一、防火墙信息基础
1.什么是防火墙
防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置, 具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
可以看到,防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过 路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
2.防火墙的发展史
(1)传统防火墙(包过滤)
(2)传统防火墙(应用代理)
(3)传统防火墙(状态检测)
(4)传统防火墙(UTM)
UTM缺点:在UTM中,各功能模块是串联工作,所以,检测效率并没有得到提升。但是,因为继承在了一 台设备中,所以,维护成本得到降低。
下面我们对FW、IDS、IPS、AV等技术进行说明
(5)下一代防火墙
3.防火墙的安全区域
防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区 域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。 通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的 节点。以此为基础,防火墙就可以对各个网络之间流动的报文进行安全检查和实施管控策略。
华为防火墙产品上默认已经为大家提供了三个安全区域,分别是 Trust、DMZ 和 Untrust,光 从名字看就知道这三个安全区域很有内涵:
Trust 区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
DMZ 区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。 Untrust 区域,该区域代表的是不受信任的网络,通常用来定义 Internet 等不安全的网络。
如图所示在华为防火墙上,每个安全区域都有一个唯一的安全级别,用 1~100 的 数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级 别是固定的:Local 区域的安全级别是 100(这里的local区就是防火墙设备自己设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的, 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置, 并且我们无法将接口划入该区域。接口本身属于该区域。),Trust 区域的安全级别是 85,DMZ 区域的安全 级别是 50,Untrust 区域的安全级别是 5。
4.防火墙设备配置流程
1,接口,区域配置是否完成
2,内网配置回包路由
3,是否需要配置服务器映射
4,配置内网访问外网的NAT
5,针对内外网的安全策略
5.防火墙安全策略配置
(1)传统包过滤和安全策略区别
(2)安全策略功能
1.控制访问(允许或者拒绝)
2.内容检测-----如果允许通过则需要进行内容检测
6.防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据的“特征”记录下来(记录在本地的“会话表”),之后,该数据流后续的报文都将基于这个 特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
(1)会话表
(1)会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算 HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效率。 因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触 发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除 掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会话表,如果无法创建会话表,则将丢弃该数据流的数据。 如果会话表的老化时间过长:会造成系统资源的浪费,同时,有可能导致新的会话表项 无法正常建立 如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中 断,影响业务的转发。 不同协议的会话表老化时间是不同的。
(2)状态检测
状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建 会话表。可以选择开启或者关闭该功能。
7.防火墙中数据通过的流程
8.防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限
用户认证 --- 上网行为管理的一部分
用户,行为,流量 --- 上网行为管理三要素
(1)用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的
(2)认证方式
本地认证--- 用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器之后,服务器将认证结果返回,防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似。
(3)认证域
认证域作用:决定认证的方式和组织结构,不同的认证域之间是或的关系。
登录名 --- 作为登录凭证使用,一个认证域下不能重复
显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也可以不用写显示名。显示名可以重复
账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙不会强制下线该用户
允许多人同时使用该账号登录:
