防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

最新推荐文章于 2024-05-23 10:14:29 发布
最新推荐文章于 2024-05-23 10:14:29 发布
阅读量1.2k 收藏 21
点赞数 10
分类专栏: 防火墙技术基础篇 文章标签: 防火墙 安全策略 防火墙概念 防火墙特点 安全区域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39241682/article/details/138153960
版权

防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

一、安全策略匹配机制

简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
在配置安全策略的时候简历把精细的策略写到前面,没那么精细的策略放到后面,否则可能会先命中粗略的策略,进而报文匹配不到精细的策略,无法实现我们的需求。

二、什么是防火墙转发策略

防火墙转发策略是指控制哪些流量可以经过设备转发的域间安全策略。防火墙通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息的安全性。在这个过程中,防火墙会对域间(除Local域外)转发流量进行安全检查,例如控制哪些内网用户可以访问Internet。
在这里插入图片描述

防火墙转发策略的核心作用是根据一定规则对流量进行筛选,由动作来确定下一步操作。具体来说,防火墙会对收到的流量进行检测,识别流量的属性,如源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段等。然后,根据这些属性和预设的安全策略,防火墙决定是否转发、丢弃或执行其他操作。
防火墙的转发策略对于确保计算机网络运行的安全性至关重要。通过精心配置防火墙的安全策略,可以隔离并保护内部网络免受潜在的安全威胁,同时记录与检测网络中的各项活动,为用户提供更安全、更可靠的计算机网络使用体验。

三、什么是防火墙安全区域

防火墙安全区域(Security Zone)是防火墙功能实现的基础之一,它是一个逻辑概念,代表一个或多个接口的集合。这些接口所包含的用户具有相同的安全属性。防火墙通过安全区域来划分网络,并标识报文流动的“路线”。每个安全区域具有全局唯一的安全优先级。
在这里插入图片描述

在防火墙的配置中,设备认为在同一安全区域内部发生的数据流动是可信的,因此不需要实施任何安全策略。然而,当不同安全区域之间发生数据流动时,防火墙会触发安全检查,并根据预定义的安全策略来实施相应的安全控制。
安全区域的设置使得防火墙能够更有效地管理和控制网络流量,保护关键资源和信息免受潜在的网络攻击和威胁。通过合理划分安全区域并配置相应的安全策略,可以提高网络的整体安全性。
防火墙使用安全区域来区分一个网络是否安全,一般有4个默认的安全区域。

3.1 Local区域

Local表示本地,防火墙所有的接口都属于local区域。即使防火墙接口划分到了其他的安全区域,那么接口永远也属于local区域。

3.2 Trust区域

Trust为受信任的区域,一般会把防火墙连接内网的接口划分到trust区域。

3.3 DMZ区域

Dmz为非军事化区域。一般把连接到数据中心的接口划分到dmz区域。这个区域的信任程度优于untrust,次于trust。因为服务器是内部的设备认为是可信的,可是服务器又会有让外网用户访问的需求,所以把dmz区域定义为中等信任的区域。

3.4 Untrust区域

Untrust为不受信任的区域,由于Internet非常不安全,所以一般把连接Internet的接口划分到untrust区域。
每个安全区域都会有一个优先级,默认安全区域优先级从高到低为:local>trust>dmz>untrust
在这里插入图片描述

防火墙除了以上4个默认的安全区域之外,用户还可以根据自己的需求自行创建安全区域,创建的安全区域需要设置安全区域优先级,优先级不可以和已有的安全区域优先级相同。

四、什么是防火墙域间转发

默认情况下,相同安全区域之间的网络可以相互通信。例如,两台位于Trust区域的计算机可以互相访问。
但是,如果需要不同安全区域之间的通信(例如,Trust区域与Untrust区域之间),默认情况下是被隔离的。
为了实现不同安全区域之间的通信,需要配置安全策略。
安全策略由匹配条件(例如五元组、用户、时间段等)和动作组成,用于控制流量。当防火墙收到流量时,会根据安全策略的匹配条件对流量进行识别和匹配。
例如,可以创建一条安全策略,允许从Trust区域访问Untrust区域的流量,从而实现不同安全区域之间的通信。

