防御保护_课堂笔记_day04

防火墙分类

按物理特性划分：

软件/硬件防火墙

按性能划分：

百兆级防火墙，千兆级防火墙

按结构划分：

单一主机防火墙，路由集成防火墙，分布式防火墙

按技术划分：

包过滤防火墙

应用代理防火墙

状态监测防火墙

传统防火墙（包过滤防火墙）————一个严格的规则表

判断信息：数据包源IP地址、目的ip地址，协议类型（网络层）,源端口、目的端口（传输层)

（五元组）——用来表示数据流

缺点：

1. 很多安全风险集中在应用层，仅关注三四层的数据无法完全做到完全隔离安全风险
2. 逐包进行包过滤检测，将导致防火墙转发效率过低，成为网络中的瓶颈

在ACL列表中，华为体系下，未尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过;但是，在防火墙的安全策略中，为了保证安全，末尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

基于 ACL 的包过滤

    包过滤的处理过程是先获取需要转发数据包的报文头信息，然后和设定的 ACL 规则进行比较，

根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表 ACL 。

因此包过滤只能基于 IP 地址、端口号等控制流量是否可以通过防火墙，无法准确识别应用。

 

基于 ACL 的包过滤的配置方式是先配置好包含多条数据流规则（ rule ）的 ACL ，其中每条 rule

包含数据流的匹配条件和 permit/deny 动作，然后 ACL 再被域间包过滤引用。一个域间只能

引用一个 ACL 。

传统防火墙（应用代理防火墙）————每个应用添加代理

判断信息：所有应用层的信息报

工作范围：应用层（7层）

和包过滤防火墙的区别：

包过滤防火墙工作基于3-4层

1.因为需要防火墙进行先一步安全识别

2.可伸缩性差

传统防火墙（状态检测防火墙）——首次

判断信息：ip

会话表技术——首包检测

会话表 --- 会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效率。
    因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触发，则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会话表，如果无法创建会话表则将丢弃该数据流的数据
    如果会话表的老化时间过长:会造成系统资源的浪费，同时，有可能导致新的会话表项无法正常建立。
    如果会话表的老化时间过短: 会导致一些需要长时间首发一次的报文连接被系统强行中断，影响业务的转发。

 

会话表提高转发速率，有老化时间

首包（逻辑上）创建会话

状态监测机制提高安全

入侵监测系统（IDS）——网络摄像头

部署方式：旁路部署、可多点部署

工作范围：2-7层

工作特点：根据部署位置监控的流量进行时间监控，属于一个事后呈现（滞后性）的系统，相当于网络上的摄像头

目的：帮助管理员清晰了解到网络环境中发生了什么事情。

本身不是防火墙，只能识别风险不能抵御风险

IDS——侧重于风险管理的安全机制

防火墙的组网

物理接口

二层口——不能配IP

普通二层口

接口对——“透明网线”——可以将两个接口绑定成为接口对、如果流量从一个接口进入，则必定从另一个接口出去，不需要查看mac地址表。

一个接口也可以做接口对，从该接口进再从该持旁路检测接口 --- 主要用于防火墙的旁路部署，用于接收镜像口的流量。

 

Tftp——简单文件传输协议  UDP协议

    FTP 协议是一个典型的多通道协议，在其工作过程中，FTP Client 和 FTP Server 之间将会

建立两条连接：控制连接和数据连接。控制连接用来传输 FTP 指令和参数，其中就包括建立

数据连接所需要的信息；数据连接用来获取目录及传输数据。数据连接使用的端口号是在控

制连接中临时协商的。

根据数据连接的发起方式 FTP 协议分为两种工作模式： 主动模式（PORT 模式）和被动模式

（PASV 模式） 。主动模式中， FTP Server 主动向 FTP Client 发起数据连接；被动模式中，

FTP Server 被动接收 FTP Client 发起的数据连接。    

区别：

ftp相较于Tftp，存在认证，拥有一套完整的命令集

ASPF 是针对应用层的包过滤，其原理是检测通过设备的报文的应用层协议

信息，记录临时协商的数据连接，使得某些在安全策略中没有明确定义要放行的报文也能够

得到正常转发。

记录临时协商的数据连接的表项称为 Server-map 表 [1] ，这相当于在防火墙上开通了“隐形

通道”，使得像 FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的，是

防火墙分析了报文的应用层信息之后，提前预测到后面报文的行为方式，所以才打开了这样

的一个通道。

Server-map 表在防火墙转发中非常重要，不只是 ASPF 会生成， NAT Server 、 SLB 等特

性也会生成 Server-map 表，后续在其他帖子中强叔还会提及。

ASPF 怎么配置呢，很简单，在域间配置一条命令即可 detece protocol 。

FTP，工作过程总存在两个进程，一个是控制进程，一个是数据传输

端口号20 21 都是给服务器准备的

并且存在两种不同的工作模式——主动模式 被动模式 基于服务器主动、被动

主动模式

首先 FTP 客户端向 FTP 服务器的 21 端口发起连接建立控制通道，然后通过 PORT 命令协商

客户端使用的数据传输端口号。协商成功后，服务器主动向客户端的这个端口号发起数据连

接。而且每次数据传输都会协商不同的端口号。

 

 被动模式

安全策略

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个

网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合

安全策略的合法数据流才能通过防火墙。

传统的包过滤防火墙 --- 其本质为ACL列表，根据 数据报中的特征 进行过滤，之后对比规制，

执行动作。

五元组 --- 源IP，目标IP，源端口，目标端口，协议

 

NAT技术

防火墙的NAT

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

--- 多对多的NAPT

服务器映射

源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源

NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为

了保证公网用户可以访问内部的服务器

双向NAT --- 同时转换源IP和目标IP地址

 

 

 

源 NAT 技术通过对报文的源地址进行转换，使大量私网用户可以利用少量公网 IP 上网，大

大减少了对公网 IP 地址的需求。 源NAT是在安全策略之后执行

下图示意了源 NAT 转换的过程：当上网流量到达防火墙时，报文的私网源 IP 将被转换为公

网 IP ；当回程报文到达防火墙时，报文的公网目的 IP 将被转换为私网 IP 。整个 NAT 转换过

程对于内、外网主机来说是完全透明的。

NAT 地址池是一个虚拟的概念，它形象地把“公网 IP 地址的集合”比喻成一个“放 IP 地址的池子或容器”，防火 墙在应用源 NAT 功能时就是从地址池中挑选出一个公网 IP ，然后对私网 IP 进行转换。 挑选 哪个公网 IP 是随机的，和配置时的顺序、 IP 大小等因素都没有关系。

配置黑洞路由 --- 黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指

向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址

不再同一个网段中的场景。）