防火墙——网络环境支持

目录

网络环境支持

防火墙的组网

web连接上防火墙

web管理口

让防火墙接到网络环境中

​编辑

管理员用户管理

缺省管理员

接口

配置一个普通接口

创建安全区域

路由模式

透明模式

混合模式

防火墙的安全策略

防火墙转发流程

与传统包过滤的区别

创建安全策略

会话表技术

状态检测技术

ASPF协议

FTP与TFTP

FTP两种工作模式

数据传输端口号的确定

ASPF与FTP

---

网络环境支持

防火墙的组网

• 带内管理

• Telnet，SSH，web，SNMP

• 带外管理

  • Console、MINI USB

web连接上防火墙

web管理口

• 在 G0/0/0 初上配有IP地址192.168.0.1/24，自动开启了web控制

• 用户名：admin

• 密码：Admin@123 登陆后要求更改密码，选择Y，密码设复制点

• 进入G0/0/0口：

  • [USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理服务

让防火墙接到网络环境中

• 不要用公网的本地上网网卡

• 创建一张本地换回网

管理员用户管理

缺省角色	说明
系统管理员（system-admin）	拥有除审计功能以外的所有权限。
配置管理员（device-admin）	拥有业务配置和设备监控权限。
配置管理员(监控)（device-admin(monitor)）	拥有设备监控权限。
审计管理员（audit-admin）	配置审计策略和查看审计日志的专用管理员角色。

用户登记	命令等级	名称	说明
0	0	参观级	可使用网络诊断工具命令( ping. tracert )、从本设备出发访问外部设备的命令( Telnet客户端命令)、部分display命令等。
1	0 and 1	监控级	用于系统维护，可使用display等命令。
2	0,1 and 2	配置级	可使用业务配置命令，包括路由、各个网络层次的命令，向用户提供直接网络服务。
3-15	0,1,2 and 3	管理级	文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。

缺省管理员

账号	密码	角色	说明
admin	Admin@123	系统管理员	首次登录使用此管理员通过Web界面或Console口登录设备。然后根据需要创建更多管理员。只有系统管理员有创建其他管理员的权限。
audit-admin	Admin@123	审计管理员	审计管理员拥有配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包、查看及导出所有日志(沙箱检测日志除外》的权限。其中配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包的权限只有审计管理员拥有。其他角色的管理员没有。只有审计管理员audit-admin可以设置审计日志的权限管理，其他审计管理员角色不能设置审计日志的权限管理.
api-admin	Admin@123	API管理员	译过调用API访问FW.

• 认证方式

  • 本地认证 --- 用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

  • 服务器认证 --- 对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

  • 服务器/本地认证 --- 正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

• 信任主机 --- 只有信任主机中的地址或者网段才能登录控制设备最多可以添加10条信任主机，如果没有配置，则不做限制

接口

接口 --- 物理接口

• 三层口 --- 可以配置IP地址的接口

• 二层口

  • 普通二层口

  • 接口对 --- “透明网线” --- 可以将一个或者两个接口配置成为接口对，则

  • 数据从一个接口进，将不需要查看MAC地址表，直接从另一个接口出；

  • 旁路检测接口

• 虚拟接口

  • 环回接口

  • 子接口

  • Vlanif

  • Tunnel

  • 链路聚合

• 虚拟系统 --- VRF

  • 虚拟系统：虚拟设备，用一台设备当多个设备使用。

• 虚拟接口

• 虚拟系统互通使用的接口，每创建一个虚拟系统，将自动生成一个虚拟接口，仅需要配置IP地址即可 。

配置一个普通接口

• 添加网关，将自动生成一条指向网关的缺省

• 多出口数据向外发送时有多个出口可以使用，可以用于策略路由

  • 缺省路由：默认创建一条本地的缺省

  • 源进源出：在多出口时同一条会话从一个接口出去，会从同一个接口回来

• 这里管理的优先级高于安全策略，安全策略未放通，但是，这里勾选，则可以正常访问

• 区域

  • Trust --- 信任区

  • Untrust --- 非信任区

  • Local --- 防火墙上所有的接口都属于这个区域

  • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

  • 将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本身，永远属于Local。

  • 不同区域间的主机没有安全策略不能互通

创建安全区域

• 优先级

  • 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

  • 从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

• 接口对：默认是trunk干道，接口对可以直接转发，及一个接口入一定会从接口出，在防火墙上的作用专门让防火墙做流量检测。

• 链路接口：用于在做策略路由时使用

路由模式

• 充当路由器

1. 接口IP地址，区域划分

2. 写内网的回报路由

3. 安全策略

4. 内到外的NAT

5. 服务器映射

透明模式

• 充当核心交换机

1. 接口配置VLAN，以及划分区域

2. 安全策略

3. 增加设备的管理接口，用于控制管理设备以及设备的自我升级旁路检测模式

混合模式

• 既是路由器，也是交换机

防火墙的安全策略

• 传统包过滤技术---其本质就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，执行对应的动作；

• 这里数据包的特征---数据包的五元组---源IP，目标IP，源端口，目标端口，协议

传统网络的特点	新时代网络特点
用户等于IP（例如市场部=192.168.1.0/24)，用户的区分只能通过网段或安全区域的划分来实现。如果用户的IP地址不固定，则无法将用户与lP地址关联。	因为用户移动办公，IP地址不固定，所以企业管理者希望将用户与IP地址动态关联起来，从而能够以可视化方式查看用户的活动，根据用户信息来审计和控制穿越网络的应用程序和内容。
应用等于端口，例如浏览网页的端口为80，FTP的端口为21。如果想允许或限制某种应用，直接允许或禁用端口就能解决问题。	大多数应用集中在少数端口（例如80和443)，应用程序越来越Web化（例如微博、Web Mail)。允许访问80端口将不仅仅是允许浏览Internet网页，同时也可使用多种多样的基于网页的应用程序。
网络是黑白分明的，只有安全和不安全之分，即要么是安全的应用，要么是不安全的应用。对于不安全的应用全部拒绝即可，不会影响正常业务。	正常的应用程序常常会伴随不安全的流量。网络攻击由传统的单包攻击转为木马、黑客等信息窃取技术，应用和数据库存在大量的风险。

