本文详细探讨了防火墙的功能,包括其在应用层安全、包过滤效率、ACL隐含规则、状态检测机制、用户认证类型(三层、二层、接入)、认证方式、NAT(静态、动态、NAPT、easyip)、服务器映射、黑洞路由、智能选路、策略路由以及VRRP技术的应用和限制。
防火墙:
防火墙的主要职责在于:控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之 后做出对应的动作。
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。 在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列 表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末 尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。3,因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三层握手就会变成 6次握手)4,可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有 开发,则无法进行代理。
华为:MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且 该接口默认开启了DHCP和web登录的功能,方便进行web管理。默认账号:admin,密码:Admin@123
路由模式:
1,接口,区域配置完成
2,内网配置回包路由
3,是否需要配置服务器映射
4,配置内网访问外网的NAT
5,针对内外网的安全策略
安全策略:
传统的包过滤防火墙 --- 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制, 执行动作。 五元组 --- 源IP,目标IP,源端口,目标端口,协议
1,访问控制(允许和拒绝) 2,内容检测 --- 如果允许通过,则可以进行内容检测。
防火墙的状态检测和会话表:
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流 的“特征”记录下来(记录在本地的“会话表”),之后,该数据流后续的报文都将基于这个 特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
用户认证的分类 :
1,上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
2,入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。
3,接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的。
认证方式:
本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行 服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将 认证结果返回,防火墙执行对应的动作即可 单点登录 --- 和第三方服务器认证类似。
登录名 --- 作为登录凭证使用,一个认证域下不能重复 显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也 可以不用写显示名。显示名可以重复。 账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙 不会强制下线该用户。
允许多人同时使用该账号登录:
私有用户 --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录
公有用户 --- 允许多个人同时使用一个账户 IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)
单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他 用户可以在该设备下登录
双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员 以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
防火墙的NAT:
静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT
easy ip --- 多对多的NAPT
服务器映射:
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器。
双向NAT --- 同时转换源IP和目标IP地址。
配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。)
防火墙的智能选路
就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高
通信效率,避免绕路。
策略路由 -- PBR
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
VRRP技术
虚拟路由器冗余协议
主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。
备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRPHELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。
Initialize --- 在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态
VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法
同步。
913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
