防火墙
1. 防火墙基本概念
1.1 防火墙的功能
硬件防火墙是将各种技术融合在一起,采用专用的硬件架构,高速cpu,使用各种高速接口,从而保护我们的私有网络的安全。防火墙适应各种场合。用户可以根据自己的需求配置防火墙,是几个网络的监控质检,所以的流量都要通过防火墙,可以保护内网安全,可以保护主机的安全,在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
(什么是通信包?:数据包的结构非常复杂,不是三言两语能够说清的,在这里主要了解一下它的关键构成就可以了,这对于理解TCP/IP协议的通信原理是非常重要的。数据包主要由“目的IP地址”、“源IP地址”、“净载数据”等部分构成,包括包头和包体,包头是固定长度,包体的长度不定,各字段长度固定,双方的请求数据包和应答数据包的包头结构是一致的,不同的是包体的定义。 数据包的结构与我们平常写信非常类似,目的IP地址是说明这个数据包是要发给谁的,相当于收信人地址;源IP地址是说明这个数据包是发自哪里的,相当于发信人地址;而净载数据相当于信件的内容。 正是因为数据包具有这样的结构,安装了TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时,网络中其实传递的就是数据包。理解数据包,对于网络管理的网络安全具有至关重要的意义。)
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
1.2 防护墙的特征
-
逻辑区域过滤器
-
隐藏内网网络结构
-
自身安全保障
-
主动防御攻击
1.3 防火墙的分类
根据访问控制方式主要可以分为三类:包过滤,代理,状态检测防火墙
包过滤防火墙
原理
对每一个数据包进行检查,根据配置的安全策略进行转发或丢弃数据包,包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
优点
由于防火墙只是工作在OSI的第三层(网络层)和第四层传输层,因此包过滤的防火墙的一个非常明显的优势就是速度,这是因为防火墙只是去检查数据报的报头,而对数据报所携带的内容没有任何形势的检查,因此速度非常快
缺点
1)由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放,即使通过防火墙的数据报有攻击性,也无法进行控制和阻断。例如在一个简单的Web服务器,而包过滤的防火墙无法对数据报内容进行核查。因此,未打相应补丁的提供Web服务的系统,及时在防火墙的屏蔽之后,也会被攻击着轻易获取超级用户的权限。
(2)由于此种类型的防火墙工作在较低层次,防火墙本身所能接触的信息较少,所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么,防火墙不会理会,而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员,一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪,这在发生安全事件时给管理员的安全审计带来很大的困难。
(3)所有可能用到的端口(尤其是大于1024的端口)都必须开放,对外界暴露,从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑,否则会产生意想不到的情况。然而我们知道,当被防火墙保护的设备与外界通信时,绝大多数应用要求发出请求的系统本身提供一个端口,用来接收外界返回的数据包,而且这个端口一般是在1024到65536之间不确定的,如果不开放这些端口,通信将无法完成,这样就需要开放1024以上的全部端口,允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如:用户网中有一台UNIX服务器,对内部用户开放了RPC服务,而这个服务是用在高端口的,那么这台服务器非常容易遭到基于RPC应用的攻击。
(4)如果网络结构比较复杂,那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时,在路由器上配置访问控制规则将会非常繁琐,在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。
代理防火墙
代理防火墙通过也叫应用层网关(Appliaction Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用,这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。
-
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。
-
其缺点主要表现在:
软件实现限制了处理速度,易于遭受拒绝服务攻击;
需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
状态检测防火墙
状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时,不仅将每个数据包看成是独立单元,还要考虑前后报文关联性。
基本原理简述如下:
- 状态检测防火墙使用会话表来追踪TCP会话和UDP伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。
- 状态检测防火墙在网络层截获数据包,从应用层提取出安全策略所需要的状态信息,保存到会话表中,通过分析会话表和数据包有关的后续连接请求做出决定。
- 状态检测防火墙具有以下优点:
- 后续数据包处理性能优异:状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。检查通过后,会话表将被刷新,会话表里的记录可以随意排列。
- 安全性较高:连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭。
2. 华为的防火墙组网方式
三层模式
方式一(左边这幅图)
防火墙只进行报文转发,不能进行路由寻址,与防火墙相连两个业务网络必须在同一个网段中。此时防火墙上下行接口均工作在二层,接口无IP地址。
防火墙此组网方式可以避免改变拓扑结构造成的麻烦,只需在网络中像放置网桥一样串入防火墙即可,无需修改任何已有的配置。IP报文同样会经过相关的过滤检查,内部网络用户依旧受到防火墙的保护。
方式二(右边这幅图)
防火墙位于内部网络和外部网络之间,需要分别配置成不同网段的ip地址,防火墙负责内部网络和外部网络进行路由寻址,那么此时它相当于路由器,这种组网方式它支持更多的安全特性,比如ant和utm等功能。但需要修改我们的网络拓扑,比如说在内网用户需要更改网关的时候呢,或者路由器需要更改路由配置,因此在设计网络的时候呢,我们需要综合考虑到改造业务中的问题。
3. 防火墙安全区域
3.1 安全区域介绍
防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Juniper等)都是有这个概念的。
3.2 什么是安全区域呢?
