本文详细介绍了网络工程师防火墙的基础知识,包括包过滤的原理与缺点,状态检测技术的优势,以及拥塞管理、安全策略和不同类型的防火墙配置。还探讨了防火墙的安全区域划分、动态安全控制和高级特性如SACG和双机热备技术。
以下均为个人笔记,摘录到csdn做备份
防火墙
防火墙之拥塞
- 拥塞管理是指网络在发生拥塞时,如何进行管理和控制 处理的方法是使用队列调度技术
- 拥塞管理是指网络在发生拥塞时,如何进行管理和控制。
- 常见的队列调度技术有以下几种:FIFO、RR、WRR、PQ、CQ、WFQ。
- 拥塞避免是一种流控机制,它可以通过监视网络资源(如队列或内存缓冲区)的使用情况,
在拥塞有加剧的趋势时,主动丢弃报文,通过调整网络的流量来解除网络过载。 - 常用的拥塞避免有尾丢弃、RED、WRED。
知识点1
1.包过滤
{核心技术:访问控制列表}
用于对网络中各种不同的流量是否转发做一个最基本的控制
包过滤防火墙的转发机制是逐包匹配包过滤规则并检查,所以转发效率低下。目前防火墙基本使用状态检查机制
1.对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃
2.对一个连接的首包进行包过滤检查,如果这个首包能够通过包过滤规则的检查,并建立会话的话,后续报文将不再继续通过包过滤机制检测,而是直接通过会话表进行转发
【报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号】
2.安全策略
是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制
逐条匹配,匹配后执行,不继续向下匹配
3.域间缺省包过滤
当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该数据流的报文
域间安全策略{转发策略—本地策略{有local有关的}}
域内安全策略{对不同用户的访问进行限制}
接口包过滤:对接受或发送的数据包生效
硬件包过滤:效率高
4.状态检测机制
开启状态,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发
状态检测机制关闭状态,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项
对于TCP报文
开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以丢弃,也不会建立会话表项。
关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于UDP报文
UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于ICMP报文
开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。
关闭状态检测机制时,没有对应会话的应答报文以首包形式处理
5.五元组
以(源目的IP地址、源目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。
会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口、协议号
6.aspf
支持多通道协议:FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,生成servermap表项
7.会话长连接
{老化时间为168小时}:对于特殊的业务数据流的会话信息需要长时间不被老化
防火墙仅支持对TCP协议报文配置域间长连接功能
配置长连接老化时间 Firewall long-link aging-time time
开启长连接功能 Firewall interzone zone-name1 zone-name2
lonk-link acl-number { inbound | outbound }
报文入站后,将首先匹配会话表,如果命中会话表,将进入后续包处理流程,刷新会话表时间,并直接根据会话表中的出接口,转发数据
报文入站后,将首先匹配会话表,如果没有命中会话表,将进入首包包处理流程。依次进行黑名单检查,匹配域间安全策略,查找路由表,新建会话表,转发数据。
黑名单的实现原理就是:设备上建立一个黑名单表。对于接收到的报文的源IP地址存在于黑名单中,就将该报文予以丢弃。
知识点2
1.包过滤防火墙的缺点
主要表现以下几点:
- 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。
- 静态的ACL 规则难以适应动态的安全要求。
- 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关
2.代理防火墙
能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:
- 软件实现限制了处理速度,易于遭受拒绝服务攻击。
- 需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难**
3.状态检测技术
基本原理简述如下:
状态检测防火墙使用各种会话表来追踪激活的TCP会话和UDP伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。
其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。
状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,
通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定
状态检测防火墙具有以下优点:
后续数据包处理性能优异:
状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,
该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。
检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的数据包。
连接会话表里的记录可以随意排列,与记录固定排列的ACL 不同,于是状态检测防火墙可采用诸如二叉树或哈希(Hash)等算法进行快速搜索,
提高了系统的传输效率。
安全性较高:
连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭,保障了内部网络的实时安全。
同时,状态检测防火墙采用实时连接状态监控技术,通过在会话表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