私有用户 --- 仅许一个人使用,第二个人使用时,将顶替到原先的登录
公有用户 --- 允许多个人同时使用一个账户
IP/MAC绑定--- 用户和设备进行绑定 (P地址/MAC地址)
绑定方式:
单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他用户可以在该设备下登录
双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录
安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
(4)认证策略
Portal--- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证
免认证--- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以选择免认证,不做认证。
选择匿名认证,则登录者不需要输匿名认证 --- 和免认证的思路相似,认证动作越透明越好,入用户名和密码,直接使用IP地址作为其身份进行登录。
9.防火墙的NAT和普通设备NAT
1、NAT的定义与作用
概念:
NAT(网络地址转换协议)主要用于实现位于内部网络的主机访问外部网络的功能,可以将私网地址转换为公网地址。
功能:
1、宽带分享,帮助解决IP地址不足,帮助上网
2、安全防护,可以有效的避免来自网络外部的攻击,隐藏保护网路内部的计算机
分类:
1、静态NAT
- 静态NAT实现了私有地址的一对一映射
- 一个公网IP只会分配给唯一且固定的内网主机
- 如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT
2、动态NAT
- 动态NAT基于地址池来实现私有地址和公有地址的转换
- 动态NAT地址池中的地址用尽以后,只能等待被占用的公网地址被释放后,其他主机才能使用它来访问公网
3、Easy IP
- Easy IP允许多个内部地址映射到网关出接口地址上的不同端口
- Easy IP适用于小规模局域网中的主机访问internet的场景
- 小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问internet
2、防火墙上NAT
源NAT--- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
当上网流量到达防火墙时,报文的私网源 IP 将被转换为公 网 IP;当回程报文到达防火墙时,报文的公网目的 IP 将被转换为私网 IP。整个 NAT 转换过 程对于内、外网主机来说是完全透明的。
源NAT是在安全策略之后执行。
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和和目标IP地址
3.防火墙上NAT策略为何要配置路由黑洞
未配置路由黑洞的情况:
整个过程:
1. 路由器收到公网PC访问NAT地址池地址的报文后,发现目的地址不是自己的直连网段, 因此查找路由,发送到防火墙。
2. 防火墙收到报文后,该报文不属于私网访问公网的回程报文,无法匹配到会话表,同时 目的地址也不是自己的直连网段(防火墙没有意识到该报文的目的地址是自己的 NAT 地 址池地址),只能根据缺省路由来转发。因为报文从同一接口入和出,相当于在同一个安 全区域流动,缺省情况下也不受安全策略的控制,就这样报文又从 GE0/0/1 接口送出去 了。
3. 路由器收到报文后,查找路由,还是发送至防火墙,如此反复。这个可怜的报文像皮球 一样被两台设备踢来踢去,最终被残忍丢弃,憾别网络… …
下面我们来看一下配置了黑洞路由的情况:
整个过程:
1. 路由器收到公网PC访问NAT地址池地址的报文后,发现目的地址属于自己的直连网段, 发送 ARP 请求,防火墙会回应这个 ARP 请求,前两个 ARP 报文就是来完成了这一交互 过程的。然后路由器使用防火墙告知的 MAC 地址封装报文,发送至防火墙。
2. 防火墙收到报文后,发现报文的目的地址和自己的 GE0/0/1 接口在同一网段,直接发送 ARP 请求报文(第三个 ARP 报文),寻找该地址的 MAC 地址(防火墙依然没有意识到 该报文的目的地址是自己的 NAT 地址池地址)。但是网络中其它设备都没有配置这个地 址,肯定就不会回应,最终防火墙将报文丢弃。
所以说,在这种情况下不会产生路由环路。但是如果公网上的捣乱分子发起大量访问时,防 火墙将发送大量的 ARP 请求报文,也会消耗系统资源。所以,当防火墙上 NAT 地址池地址 和公网接口地址在同一网段时,建议也配置黑洞路由,避免防火墙发送 ARP 请求报文,节 省防火墙的系统资源。
4.NAT三元组和五元组
NAT类型 --- 五元组NAT --- 针对源P,目标IP,源端口,目标端口,协议 这五个参数识别出的数据流进行端口转换
三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换
二、协议讲解
1.FTP和TFTP
(1)基础信息
FTP协议是一个典型的C/S架构的协议
FTP------文件传输协议
Tftp --- 简单文件传输协议
1,FTP相较于TFTP存在认证动作
2,FTP相较于TFTP拥有一套完整的命令集
FTP工作过程中存在两个进程:一个是控制进程,另一个是数据的传输进程,所以,需要使用 两个端口号20,21 并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
(2)主动模式
(3)被动模式
抓包展示
192,168,1,1,8,2 --- 前面是IP地址信息,后面的8,2代表的是端口号信息,计算方 法 --- 8 * 256 + 2 = 2050
像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)
2.ASPF协议
ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
