第一章:基础知识
1.1 什么是防火墙
防火墙,顾名思义阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。这种隔离是高明的,隔离的是“火”的蔓延,其中的“火”指的是各种攻击,而又保证了“人”能穿墙通过,其中的“人”指的是通信报文。用通信的语言来定义是:防火墙主要用于保护一个网络免受来自另一个网路的攻击和入侵。因其隔离,防守的属性,防火墙灵活应用于
网络边界,
子网隔离等位置。
路由器与交换机的本质是
转发,防火墙的本质是
控制和防护。
1.2 防火墙的发展历史
包过滤 应用代理 状态检测 UTM NGFW
| | | | | | |
1989 ---------------------------1994 | 1995-------------2004 | 2005------------2009--->
| | | | | | | |
访问控制 ----- 代理技术 ------会话机制 专用设备-------多功能叠加 DPI技术---基于用户+应用+内容进行管制
1.3 总结
从防火墙发展的历史主要看到3个特点:
*第一点访问控制越来越精确。简单访问控制-->基于会话的访问控制-->下一代防火墙基于用户,应用和内容来进行访问控制。
*第二点防范内里越来越强。隔离功能-->入侵检测-->防病毒-->URL过滤-->应用程序控制-->邮件过滤
*第三点防火墙的处理性能越来越高。
1.4 安全区域
安全区域(Security Zone)简称为区域(Zone),它是一个或多个接口的集合,防火墙通过安全区域来划分网络,标示报文的流动路线。一般来说,当报文在不同的安全区域之间流动时才会受到控制。
1.5 报文在安全区域之间的流动
报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从高级别安全区域向低级别安全区域流动时为出方向(Outbound)。
防火墙如何判断报文在哪两个安全区域之间流动呢?首先,源安全区域很容易确定,防火墙从哪个接口接收报文,该接口所属的安全区域就是报文的源安全区域。
确定目的安全区域时分两种情况。三层模式下,防火墙通过查找路由表确定报文将要从哪个接口发出,该接口所属的安全区就是报文的目的安全区域;两层模式下,防火墙通过查找MAC地址转发表确定报文要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。源安全区域和目的安全区域确定后,就可以知道报文从哪两个安全区域之间流动了。
另外还有一种情况,在VPN场景中,防火墙收到的是封装的报文,将报文解封装后得到原始报文,然后还是通过查找路由表来确定目的安全区域,报文从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。
而源安全区域不能简单地根据收到的接口来确定,此时防火墙会采用“反向查找路由表”的方式来确定原始报文的源安全区域。具体来说,防火墙把原始报文中的源地址假设成是目的地址,然后通过查找路由表确定这个目的的地址的报文将要从哪个接口发出,该接口所属的安全区域是报文将要去往的安全区域。反过来说,报文也就是从该区域发出的,所以反查路由表得到的这个安全区域就是报文的源安全区域。
1.6 安全区域的配置
安全区域的建立主要包括创建安全区域以及将接口加入安全区域。除了物理接口可以加入安全区域,防火墙还支持逻辑接口,如子接口,VLANIF接口等,这些逻辑接口使用时也需要加入安全区域。
1.7 检测之包过滤防火墙
包过滤防火墙只是根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果。这就要求包过滤防火墙必须针对每一个方向上的报文都配置一条规则,转发效率低下而且容易带来安全风险。
Trust
UnTrust
PC----------------------------防火墙--------------------------Web服务器
192.168.0.1 172.16.0.1
防火墙要配置表下表的规则:
PC访问Web:1, 原地址192.168.0.1,源端口ANY,目的地址172.16.0.1,端口号80,动作允许动过