防火墙相关知识

 防火墙

1.什么是防火墙？

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

2.防火墙的功能

1）过滤进出网络的数据

2）管理进出访问网络的行为

3）禁止某些业务

4）记录通过防火墙信息和内容

5）对网络攻击检测和告警

3.为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

局域网内部，不连接互联网外网的一般是不需要防火墙，监控单独一个网络的时候才需要，一般都接在局域网内，通过路由器处的防火墙，而大型网络连接外网的，是需要防火墙的。

状态防火墙的工作原理

1.状态防火墙介绍
状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。

2.工作原理
状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为

3.状态防火墙的优点

1）安全性好

2）性能高效

3）扩展性好

4）配置方便，应用范围广

4.缺点
状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

防火墙如何处理双通道协议？

ASPF概述：
ASPF( Application Specific Packet Filter) 是一种高级通信过滤，它检查应用层协议信息并且监控应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。ASPF是针对应用层的包过滤。

在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的。为了避免协商出来的通道不因其他规则的限制（如ACL）而中断，需要临时开启一个通道，ServerMap表就是为了满足这种应用而设计的一种数据结构。

从图中可以看出，ServerMap表项是对FTP控制通道中动态监测过程中产生的。当报文通过防火墙时，ASPF将报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文将被直接丢弃。

如果该报文时用于打开一个新的控制连接或数据连接，ASPF将动态的产生ServerMap表项，对于回来的报文只有是属于一个已经存在的有效连接才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能穿过防火墙。

ServerMap是一种映射关系，当数据连接匹配了动态ServerMap表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。
ServerMap通常只是用来检查首个报文，通道建立后的报文还是根据会话表来转发。

防火墙如何处理nat

1.根据转化方式的不同，NAT可以分为三类：

1）源NAT，源地址转化的NAT。

有：NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT

2）目的NAT：将目的地址做转化。

有：NAT-Server， SLB

3）双向NAT：即做源地址转化，又做目的地址转化

2.NAT策略分类

（1）NAT No-PAT
NAT No-PAT类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下

（2）NAPT
NAPT （Network Address and Port Translation，网络地址和端口转换）类似于Cisco的PAT 转换，NAPT既转换报文的源地址，又转换源端口，转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网IP地址可用的场景下

（3）Easy-IP
出接口地址（Easy-IP）因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口，区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标

（4）Smart NAT
Smart NAT（智能转换）通过预留一个公网地址进行 NAPT 转换，而其他的公网地址用来进行NAT No-PAT转换，其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT No-PAT转换，但是偶尔会出现上网用户倍增的情况下

（5）三元组NAT
三元组NAT是与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题，其主要用于外部用户访问局域网用户的一些P2P应用

3.NAT策略组成

NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成

地址池类型包括源地址池（NAT No-PAT、NAPT、三元组NAT、Smart NAT）和目的地址池，根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式
匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段，根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换
动作包括源地址转换或者目的地址转换，无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式
4.NAT匹配规则

如果创建了多条NAT策略，设备会从上到下依次进行匹配，如果流量匹配了某个NAT策略，进行NAT转换后，将不再进行下一个NAT策略的匹配，双向NAT策略和目的NAT策略会在源NAT策略的前面，双向NAT策略和目的NAT策略之间按配置先后顺序排列，源NAT策略也按配置先后顺序排列，新增的策略和被修改NAT动作的策略都会被调整到同类NAT策略的最后面，NAT策略的匹配顺序可根据需要进行调整，但是源NAT策略不允许调整到双向NAT策略和目的NAT策略之前

5.NAT处理流程
不同的NAT类型对应不同的NAT策略，在华为防火墙上处理顺序不同

华为防火墙收到报文后，查找NAT Server生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤4处理，如果报文没有匹配到Server-Map表，则进行步骤2处理
查找基于ACL的目的NAT，如果报文符合匹配条件，则转换报文的目的地址，然后进行步骤4处理，如果报文不符合基于ACL的目的NAT的匹配条件，则进行步骤3处理
查找NAT策略中目的NAT，如果报文符合匹配条件，则转换报文的目的地址后进行路由处理，如果报文不符合目的NAT的匹配条件，则直接进行路由处理
根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤5处理，如果没有找到路由，则丢弃报文
查找安全策略，如果安全策略允许报文通过且之前并未匹配过NAT策略（目的NAT或者双向NAT），则进行步骤6处理，如果安全策略允许报文通过且之前匹配过双向NAT，则直接进行源地址转换，然后创建会话并进入步骤7处理，如果安全策略允许报文通过且之前匹配过目的NAT，则直接创建会话，然后进行步骤7处理，如果安全策略不允许报文通过，则丢弃报文
查找NAT策略中源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话，如果报文不符合源NAT的匹配条件，则直接创建会话
华为防火墙发送报文
NAT策略中目的NAT会在路由和安全策略之前处理，NAT策略中源NAT会在路由和安全策略之后处理，因此，配置路由和安全策略的源地址是NAT转换前的源地址，配置路由和安全策略的目的地址是NAT转换后目的地址

你知道那些防火墙？以及防火墙的技术分类

防火墙技术可根据防范的方式和侧重点的不同，而分为多种类型，但总体上来讲，可分为“包过滤防火墙、代理防火墙、状态防火墙”三大类

包过滤防火墙--------访问控制列表技术----三层技术

包过滤防火墙在TCP/IP四层架构下的IP层中运作。它检查通过的IP数据封包，并进一步处理。主要的处理方式有:放行、丢弃或拒绝，以达到保护自身网络的目的。 包过滤技术在网络层中对数据包进行有选择的处理。它根据系统内预先设定的过滤规则，对数据流中每个数据包进行检查后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号以及数据包头中的各种标志位等信息来确定是否允许数据包通过。包过滤防火墙的应用主要有三类：一是路由设备在进行路由选择和数据转发的同时进行包过滤；二是在工作站上使用专门的软件进行包过滤；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。包过滤防火墙的优点是它对用户而言是透明的，即用户不需要用户名和密码就可以登录。其缺点是没有记录用户的使用记录，这样用户就不能从访问记录中发现攻击记录。

代理防火墙---------中间人技术-------应用层技术

代理服务器防火墙是针对每一种应用服务程序进行代理服务的工作。一方面代替原来的客户建立连接，另一方面代替原来的客户程序，与服务器建立连接。它可确保数据的完整性，只有特定的服务才会被交换;还可进行高阶的存取控制，并可对其内容进行过滤。 代理服务器技术作用在应用层，对应用层服务进行控制，可起到内部网络向外部网络交流服务时中间转接的作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。通常情况下，代理服务器可应用于特定的Internet服务，如HTTP、FTP等服务。代理服务器一般都有高速缓存，缓存中保存了用户经常访问的页面。当下一个用户要访问同样的页面时，服务器就可以直接将该页面发给用户，从而节约了时间和网络资源。 亿速云为用户提供安全防护、专业抗DDoS攻击的“高防服务器、高防香港服务器、高防裸金属服务器”，采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户网站正常稳定运行”的目的。

状态防火墙--------会话追踪技术-------三层、四层

状态防火墙（英语：Stateful firewall），一种能够提供状态数据包检查（stateful packet inspection，缩写为SPI）或状态查看（stateful inspection）功能的防火墙，能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。 这种防火墙也可以提供动态数据包过滤（Dynamic Packet Filtering）的功能。