华为防火墙设备默认FTP协议开启了ASPF。
三、就近选路、双机热备和策略路由
1.就近选路
何为就近选路?顾名思义为选择较近的路,在多出口网络中指的是报文选择离目标网络花销 较小的链路进行转发。
当企业内网用户访问外网服务器器 Server 时,报文途经防火墙有两条路径,正常情况下,企业 一般会在出口防火墙上配置两条缺省路由,每个 ISP 一条。在前面我们说过缺省路由的选路 是通过源 IP+目的 IP 的 HASH 算法来决定数据报文的转发路径,这就有可能导致到 ISPB 的 Server 流量经过 HASH 算法计算后从图中的路径 1 进行转发了,这样从路径 1 到 ISPA,再经过 ISPA 到 ISPB,绕一大圈后才能到能最终目的地,严重影响的转发效率和用户体验。 那有什么办法让报文不绕道呢?通过配置明细路由即可达到要求,前面我们也说过,报文是 优先匹配明细路由的,没有匹配的明细路由再去查找缺省路由的。就上面的组网,我们可以 配置到 Server 的明细路由,下一跳指向 ISPB,这样报文匹配到这条明细路由后就不会绕道 转发了,而是选择明细路由指定的链路,从图中看,选择的是两条路径中的最短路径,这就 是我们所说的就近选路了。
2.双机热备
(1)什么是双机热备
如左下图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如 果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置 上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致 网络中断的风险。于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机) 或多台设备,以提升网络的可靠性。如右下图所示,当一台防火墙出现故障时,流量会通过 另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。
(2)路由器的双机部署只需考虑路由备份
如果是传统的网络转发设备(如路由器、三层交换机),只需要在两台设备上做好路由的备份 就可以保证业务的可靠性。因为普通的路由器、交换机不会记录报文的交互状态和应用层信 息,只是根据路由表进行报文转发,下面举个例子来说明。 如下图所示,两台路由器 R1 和 R2 与上下行设备 R3 和 R4 之间运行 OSPF 协议。正常情况 下,由于以太网接口的缺省 OSPF Cost 值为 1,所以在 R3 上看 R1 所在链路(R3—>R1—>R4 —>FTP 服务器)的 Cost 值为 3。而由于我们在 R2 链路(R3—>R2—>R4—>FTP 服务器) 的各接口上将 OSPF Cost 值设置为 10,所以在 R3 上看 R2 所在链路的 Cost 值为 21。由于 流量只会通过 Cost 值小的链路转发,所以 FTP 客户端与服务器间的业务就都只会通过 R1 转发。
(3)防火墙的双机部署还需考虑会话备份
如果将传统网络转发设备换成状态检测防火墙,情况就大不一样了。回忆一下状态检测:状态检测防火墙是基于连接状态的,他会对一条流量的首包(第 4 双机热备 一个报文)进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源 IP、源端口、 目的 IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且 完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。 下面举个例子来说明,两台防火墙 FW1 和 FW2 部署在网络中,与上下行设备 R1 和 R2 之 间运行 OSPF 协议。如左下图所示,正常情况下,由于 FW1 所在链路的 OSPF Cost 值较小, 所以业务报文都会根据路由通过 FW1 转发(原理同前面的路由器的例子)。这时 FW1 上会 建立会话,业务的后续报文都能够匹配会话并转发。 如右下图所示,当 FW1 出现故障时,业务会被上下行设备上的路由信息引导到 FW2 上(原 理同前面的路由器的例子)。但由于 FW2 上没有会话,业务报文因为找不到会话而被 FW2 丢弃,从而导致业务中断。这时用户需要重新发起访问请求(例如重新进行 FTP 下载),触 发 FW2 重新建立会话,这样用户的业务才能继续进行。
(4)解决防火墙会话备份VRRP与VGRP
VRRP 是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自 动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。 如下图所示,我们将局域网内的一组路由器(实际上是路由器的下行接口)划分在一起,形 成一个 VRRP 备份组。VRRP 备份组相当于一台虚拟路由器,这个虚拟路由器有自己的虚拟 IP 地址和虚拟 MAC 地址(格式:00-00-5E-00-01-{VRID},VRID 是 VRRP 备份组的 ID)。 所以,局域网内的主机可以将默认网关设置为 VRRP 备份组的虚拟 IP 地址。在局域网内的主 机看来,他们就是与虚拟路由器进行通信的,然后通过虚拟路由器与外部网络进行通信。
VRRP 备份组中的多个路由器会根据管理员指定的 VRRP 备份组优先级确定各自的 VRRP 备份组状态。优先级最高的 VRRP 备份组状态为 Master,其余 VRRP 备份组状态为 Backup。 VRRP 备份组的状态决定了路由器的主备状态。VRRP 备份组状态为 Master 的路由器称为 Master 路由器,VRRP 备份组状态为 Backup 的路由器称为 Backup 路由器。当 Master 路 由器正常工作时,局域网内的主机通过 Master 路由器与外界通信。当 Master 路由器出现故 障时,一台 Backup 路由器(VRRP 优先级次高的)将成为新的 Master 路由器,接替转发报文的工作,保证网络不中断。
