计算机网络-防火墙工作原理与安全策略

最新推荐文章于 2024-04-24 11:34:54 发布
最新推荐文章于 2024-04-24 11:34:54 发布
阅读量1.1k 收藏 23
点赞数 13
分类专栏: 一个菜鸟网工 文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43483442/article/details/136223126
版权

一、防火墙基本工作原理

防火墙将连接到自身的端口和网络划分到不同区域,通过设置不同区域间的安全策略进行流量的转发与过滤。

防火墙工作原理概述
防火墙工作原理概述

二、安全区域

安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。

一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。防火墙接口属于Local区域,优先级100,代表防火墙本身。

安全区域
安全区域

2.1 默认安全区域

华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域。安全区域有以下特性:

  • 默认的安全区域不能删除,也不允许修改安全优先级。
  • 每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。
  • 用户可根据自己的需求创建自定义的Zone。
  • 安全区域优先级全局唯一,不能重复。
区域名称默认安全优先级
非受信区域(untrust)低安全级别区域,优先级为5。
非军事化区域(dmz)中等安全级别区域,优先级为50。
受信区域(trust)较高安全级别区域,优先级为85。
本地区域(local)Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。

防火墙默认安全区域均为小写字母,且大小写敏感,包括:

  • 非受信区域(untrust):通常用于定义Internet等不安全的网络。
  • 非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。
  • 受信区域(trust):通常用于定义内网终端用户所在区域。
  • 本地区域(local): local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。由于local区域的特殊性, 在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。

2.2 区域访问

分为区域内访问和区域间访问。

区域内访问:源和目的地址在Trust区域内。防火墙相同安全区域间流量默认放行。可以通过default packet-filter intrazone enable这个命令检测相同区域的接口流量互访。简单来说就是防火墙多个接口都属于同一个区域,这些接口下的网络通信默认放行,可以通过命令设置。

区域间访问:跨域了不同的区域,经过防火墙,需要匹配相应的安全策略才允许或者拒绝。

示例:ospf不同区域经过防火墙时停留在exstart状态,无法建立full状态。

由于这些属于Local本身发起的流量默认开启了协议策略。可以通过undo firewall packet-filter basic-protocal enable关闭基本协议策略即可。

区域间访问
区域间访问

三、安全策略

安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。

当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。

安全策略
安全策略

安全策略的组成:

安全策略的组成有匹配条件、动作和安全配置文件(可选),安全配置文件可以实现内容安全检测。

安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。

安全策略内容组成
安全策略内容组成

如果动作为允许,执行如下操作:

  • 如果没有配置内容安全检测,则允许流量通过。
  • 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。

如果动作为拒绝,执行如下操作:

  • 表示拒绝符合条件的流量通过。

安全策略匹配顺序:

当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。

安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略。

系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。如果所有配置的策略都未匹配,则将匹配缺省安全策略default。

策略匹配顺序
策略匹配顺序 
RULE ID  RULE NAME                         STATE      ACTION       HITS        
-------------------------------------------------------------------------------
0        default                           enable     deny         0           
-------------------------------------------------------------------------------

防火墙端口管理策略:

service-manage命令用来允许或拒绝管理员通过HTTP、HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备。缺省情况下,接口开启了访问控制管理功能。仅有管理接口下 HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。

service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }

这个用于不同区域访问防火墙接口的安全设置。简单讲就是这个端口管理策略是针对防火墙的管理的,而不是区域间数据访问。

四、防火墙策略配置

步骤:

  1. 配置防火墙安全区域
  2. 接口加入对应的区域
  3. 配置安全策略
  4. 接口管理策略
  5. 验证 
# 创建接口/进入接口视图
[Huawei] interface interface-type interface-number