安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。
管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策略的统一管理。
讲安全区域前讲我们先了解一个术语,安全级别(Security Level),在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。安全级别是唯一的
对于默认的安全区域,它们的安全级别是固定的:Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。
华为防火墙默认预定义了四个固定的安全区域,分别为:
-
**Trust:**该区域内网络的受信任程度高,通常用来定义内部用户所在的网络
-
**Untrust:**该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
-
**DMZ(Demilitarized非军事区)😗*该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。中间区,
(说明:DMZ这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。)
- **Local:**防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。
(注意:默认的安全区域无需创建,也不能删除,同时安全级别也不能重新配置。USG防火墙最多支持32个安全区域)
Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。
安全区域分析,如下图:
从图中我们可以看出防火墙1号接口和2号接口联接到两个不同的运营商,它们属于同一个安全区域Untrust, 防火墙3号接口属于Trust安全区域,防火墙4号接口属于DMZ安全区域。
当内部用户访问互联网时,源区域是Trust,目的区域是Untrust;当互联网用户访问DMZ服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,源区域是Untrust,目的区域是Local;当防火墙向DMZ服务器发起ICMP流量时,源区域是Local,目的区域是DMZ。
3.3 安全区域有什么用?
安全区域不是物理存在的,只是一个逻辑概念,我们把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络,在不同的安全区域中数据的进出需要进行检查,不同的安全区域如果你要通的话你就要做安全策略
- 低优先级别—>高优先级别就是inbound,高优先级别---->低优先级别就是outbound,不同的配置写的安全策略都不一样
4.华为防火墙安全策略
4.1 安全策略配置是什么?
- 就是你决定让某个程序或端口去访问网络或允许网络上来联接某个程序或端口!也就是你来给它们定个规则!
4.2 安全策略有什么用?
-
域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行 IPS、AV、Web 过滤、应用控制等进一步的应用层检测的作用。域间或域内安全策略是包过滤、UTM 应用层检测等多种安全检查同时实施的一体化策略。
-
应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于 IP、MAC 地址等二、三层报文属性直接允许或拒绝报文通过。
