HCIA Security 安全策略

安全策略

安全策略的组成条件
VLANID
安全区域
IP地址
用户
服务
应用
URL分类
时间段

安全策略的匹配方式

安全策略的匹配方式和ACL类似，同样是从上至下进行规则的匹配，如果有报文匹配到序号小的安全策略，那么后面即便有相符合的规则也不会去匹配

数据包进来后防火墙的处理流程

防火墙首先会观察该包是否为首包，如果为首包，那么会进行安全策略的匹配，如果匹配上的话，那么就会放行该报文并创建对应的状态化表项，从而后续的报文只要通过状态化表项就从防火墙上放行出去。

防火墙对待不同类型报文时的处理

UDP报文全部都当作首包看待，即每个udp报文都会创建对应的状态化表项

ICMP只有request报文才会创建对应的会话，如果一个防火墙直接接收到了reply报文，那么是会直接无视该报文

状态化表项的会话是具有超时时间的，在面对一些操作间隔时间比较长的应用，会话时间如果过短将会导致相关数据操作受其影响。所以我们在制定安全策略的时候就可以制定防火墙放行的该数据流的会话时长，或是可以将该流指定为长连接，长连接一般是以小时为单位。
服务--->服务：在这一项可以进行服务的自定义和会话时长的定义与查看

对象--->地址：创建地址对象，地址对象可以在安全策略的创建中被引用，地址对象还可以被地址组引用

对象--->服务组：可以自定义服务，也可以将现有的服务对象组合在一起作为一个服务组，这些对象可以在安全策略创建的时候进行调用

对象--->时间段：定义时间段

display firewall session table [verbose][protocol xxx] ：显示防火墙的会话，protocol指定对应的协议会话
监控--->会话表：显示会话表信息

监控--->流量日志--->高级查询（可以根据具体的筛选条件进行日志耳朵查询）

多信道协议

策略--->ASPF
ASPF的主要作用就是根据已经接收到的数据报文去推测后续的服务连接，从而可以自动地开放对应的应用策略，使得多信道协议不至于因为防火墙的存在而导致连接的失败。ASPF会根据接收到的报文的类型在Server-map中创建对应的表项，然后根据Server-map表项，防火墙会在状态会话中创建对应的会话，于是这些多信道协议就可以根据自动创建的状态化会话进行数据通信而不被默认的安全策略所阻挡。

display firewall server-map

FTP服务在防火墙安全策略下遇到的问题

我们知道FTP是一种多通道的协议，在通过三次握手后与21号端口建立控制通道，然后在控制通道的基础上再次建立数据通道。如果要进行身份验证，那么FTP的身份验证将会在控制通道建立后进行，我们在FTP客户端上面看到的相关的提示信息都是FTP服务器通过报文返送回来的。而且FTP数据每次数据连接都需要发送一个命令port或者pasv，表明本次传输的模式是主动模式还是被动模式，如果是主动模式，那么将会在发送port命令的同时将自己的动态端口号告诉服务器，如果是被动模式那么服务器会在发回pasv命令响应的时候将自己开放的动态端口进行回应。

主动模式的问题

如果是主动模式，那么是服务器端主动的进行数据连接，所以即便是内网的客户端主动地发起FTP的控制通道的连接，服务器端想要和客户端进行数据通道的连接也是不可能的，因为防火墙上根本没有对应的状态化表项，而且我们如果想要制定对应的规则去放行数据通道也是十分困难，因为客户端使用的是随机端口，同时服务器处于trust区域外，制定去往trust的安全策略显然是不允许的。

被动模式的问题

在没有ASPF的帮助下，客户端在被动模式下主动地向服务器进行数据通道的连接，除非安全策略并没有对内网用户使用的应用，服务进行限制，否则两个随机端口之间的数据通信是毫无疑问会被防火墙阻拦的。