防火墙转发流程

• 在防火墙收到一个数据报文后，处理和转发流程一共可以分为三个阶段：

  • 1、查询会话表前的基本处理。

  • 2、首包建立会话，非首包查询会话。

  • 3、对查询会话后的报文进行处理。

与传统包过滤的区别

• 在安全策略中，可以执行两块内容，第一块做访问控制，允许或者拒绝通过；第二块是在允许通过的情况下，可以进行内容安全的检测，一体化检测。

创建安全策略

• 所有匹配项之间的关系是“与”，一条中如果可以多选，则多个选项之间为“或”关系

• 防火墙的状态检测和会话表技术

• 主要机制就是以数据流作为单位，仅针对首包进行检测，检测之后，将数据包的特征记录在本地的会话表中，之后，数据流中的其他数据包来到防火墙，不再匹配安全策略，则匹配会话表，根据会话表来进行转发

会话表技术

• 概念：会话表是一个动态的数据结构，用于记录网络中各个会话的状态信息。每个会话由一个源IP地址、目的IP地址、源端口、目的端口和传输协议（TCP/UDP）组成。会话表通过跟踪这些信息，能够快速地确定网络流量的合法性，从而有效地过滤和拦截恶意流量。

• 实现

  • 会话表的创建：当一个合法的网络请求通过防火墙时，防火墙会创建一个会话条目，记录请求的相关信息。这些信息包括源IP地址、目的IP地址、源端口、目的端口和传输协议等。

  • 会话表的更新：当网络流量在同一个会话中继续传输时，防火墙会更新该会话条目的状态信息。例如，当一个TCP连接的后续数据包到达时，防火墙会更新该会话的字节数和时间戳等信息。

  • 会话表的删除：当一个会话结束时，防火墙会从会话表中删除该会话条目。删除操作通常在一段时间后自动执行，以防止会话表过度增长。

• 会话表技术---提高转发效率的关键---老化机制

  1. 会话表老化时间过长---占用资源，导致一些会话无法正常建立

  2. 老化时间过短---会导致一些需要长时间发送一次的报文强行终端，影响正常业务

• 查看会话表

• 查看防火墙丢包原因

display firewall statistics system discard 

状态检测技术

• 1，检测数据包是否符合协议的逻辑顺序；

• 2，检查是否是逻辑上的首包，只有首包可以创建会话表。

• 状态检测机制可以选择关闭或者开启

[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令，如果需
要关闭，则在该命令前面加undo

• 防火墙转发流程图

ASPF协议

• ASPF，即Application Specific Packet Filter，应用层的包过滤，及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息，通过维护会话的状态和检查会话报文的协议和端口号等信息，使得某些特殊应用的报文能够正常转发。

• 记录临时协商的数据连接的表项称为Server-map 表，这相当于在防火墙上开通了“隐形通道”，使得像FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的，是防火墙分析了报文的应用层信息之后，提前预测到后面报文的行为方式，所以才打开了这样的一个通道。

• ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口，在严格安全策略的情况下，这些随机端口发出的报文可能得不到正常转发。通过ASPF功能，可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开发相应的访问规则，解决这些协议不能正常转发的过程。

FTP与TFTP

• FTP --- 文件传输协议

• TFTP --- 简单文件传输协议

区别

• FTP 是完整、面向会话、常规用途文件传输协议;而 TFTP 用作 bones bare - 特殊目的文件传输协议。

• 因为 TFTP 不支持验证, 所以Windows NT FTP服务器不支持 TFTP

• 可以以交互方式使用 FTP; TFTP 允许文件只能单向的传送。

• FTP 提供用户身份验证; TFTP 却不。

• FTP 依赖于 TCP 是面向连接并提供可靠的控件; TFTP 依赖 UDP，需要减少开销, 几乎不提供控件。

• FTP 使用周知 TCP 端口号： 数据和连接对话框的 21 20; TFTP 使用它的文件传输活动 UDP 端口号 69。

• FTP使用的是TCP21端口,而TFTP使用的是UDP69端口; 一般防火墙都会封TCP端口而不会封UDP的,所以TFTP有时比FTP好用,不过TFTP传输的文件一般较小,你要传大文件就要用FTP了

• FTP拥有一套完整的命令集；而TFTP没有

FTP两种工作模式

• 主动模式

• 被动模式

数据传输端口号的确定

• 192，168，1，2，8，2 --- IP地址为：192.168.1.2，端口号：8 * 256 + 2 = 2050

• 向FTP这样的多进程的协议我们叫多通道协议

ASPF与FTP

• ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中，在根据这个表中的记录，创建会话表

• server-map表在web界面是不显示的，通过命令行查看