# 配置接口允许通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }

# 创建安全区域
[Huawei] firewall zone name zone-name [ id id ]  

# 设置安全区域优先级
[Huawei-zone-name] set priority security-priority

# 添加接口到安全区域
[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }

# 进入安全策略视图,安全策略规则的创建、复制、移动和重命名都在此视图下完成。
[Huawei] security-policy

# (安全策略视图)创建规则
[Huawei-policy-security] rule name rule-name

# (安全策略规则视图)配置安全策略规则的源安全区域
# 命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。
[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }

# (安全策略规则视图)配置安全策略规则的目的安全区域
[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }

# (安全策略规则视图)配置安全策略规则的源IP地址
[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address} 

# (安全策略规则视图)配置安全策略规则的目的IP地址
[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address} 

# (安全策略规则视图)配置服务
# service命令用来配置服务,例如service protocol命令用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议。
[Huawei] service { service-name &<1-6> | any }

# (安全策略规则视图)配置安全策略规则的动作
[Huawei] action { permit | deny }

五、会话表

会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。

防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。

会话表项
会话表项
会话表匹配
会话表匹配

防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。

但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如:

  • 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。
  • 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。

此时如果其会话表项被删除,则该业务会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题。

总结:今天简单学习下防火墙的基本概念与简单配置。防火墙是基于安全域进行策略控制的,默认有Local、Trust、Untrust、DMZ区域。流量的转发有区域内和区域间,通过安全策略进行控制,安全策略匹配五元组、时间、用户等条件,匹配完成后进行允许或拒绝的动作,以此实现流量过滤。如果需要对防火墙本身进行管理如Web登录、ping等需要设置端口策略。防火墙基于会话表进行报文转发,每一个初始会话会生成表项,后续进行匹配转发。