3.防火墙缺省保留的四个安全区域
相关说明如下:
非受信区域Untrust:低安全级别的安全区域,安全级别为5。
非军事化区域DMZ:中等安全级别的安全区域,安全级别为50。
受信区域Trust:较高安全级别的安全区域,安全级别为85。
本地区域Local:最高安全级别的安全区域,安全级别为100
USG防火墙最多支持32个安全区域{无需创建,也不能删除}
4.防火墙不存在两个具有完全相同安全级别的安全区域
防火墙不允许同一物理接口分属于两个不同的安全区域
防火墙的不同接口可以属于同一个安全区域{逻辑接口或物理接口}
5.数据方向
入方向(inbound):数据由低安全级别的安全区域向高安全级别的安全区域传输的方向;
出方向(outbound):数据由高安全级别的安全区域向低安全级别的安全区域传输的方向;
不同安全区域间的数据流动激发USG防火墙进行安全策略的检查
6.SACG{安全接入控制网关}
接入区域:接入区域由一组客户端组成,这些客户端安装了TSM代理:Agent,通过二层交换或者三层交换组成一个本地网络
认证前域:认证前域是一个逻辑区域,通过对SACG进行ACL配置,可以确保用户在获得接入授权之前,只能访问ACL指定的网络或者主机。
终端安全管理系统的认证前域主要包括SM管理服务器、SC控制服务器、AD域管理服务器、防病毒服务器、补丁服务器等;
认证后域:认证后域是一个逻辑区域,与认证前域相对应。通过对SACG进行配置,当用户获得业务授权后,就可以访问认证后域的业务资源。
比如OA业务服务器、ERP业务服务器、财务服务器等
7.双机热备技术:
提供冗余备份功能
统一设备上所有接口的主备状态
同步防火墙之间会话信息即配置信息
VGMP机制,可以实现对多个VRRP备份组的状态一致性管理、抢占管理和通道管理等,保证一台防火墙上的接口同时处于主用或备用状态,
实现防火墙防火墙VRRP状态的一致性
8.eLog日志软件
用于记录和分析网络活动和安全事件
9.DPI深度报文检测技术
使用DPI知识库中的规则,对P2P、VoIP、Video等多种应用数据,对识别的网络流量进行允许通过、阻断、限制连接数和限速等控制动作
10.串口的属性
对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,单击“确定”
防火墙配置
默认配置:ip地址自动获取+地址池+默认加入Trust区域
非受信区域Untrust:低安全级别的安全区域,安全级别为5。
非军事化区域DMZ:中等安全级别的安全区域,安全级别为50。
受信区域Trust:较高安全级别的安全区域,安全级别为85。
本地区域Local:最高安全级别的安全区域,安全级别为100
1.
interface g0/0/0
配置三层以太网接口:ip address ip-address { mask | mask-length }
配置二层以太网接口: portswitch
2.
firewall zone name{默认Local、Trust、DMZ、Untrust} +zw 创建安全区域,并进入相应安全区域视图 防火墙最多支持32个
set priority +优先级{不与默认区域冲突} 配置安全区域的安全级别
add interface +接口名 配置接口加入安全区域
3.
firewall packet-filter default permit/deny all/interzone zone1 zone2 direction inbound/outbound 配置域间缺省包过滤规则
permit:默认过滤规则为允许;deny:默认过滤规则为禁止;all:配置作用于所有安全区域间;
interzone:配置作用于特定安全区域间;zone1:第一个安全区域的名字,可以是DMZ、Local、Trust、Untrust区域以及自定义区域;
zone2:第二个安全区域的名字,可以是DMZ、Local、Trust、Untrust区域以及自定义区域;{两个区域只与优先级有关}
direction:配置过滤规则作用的方向;inbound:配置过滤规则作用于安全区域间入方向;outbound:配置过滤规则作用于安全区域间出方向。
缺省情况下,在防火墙所有安全区域间的所有方向都禁止报文通过
4.
配置静态路由,需要进行如下操作。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole ]增加一条静态路由
配置缺省路由,需要进行如下操作。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令ip route-static 0.0.0.0 { 0.0.0.0 | 0 } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole],配置缺省路由。
display firewall session table [verbose]
用来显示系统当前的会话表项信息,verbose参数来控制是否显示详细的信息。
icmp 表示会话表的应用类型为ICMP协议。
trust --> untrust 表示从Trust区域到Untrust区域方向的流量建立的会话。
Interface 表示流量的入接口。
Nexthop 表示流量的下一跳地址。
<–packets 表示反向报文命中的会话数,即从Untrust到Trust方向的报文数。
说明: 在NAT或VPN应用中,反向会话的报文统计数通常会有延时。
–>packets 表示正向报文命中的会话数,即从Trust到Untrust方向的报文数。
107.229.15.100:1280 表示源IP地址和源端口
107.228.10.100:2048 表示目的IP地址和目的端口
reset firewall session table 清除系统当前会话表项。
Reset Session表项操作得谨慎,因为会导致在运行业务中断。
5.
配置接口包过滤:进入接口视图,在接口上的一个方向上应用一条基本或高级ACL规则:firewall packet-filter acl-number { inbound | outbound }
应用一条基于MAC地址的ACL :firewall ethernet-frame-filter acl-number inbound
应用一条硬件包过滤的ACL:hardware-filter acl-number inbound
在这里欢迎大家的点赞、关注、评论,以此来促进大家互相学习交流,同时可以让新加入的小伙伴更快的了解新知识!!!
以上内容如有侵权,请联系作者进行删除
≧◠◡◠≦ 1分2分都是爱,感谢已经打赏的老板,和正在打赏的老板们 ≧◠◡◠≦
扫一扫
668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
