动向在控制连接中协商给客户端的端口发起数据连接。每次数据传输都会协商不同的端口号。
②因为我们开放了单向的安全策略开放21端口,当FTP客户端向服务器发送控制连接时建立了会话。按照五元组的话,首包的源端口号是客户端随机的大于1024的端口号,目的端口号是21。
③服务器向客户端发送的报文的源端口号是20,目的端口号是在控制连接中协商的端口号。显然在防火墙看来这不是同一条连接。所有肯定无法通过的。
解决方法可以是在服务器到客户端的方向配置安全策略,开放客户端所有端口号。但是这是不可能的,会有很大的隐患,跟传统的包过滤防火墙要设置两个方向的规则有什么区别呢?
所以推出的解决方法是ASPF。防火墙通过检查报文的应用层信息,预测后续报文的行为,生成一个Server-map表。
ASPF检测试图通过防火墙的应用层协议会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,建立Server-map表项,然后防火墙根据Server-map表项对反向报文进行过滤,对没有命中包过滤,但是命中Server-map表项的报文建立会话并允许通过。
如图为ASPF处理FTP的过程:
几个注意点:
①Server-map有老化时间。
②Server-map三要素:目的地址,目的端口号,协议号。
③NAT Server也可以生成Server-map表项,不过是静态的。
④命中Server-map的报文不再受安全策略的控制。
⑤防火墙收到报文先检查是否命中会话表,如果没有命中会话表则检查是否命中Server-map表,最后为命中Server-map表的数据创建会话表。Server-map只用检查首包,后续的报文还是根据会话表转发。
注:以上所有图片来源华为文档。
751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