五、报文转发的流程

如果防火墙接收到一个数据包,那么会根据下面的流程进行处理:
如果报文从某个接口接收到或者准备从这个接口发送出去的时候,检查这个接口是否加入了安全区域,如果这个接口并没有加入任何的安全区域,那么这个直接把这个报文丢弃;如果该接口已经加入了安全区域,解析报文的目的IP地址在防火墙的路由表是否可以查询到对应的出接口,如果查询不到也是直接丢弃;如果有路由则查询防火墙的会话表,如果会话表有匹配的条目那么可以直接根据会话表进行转发,就不需要匹配安全策略了,如果会话表没有,那么就需要匹配安全策略了!
希望对您有用,有不对的地方希望不吝赐教,欢迎在评论区留言,分享你的看法。

云计算练习生
关注
  • 10
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
防火墙报文转发流程
sgslwms的博客
08-09 5185
网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同,FW对报文的处理过程也有所不同。USG6000典型的IP报文从接收到发送的简化转发流程如下图所示:总体可以分为三个阶段:分析会话前、会话中、会话后的转发流程。......
网络安全策略研究(一).docx
06-09
网络安全策略研究(一)全文共2页,当前为第1页。网络安全策略研究(一)全文共2页,当前为第1页。网络安全策略研究(一) 网络安全策略研究(一)全文共2页,当前为第1页。 网络安全策略研究(一)全文共2页,当前为第1页。 摘要]当前网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。计算机网络安全不仅影响了网络稳定运行和用户的正常使用,还有可能造成重大的经济损失,威胁到国家安全。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。 关键词]网络安全计算机网络入侵检测 引言 计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。 一、常见的几种网络入侵方法 由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法: 1.通过伪装发动攻击 利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。 2.利用开放端口漏洞发动攻击 利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。 3.通过木马程序进行入侵或发动攻击 木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。 4.嗅探器和扫描攻击 嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变网络安全策略研究(一)全文共2页,当前为第2页。网络安全策略研究(一)全文共2页,当前为第2页。得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。 为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。 二、网络的安全策略分析 早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括: 1.防火墙 防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过
防火墙技术基础:基于IP地址的转发策略
最新发布
qq_39241682的博客
05-23 877
基于IP地址的转发策略是一种网络管理方法,它允许根据目标IP地址来选择数据包的转发路径。这种策略比传统的基于目的地地址的路由更灵活,因为它不仅考虑目标地址,还可以根据报文大小、应用或IP源地址来进行路由选择。
27张图详解网络设备转发流程:路由器、交换机、防火墙是如何处理数据报文的?
qq_35789269的博客
08-11 1504
接口板卡就是我们常说的业务板卡,提供丰富的端口类型和端口数量,不同的板卡类型提供的端口数量和端口类型(光口、电口)也不一样,端口的速率也不一样(10G/25G/40G/100G等)。这款交换机的硬件满配组成如下:2个主控板、4个交换网板、8个接口板卡、2个集中监控板、6个电源模块、4个风扇模块等。(2)主控板CPU收到协议报文之后进行相应的处理,如果需要回应报文,则主控板会构造协议报文进行回应。,并通过PFE(包转发引擎)对报文进行处理,获取封装信息,对报文进行封装,并通过出接口转发出去。
防火墙转发数据流程
weixin_49283635的博客
01-12 619