如果对文章感兴趣欢迎微信搜索公众号:不喜欢热闹的孩子 不喜欢热闹的孩子

本文由 mdnice 多平台发布

不喜欢热闹的孩子
关注
  • 13
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为数通-防火墙IP、区域、域间策略配置
彪哥.TOP的博客
04-04 441
DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务所在的网络。Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。只要我们写一条拒绝untrust的IP:20.20.20.0/24到dmz区域的流量即可。规划如图:红色区域是Untrust、绿色区域是Trust、黄色区域是DMZ。Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。默认是安全等级高的区域可以访问等级低的区域。外网:即untrust区域。
防火墙安全策略
qq_57289939的博客
03-17 4527
目录防火墙安全策略实验图 1.配置防火墙图形界面 先添加UDP端口 添加网段网卡 启动防火墙FW1 查找防火墙 0/0/0 端口默认的IP地址 将地址与回环端口的地址改为同一网段 放行策略,RTPS协议 测试 输入图形化界面的访问地址 登陆刚才设置的用户名以及密码 2.配置untrust区域 点击网络,进入接口 配置GE1/0/0接口
防火墙技术基础篇:认识安全策略安全区域、域间转发及报文转发流程
最新发布
qq_39241682的博客
04-24 909
简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
防火墙区域配置
weixin_46516401的博客
03-31 604
什么是防火墙防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
防火墙的原理和配置
lwljh134的博客
03-18 1199
防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 11.1防火墙概述 11.1.1 防火墙发展历程 纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。 防火墙从包过滤防火墙发展
华为HCIE安全实验 | 配置Local安全策略
COCO_gsta的博客
06-30 421
网络拓扑 关键配置及验证 OKLABFW配置本地转发策略 policy interzone local untrust inbound policy 0 action permit policy service service-set icmp policy source 202.100.1.0 mask 24 验证Outside可以ping通untrust接口 <Outside>ping 202.100.1.10 PING 202.100.1.10: 5
SRX防火墙策略控制域名访问
10-15
SRX防火墙策略控制域名访问,实现基于url的数据包过滤
区域策略防火墙
weixin_30788619的博客
05-29 306
防火墙配置作业 拓扑 我的学号为201610110045,所以是45 路由器 接口 Ip地址 R1 F0/0 10.45.1.1 R3 F0/0 10.45.1.2 F0/1 10.45.2.1 R4 F...
防火墙策略管理
weixin_30814223的博客
10-29 640
基础 系统服务:firewalld 管理工具(6和7存在差异):firewall-com(命令模式),firewall-config(图形界面) 查看防火墙状态:systemctl status firewalld      [root@www file]# systemctl status firewalld ● firewalld.service - firewalld - ...
防火墙安全策略之URL过滤与域名组
zljszn的博客
12-14 2750
定义URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理目的员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1413
H3C的防火墙必须把接口加到域里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 域。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙的域(zone) 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
网络安全---NS-CH12-防火墙.pptx
06-09
防火墙(firewall)是位于两个(或多个)网络间实施网间访问控制的组件的集合 满足以下条件: 内网和外网的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身对渗透(penetration)是免疫...
网络安全实验---Windows防火墙应用.docx
06-09
防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在...
防火墙与网络安全.pptx
06-10
1 控制在计算机网络中,不同信任程度区域间传送的数据流 2 网络安全的屏障 3 强化网络安全策略 4 防止内部信息的外泄 防火墙的功能 5 监控网络存取和访问 防火墙与网络安全全文共23页,当前为第7页。 防火墙的功能 ...
防火墙与网络安全(1).pptx
06-10
防火墙与网络安全 主要内容: 防火墙概念 防火墙功能 防火墙分类 防火墙设计 防火墙产品介绍 §1.1 防火墙概念 网络防火墙是指隔离在内网与外网之间的一道防御系统,防火墙可以监控进出网络的通信信息,仅让安全、...
计算机网络安全分析与防范技术
12-23
计算机网络的发展, 加快了企业和社会信息化程度, 同时也带来了许多网络安全问题, 本文全面分析了计算机网络中存在的不安全因素, 并针对不安全因素提出了相应的安全策略, 着重介绍了防火墙技术在安全防范中的原理.
华为网络----防火墙理论+NAT策略理论与实验
weixin_45726050的博客
02-25 2120
文章目录前言:一、防火墙简介1.1 华为防火墙工作模式1.2 华为防火墙安全区域1.3 华为防火墙的inbound和outbound1.4 华为防火墙安全策略二、NAT概述2.1 NAT分类三、黑洞路由3.1 黑洞路由的产生3.2 黑洞路由应用场景3.3 黑洞路由配置命令四、Server-map表4.1 Server-map表简介4.2 Server-map和会话表的区别4.3 server-ma...
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 4501
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
防火墙NAT的基本概念和工作原理
05-26
防火墙和NAT都是网络安全中常用的技术,它们的基本概念和工作原理如下: 防火墙防火墙是一种网络安全设备,用于控制网络流量并保护网络免受未经授权的访问。防火墙可以根据预定义的规则或策略来过滤网络流量,从而允许或阻止特定类型的流量通过网络。防火墙通常位于网络的边缘,如网络边界、路由器或交换机等位置,以保护内部网络免受来自外部网络的攻击。 NAT: NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术。在一个拥有多个计算机的局域网中,每台计算机都有一个唯一的私有IP地址,但是当这些计算机需要访问公共互联网时,它们必须使用公共IP地址。这时,NAT技术就会将所有出站IP数据包的源IP地址替换为NAT设备的公共IP地址,从而实现局域网内计算机的访问公共互联网。 防火墙和NAT的工作原理防火墙工作原理是通过检查网络流量,判断流量是否符合预定义的规则或策略,从而允许或阻止流量通过网络。防火墙可以对流量进行过滤、转发、重定向或丢弃等操作,以满足不同安全需求。 NAT的工作原理是将私有IP地址映射到公共IP地址,从而实现局域网内计算机的访问公共互联网。NAT设备会记录每个内部IP地址与外部IP地址之间的映射关系,并根据这些映射关系对IP数据包进行转换。NAT技术可以实现端口映射、地址转换、多重NAT等功能,以满足不同的网络需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不喜欢热闹的孩子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值