防火墙知识学习(一)
基础知识篇
安全区域
- 安全区域(Security Zone): 是一个或多个接口的集合,是防火墙区别于路由器的主要特性。华为防火墙默认提供三个安全区域,分别是Trust(85)、DMZ(50)、Untrust(5),还有一个防火墙本身Local(100)区域
- 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound ),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。
- 防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。
基于会话的状态检测
- 状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。
- 会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的一个连接。
安全策略篇
- 对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需
要额外的策略。 - 对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。
- 实现包过滤的核心技术是访问控制列表 ACL。
- NGFW 的安全策略应用在全局,安全区域与 IP 地址等一样只是作为可选的匹配条件。
- ASPF(Application Specific Packet Filter): 是针对应用层的包过滤,其原理是检测通过设备的报文的应用层协议信息,记录临时协商的数据连接,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。下图Server1为FTP服务器,演示了ASPF
攻击防范篇
单包攻击
- Ping of Death
- 防火墙在处理 Ping of Death 攻击报文时,是通过判定数据包的大小是否大于 65535 字节,如果数据包大于 65535 字节,则判定为攻击报文,直接丢弃。
- Land 攻击
- Land 攻击是指攻击者向受害者发送伪造的 TCP 报文,此 TCP 报文的源地址和目的地址同为受害者的 IP 地址。这将导致受害者向它自己的地址发送回应报文,从而造成资源的消耗。
- 防火墙在处理Land攻击报文时,通过检查TCP报文的源地址和目的地址是否相同