e. 在线用户表(防火墙基于认证策略,可以识别IP地址与用户的对应关系)3.1 如果是二层接口,基于vlan及mac地址表,检查流量的出接口;——基于以上信息,防火墙可以掌握流量的接收接口、源IP、目的IP等信息。6. IP/MAC绑定:如果定义了ip-mac绑定,则判断是否合规;a. 刷新在线用户表(基于认证策略,识别IP地址与用户的对应关系)b. 基于流的攻击防范(如DDoS攻击,需要开启相应的防范功能)j. 源nat策略匹配(是否需要进行源地址转换,只是看,不动作)4. 剥离帧头部:二层头部解封装;
HCIE Security 防火墙转发流程及相关知识点 备考笔记(幕布)
tushanpeipei的博客
10-29 2382
图片文字版https://mubu.com/doc/3lgRmrz0R8A 内容参考华为Hedex文档,也有很多个人理解的地方,如有错误,欢迎指正。
Web应用安全:NmapFin扫描.pptx
06-18
【Web应用安全】Nmap Fin扫描是一种针对网络端口状态探测的高级技术,它主要涉及到TCP连接的关闭机制以及网络安全扫描策略。理解Nmap Fin扫描,我们首先要了解TCP的四次挥手过程,这是TCP连接正常关闭的基础。 **...
H3C NGFW防火墙——从域间策略到安全策略
01-08
H3C NGFW防火墙——从域间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
防火墙报文处理流程
11-15
华为防火墙报文处理流程,华为防火墙防火墙技术,网络安全
网络安全实验---Windows防火墙应用.docx
06-09
防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在...
s7-plus-pcaps.rar
11-11
描述 "工业互联网安全技术必备报文s7-plus数据包" 提醒我们这些报文对于理解工业互联网安全至关重要。在工业互联网中,设备之间的通信可能涉及敏感信息,如控制指令、生产数据等,因此确保这些通信的安全性是极其...
局域网协议-二层转发技术介绍.pdf
10-17
防火墙插卡移除Tag,处理报文(如执行安全策略),再次添加新的Tag后发送回交换机。交换机再根据新的Tag在相应的VLAN中转发报文。 总结来说,二层转发技术是局域网中的基础,确保了数据包能够在不同网络节点之间...
H3C防火墙-域间策略
MAsunshine的博客
10-19 6919
一. 域间策略概述 如图1-1所示,域间策略是一种基于安全域实现对报文流的检查,并根 据检查结果对报文实行相应动作的域间策略。一个安全域中,可以包 含多个成员。例如,可以将公司安全防护设备上连接到内网的接口作 为成员加入安全域 Trust,连接 Internet 的接口作为成员加入安全域 Untrust,这样管理员只需要部署这两个安全域之间的域间策略即可。 如果后续网络环境发生了变化,则只需要调整相关安全域内的接口, 而域间策略不需要修改。 二. 域间策略分类 域间策略包括:包过滤、AS
华为防火墙的数据报文转发原理
不定期分享一些自己的学习笔记
10-16 1391
华为防火墙的数据报文转发原理
四、防火墙转发原理
weixin_45761101的博客
05-04 5803
防火墙安全策略 定义: 安全策略:按一定规则转发流量,内容安全一体化检测 防火墙安全策略的原理 防火墙安全策略的核心作用是:根据规则对流量进行筛选,由动作来确定下一步操作。 NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 会话表项 每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为Key值,通过建立动态的会话表提供域间转发。 下一代防火墙会话表包括七个元素: 源IP地
ip网络中报文转发流程
09-17
IP网络中报文转发流程如下: 1. 源主机生成一个数据包,其中包含目的主机的IP地址、源IP地址、数据以及其他必要的信息。 2. 数据包从源主机发送到本地区域网络(LAN)的路由器。 3. 本地区域网络的路由器使用路由表来确定数据包的下一跳路径。路由表记录了不同网络的IP地址和相应的下一跳路由器的IP地址。 4. 路由器将数据包转发到下一跳路由器。它通过查找目的主机的IP地址和路由表中的最佳匹配来确定下一跳。 5. 数据包通过一系列的路由器跳转,每个路由器都根据其路由表将数据包转发到下一个路由器,直到到达目的主机所在的网络。 6. 当数据包到达目的网络的路由器时,它将被转发到目的主机。 7. 目的主机接收到数据包后,会检查目的IP地址,如果与自己的IP地址匹配,就提取出数据进行处理。如果不匹配,目的主机会丢弃该数据包。 总结起来,IP网络中报文转发流程是通过路由器将数据包从源主机转发到目的主机。路由器根据路由表中的地址匹配来决定下一跳路径,直到数据包到达目的主机所在的网络。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值