为了解决多个 VRRP 备份组状态不一致的问题:
华为防火墙引入 VGMP(VRRP Group Management Protocol)来实现对 VRRP 备份组的统一管理,保证多个 VRRP 备份组状态的 一致性。我们将防火墙上的所有 VRRP 备份组都加入到一个 VGMP 组中,由 VGMP 组来集 中监控并管理所有的 VRRP 备份组状态。如果 VGMP 组检测到其中一个 VRRP 备份组的状 态变化,则 VGMP 组会控制组中的所有 VRRP 备份组统一进行状态切换,保证各 VRRP 备 份组状态的一致性。 VGMP 有状态和优先级两个基本属性,并且有三条基本运行原则: VGMP的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态。 VGMP组的状态是由两台防火墙的VGMP组通过比较优先级来决定的。优先级高的VGMP组状态为Active,优先级低的VGMP组状态为Standby VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级。每个VRRP备份组的 状态变成Initialize, VGMP组的优先级就会降低2。
了解并熟记了 VGMP 的基本原则后,下面我们一起来看 VGMP 如何解决 VRRP 问题。 如下图所示,我们在 FW1 上将 VRRP 备份组 1 和 VRRP 备份组 2 都加入状态为 Active 的 VGMP 组,在 FW2 上将 VRRP 备份组 1 和 VRRP 备份组 2 都加入状态为 Standby 的 VGMP 组。由于 VGMP 组的状态决定了组内 VRRP 备份组的状态,所以 FW1 上 VRRP 备份组 1 和 2 的状态都为 Active,FW2 上 VRRP 备份组 1 和 2 的状态都为 Standby。这样 FW1 就是 VRRP 备份组 1 和 VRRP 备份组 2 中的 Active 路由器(也就是两台防火墙中的主用设备), 而 FW2 就是他们的 Standby 路由器(也就是两台防火墙中的备用设备),所以上下行的业务 流量都会被引导到主用设备 FW1 转发。
如下图所示,当 FW1 的接口故障时,VGMP 组控制 VRRP 备份组状态统一切换的过程如下:
1) 当FW1的GE1/0/1接口故障时,FW1上的VRRP备份组1发生状态切换(由Active切换成 Initialize)。
2) FW1的VGMP组感知到这一故障后,会降低自身的优先级,然后与FW2的VGMP组比较 优先级,重新协商主备状态。
3) 协商后,FW1的VGMP组状态由Active切换成Standby,FW2的VGMP组状态由Standby 切换成Active。
4) 同时,由于VGMP组的状态决定了组内VRRP备份组的状态,所以FW1的VGMP组会强制 组内的VRRP备份组2由Active切换成Standby状态,FW2的VGMP组也会强制组内的 VRRP备份组1和2由Standby切换成Active状态。这样FW2就成为了VRRP备份组1和 VRRP备份组2中的Active路由器,也就成了为两台防火墙中的主用设备;而FW1则成为 了VRRP备份组1和VRRP备份组2中的Standby路由器,也就成为了两台防火墙中的备用 设备。
5) FW2会分别向LSW1和LSW2发送免费ARP,更新他们的MAC转发表,使PC1访问PC2 的上行报文和回程报文都转发到FW2。这样就完成了VRRP备份组状态的统一切换,并且 保证业务流量不会中断。
如下图所示,每台防火墙提供两个 VGMP 组:Active 组和 Standby 组。缺省情况下,Active 组的优先级为 65001,状态为 Active;Standby 组的优先级为 65000,状态为 Standby。主 备备份情况下,主用设备启用 Active 组,所有成员(例如 VRRP 备份组)加入 Active 组; 备用设备启用 Standby 组,所有成员加入 Standby 组。负载分担情况下,两台设备都启用 Active 组和 Standby 组,每台设备上的所有成员分别加入 Active 组和 Standby 组。FW1 的 Active 组和 FW2 的 Standby 组形成一组“主备”,FW2 的 Active 组和 FW1 的 Standby 组形 成一组“主备”,两台防火墙互为“主备”,形成负载分担。
3.策略路由
所谓策略路由,顾名思义,即是根据一定的策略进行报文转发。而策略是人为制定的,因此 策略路由是一种比传统的按照目的地址选路更灵活的选路机制。在防火墙上配置策略路由后, 防火墙首先会根据策略路由配置的规则对接收的报文进行过滤,匹配成功则按照一定的转发 策略进行报文转发。其中“配置的规则”即是需要定义匹配条件,一般是通过 ACL 来定义匹 配条件;而“一定的转发策略”则是需要根据匹配条件执行相关的动作。
策略路由 -- PBR:
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照对应动作执行,不再向下匹配。
匹配条件(通过ACL定义) :
用于区分将要做策略路由的流量。匹配条件包括:报文源 IP 地址、目的 IP 地址、协议类 型、应用类型等,不同的防火墙可以设置的匹配条件略有不同。在一条策略路由规则中, 可以包含多个匹配条件,各匹配条件之间是“与”的关系,报文必须同时满足所有匹配条 件,才可以执行后续定义的转发动作。
动作:
对符合匹配条件的流量采取的动作,包括指定出接口和下一跳。
当有多条策略路由规则时,防火墙会按照匹配顺序,先寻找第一条规则,如果满足第一条策 略路由规则的匹配条件,则按照指定动作处理报文。如果不满足第一条规则的匹配条件,则 会寻找下一条策略路由规则。如果所有的策略路由规则的匹配条件都无法满足,报文按照路 由表进行转发,策略路由的匹配是在报文查找路由表之前完成,也就是说策略路由比路由的 优先级高。如下图所示。
725
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
