防火墙与VPN技术与实践总结
出处:《防火墙与VPN技术与实践》
第一章、安全策略
1.1安全基础知识
1. 安全策略组成
1. Who:谁发出的流量,即用户。可以指定用户的接入方式、用户使用的终端设备类型。
2. Where:流量的来源和目的。包括源/目的安全区域、源/目的IP(Internet Protocol,互联网协议)地址、源/目的地区和VLAN(Virtual Local Area Network,虚拟专用网)。
3. What:访问的服务、应用或者URL(Uniform Resource Locator,统一资源定位符)分类。
4. When:即时间段。在安全策略中指定时间段,可以控制安全策略的生效时间,进而根据时间指定不同的动作。
1. 以上条件,一旦写入一条配置,就必须全符合才认为匹配,”与“关系。
2. 如果一个匹配条件配置了多个值,多个值之间是“或”关系,只要匹配其中任意一个值,就认为匹配这个条件。
3. 一条策略中值越多越精细,使用五元组:**源/目的IP地址、源/目的端口、协议**
2. 动作
1. 允许和禁止,是否允许流量通过
允许:可以对符合此策略进行内容检查。
禁止:可以选择向服务器发送反馈报文。
3. 策略标识
1. 名称:用于唯一标识一条安全策略,不可重复。
2. 描述:用于记录安全策略的其他相关信息。例如,可以在这个字段记录触发此安全策略的申请流程序号。这样,在例行审计时可以快速了解安全策略的背景,比如什么时间引入此安全策略,谁提出的申请,其有效期为多久,等等。
3. 策略组:把相同目的的多条安全策略加入一个策略组中,从而简化管理。可以移动策略组,启用/禁用策略组等。
4. 标签:标签是安全策略的另一种标识方式,用户可以给一条安全策略添加多个标签,通过标签可以筛选出具有相同特征的策略。例如,用户可以根据安全策略适用的应用类型,添加高风险应用、公司应用等标签。在为安全策略设置标签时,建议使用固定的前缀,如用“SP_”代表安全策略,并用颜色区分不同的动作。这会使标签更容易理解。
51.1.2安全策略的配置方式
(sysname> system-view
[ sysname] security-policy
[ sysname-policy-security] rule name "Allow access to the Internet'
[ sysname-policy-security-rule-Allow access to the Internet] source-zone trust
[ sysname-policy-security-rule-Allow access to the Internet] destination zone untrust
[ sysname-policy-security-rule-Allow access to the Internet] source-address 192.168.1.0 mask 24
[ sysname-policy-security-rule-Allow access to the Internet] source-address 192.168.2.0 mask 24
[ sysname-policy-security-rule-Allow access to the Internet] service http https
[ sysname-policy-security-rule-Allow access to the Internet] action permit
[ sysname-policy-security-rule-Allow access to the Internet] quit Lsysname-policy-security
1.1.3状态检测与会话表
- 防火墙早期逐条检测,为了安全,必须配置双向策略,严重影响了防火墙的性能。为了解决这个问题,“状态检测防火墙”应运而生。我们仍以图1-4所示的组网为例,来看一下何谓“状态检测”。首先,我们还是要在防火墙上配置序号为1的安全策略,允许PC访问Web服务器,当PC访问Web服务器的报文到达防火墙时,防火墙检测安全策略,允许该报文通过。其次,防火墙为本次访问建立一个会话,会话中包含了本次访问的源/目的IP地址和源/目的端口等信息。会话是通信双方建立的连接在防火墙上的具体体现,代表双方的连接状态,一个会话就表示通信双方的一个连接。防火墙上多个会话的集合就是会话表(session table)。
查看绘话表
[sysname] display firewall session table
Current Total Sessions : 1
http VPN: public --> public 10.1.1. 10:2049-->10.1.2.10:80
💡 从上面的会话表中,我们可以清楚地看到,防火墙上有一条HTTP(Hypertext Transfer Protocol,超文本传送协议)会话,会话的源IP地址为10.1.1.10,源端口为2049,目的IP地址为10.1.2.10,目的端口为80。**源地址、源端口、目的地址、目的端口和协议这5个元素是会话的重要信息,**我们将这5个元素称为“五元组”。这5个元素相同的报文即可被认为属于同一条流,在防火墙上通过这5个元素就可以唯一确定一条连接。
当web服务回复给PC响应文件时,防火墙会把响应报文中的5元信息进行比对,比对正确,且符合HTTP规范,会直接允许通过,不再匹配绘话表转发。
**状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。**为数据流的第一个报文建立会话,数据流内的后续报文直接匹配会话转发,不需要再检查安全策略。这种机制极大地提升了安全性和防火墙的转发效率。
会话表详细信息
(sysname> display firewall session table verbose Current total sessions: 1
HTTP VPN: public --》 public ID: a387f35dc86d0ca3624361940b0 Zone: trust --> untrust Slot: 11 CPU: O TIL: 00:15:00 Left: 00:14:51
Recv Interface: XGigabitEthernet0/0/3 Rev Slot: 12 CPU: O
Interface: XGigabitEthernet0/0/4 NextHop: 10.1. 2. 1
<--packets: 30003 bytes: 4,488,438 --》 packets: 15098 bytes: 3,113,94810.1.1.10:2049 --> 10.1.2.10:80 PolicyName: Nol TCP State: fin-1
TTL:老化时间,长时间没有匹配,会话表会自动删除。 华为默认设置了老化时间ICMP 20秒 DNS 30秒
修改方法:firewall session aging-time service-set dns 20
“←”和“→”:报文的正/反方向字节数,可以协助定位网络故障,如果“→”出去有流量,“→”回来的流量为0,有可能防火墙丢弃了Web服务器服务器回应给PC的报文,或防火墙与web服务器之间存在网络故障。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