-
不同安全级别的区域是互不相通的,你需要编写安全策略来指定它们需要如何交流,
比如你老板不希望你在公司用公司的网络访问去哪个网站摸鱼,他就可以写配置阻隔你的访问
4.3 如何配置安全策略
- 编写安全策略
4.3 安全策略流程
4.4 安全策略应用
防止摸鱼 - -
5. NAT概述和源NAT
5.1 NAT是什么?有啥用?
5.2NAT的优点和缺点
5.3 NAT的基本原理
名词解释
**公有IP地址:**也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址。
**私有IP地址:**也叫内部地址,属于非注册地址,专门为组织机构内部使用。因特网分配编号委员会(IANA)保留了3块IP地址做为私有IP地址:
10.0.0.0 ——— 10.255.255.255
172.16.0.0——— 172.31.255.255
192.168.0.0——— 192.168.255.255
**地址池:**地址池是有一些外部地址(全球唯一的IP地址)组合而成,我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换到达外部网络时,将会在地址池中选择某个IP地址作为数据包的源IP地址,这样可以有效的利用用户的外部地址,提高访问外部网络的能力。
关于NAT
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术,如下图所示。因此我们可以认为,NAT在一定程度上,能够有效的解决公网地址不足的问题。
简单地说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法,可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在。如下图所示。这里提到的内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由转发。
NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能,网络管理员只需在路由器的IOS中设置NAT功能,就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11,外部访问202.96.23.11地址实际上就是访问访问 192.168.1.1。此外,对于资金有限的小型企业来说,现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。
网络地址转换原理
源NAT地址池方式
- 不带端口的地址池方式
- 带端口的地址池方式
利用端口来区分,报文数据回来的时候应该转发给哪个内网地址。将不同的内部地址映射到同一个公网的不同端口号上,实现多对一的地址转换关系
6. NAT-Server和应用场景
NAT server是什么?
nat server主要应用于实现私网服务器以公网IP地址对外提供服务的场景。nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
NAT有什么用?
nat server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat还会自动将回应报文的源地址(私网地址)转换成公网地址。
如何配置NAT
解决内网问题的nat穿透方法有哪些?
许多程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行。问题就在于nat,本文就将介绍下5大nat穿透方法,解决内外网的互访问题。
1.完全锥形(Full Cone)nat
处于不同内网的主机A和主机B,各自先连接服务器,从而在各自nat设备上打开了一个“孔”,服务器收到主机A和主机B的连接后,知道A与B的公网地址和nat分配给它们的端口号,然后把这些nat地址与端口号告诉A与B,由于在完全锥形nat的特点,A和B给服务器所打开的“孔”,能给别的任何的主机使用。故A与B可连接对方的公网地址和端口直接进行通信。服务器在这里充当“介绍人”,告诉A与B对方的地址和端口号。
2.受限制锥形(Restricted Cone)nat
A和B还是要先连接服务器,服务器发送A和B的地址和端口信息给A和B,但由于受限制锥形nat的特点,他们所打开的“孔”,只能与服务器通信。要使他们可以直接通信,解决办法如下:
假如主机A开始发送一个UDP信息到主机B的公网地址上,与此同时,它又通过服务器中转发送了一个邀请信息给主机B,请求主机B也给主机A发送一个UDP信息到主机A的公网地址上。这时主机A向主机B的公网IP发送的信息导致nat A打开一个处于主机A的和主机B之间的会话,与此同时,nat B也打开了一个处于主机B和主机A的会话。一旦这个新的UDP会话各自向对方打开了,主机A和主机B之间就可以直接通信了。
3.端口受限制锥形(Port Restricted Cone)nat
对于该类型的nat,解决办法跟上面的方法一样。
花生壳DDNS是将用户的动态IP 地址映射到一个固定的域名上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP 地址传送给位于服务商主机上的服务器程序,服务项目器程序负责提供 DNS 服务并实现动态域名解析。DDNS 的主要作用就是捕获用户每次变化的 IP 地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来与用户交流了。
花生壳端口映射软件自带端口映射功能,可以帮助用户解决各种网络需求,同时还能帮助用户实现内网穿透,即便用户处于复杂的网络环境中,花生壳也能正常解析域名。
双向NAT技术
目的NAT和源NAT
1、不同的应用场景
源nat(通常称为nat):用于局域网和多个公共IP的情况。
目的nat(通常称为端口映射):它用于局域网中设置外部服务(Web服务)。公共IP可以提供n(端口号)服务。
2、不同的转换路径
源NAT:从专用网到公网的转换(专用网访问公网,目的IP不变,只转换源IP)。
目的NAT:公网到专网的转换(公网访问专网时源地址不变,只转换目的IP),也称端口映射。
3、不同的功能
源NAT是将intranet主机的IP转换成网关的Internet IP,使intranet主机能够访问Internet。
NAT的目的是将网关的Internet端口映射到网关NAT服务器上的intranet IP。
扫一扫
880
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
