1. 什么是防火墙?
它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
2. 状态防火墙工作原理?
在包过滤的基础上, ACL表 的基础上加上一个 会话表,数据包查看会话表来实现匹配(匹配状态)
3. 防火墙如何处理双通道协议?
通过ASFP 技术,抓取应用层协议双方协商的报文中,获取两边使用的端口号,记录在server-map 表当中
4. 防火墙如何处理nat?
对源地址转换的nat ,在防火墙上面写对源IP地址的策略
对服务器映射的nat 在防火墙上面写对 服务器转换后的IP地址的策略
5. 你知道那些防火墙?以及防火墙的技术分类?
防火墙分类
第一代防火墙:包过滤防火墙
属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制列表。访问控制列表也可以称为安全策略(简称策略)或安全规则(简称规则)。类似于进站检票的做法,符合要求(车票和身份证无误)才能进站,每个人都需要检查,多于进进出出,团队出行的情况非常不友好,效率低,安全性不高。
包过滤防火墙的缺点
随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势;
静态的ACL 规则难以适应动态的安全要求;
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。
攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易
地通过报文过滤器。
第二代防火墙:代理防火墙
第二代防火墙,不再根据IP首部和 TCP首部进行过滤,而是在传输层上进行连接中继(第四层代理),具体通过 SOCKS协议实现。
原理是:代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:软件实现限制了处理速度,易于遭受拒绝服务攻击;需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
第三代防火墙:状态防火墙
1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,不再是单包检查,以会话为单位通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。通信中的包实际上并不是孤立的,更多的情况下包是可以用会话来分类,比如访问百度,开始是三次握手,然后请求内容并回应,最后4次断开,这些包是有上下文联系的属于一个会话。
基本原理简述如下:
状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。
状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。
检测TCP的连接状态阻挡来路不明的分组,使用状态分组检测能够有效抵抗下面这些类型的攻击:
伪装IP地址或者端口,发送附带TCP的 RST或 FIN标志位的分组,随意中止正常通信的攻击
在允许通信的范围内发送附带TCP 的 ACK标志位的分组,从而入侵内部网络
在FTP通信时,无论是否建立控制连接,都会创建数据连接进而入侵内部网络
第四代防火墙:UTM防火墙
第三代防火墙出现之后网络安全迎来了百花齐放的时代,陆续出现了各种各样针对不同场景的安全设备:
入侵检测系统(IDS)
根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头,传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情
入侵防御系统(IPS)
根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通。IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御。
防病毒网关(AV)
防止病毒文件通过外网络进入到内网环境
Web应用防火墙(WAF
防止基于应用层的攻击影响Web应用系统以上的各种专用安全设备的出现极大的丰富了安全防御的手段,但是也造成了新的问题
第五代防火墙:下一代防火墙
2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
1. 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
态检测、NAT、VPN等。
2. IPS 与防火墙的深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。防火墙的安全区域防火墙中有一个重要的概念安全区域,将防火墙上物理或者逻辑接口分配到不同的安全区域中,防火墙通过安全区域来划分网络,同一个区域内报文可以通信,但是跨区域的流量必须策略允许才行。
实验
首先按图搭建拓扑结构,并启动设备
启动设备后 里面的USG6000V的初始用户名为 admin 密码Admin@123
后我们要让防火墙的g0/0/0 口的网段 和云的e0/0/1 口的网段一直 才能互通
所以 我们这里修改g0/0/0 口的IP地址 这里云的E0/0/1 的IP 地址为
修改后的G0/0/0 接口的IP地址
进入G0/0/0接口 开启防火墙的所有管理协议
打开浏览器 输入防火墙的IP地址 192.168.219.2
输入用户 密码 进入配置页面
现在要对区域进行划分,进入安全区域 我们可以看到默认有四个安全区域、
新建区域
把接口划分到区域内
进入sw2 划分vlan
将接口划入对应的VLAN 当中
G0/0/1
G0/0/3
G0/0/2
配置vlanif IP地址
配置服务器的IP地址和网关
配置R1路由器
给防火墙的每一个接口配上对应的IP地址
在策略里面动作改为允许 默认是禁止的
在R2上面的e0/0/0 配上 IP地址
并写一条缺省指向 172.16.2.1 网关
R1上面写一条 缺省指向100.1.1.1 这个网关
Sw2 写一条缺省指向 172.16.1.1 这个网关
用R2 ping 一下 R1
能ping 通后 关闭防火墙的策略
在防火墙里面写一条策略 允许trust 里面的用户 去往外网
再测试一下
模拟情景1
1.外网有个客户端要访问服务器
在原来的拓扑结构上面加一台客户端
IP地址给的是100.1.1.3
写策略
用客户端 测试
成功
这时候会话表里面有条HTTP的记录
模拟情景2
外网要通过FTP协议 连接FTP服务器 进行文件传输
启动FTP服务器
写策略
在c1客户端上面配上IP地址和FTP客户端的信息 并登录
这里客户端的IP地址是172.16.3.2 /24
用客户端下载一下文件
因为ftp 下载文件用的是另外一个通道 会话表不记录 ,在server-map 表里面有记录另一个下载端口的信息
将防火墙上面的ASPF配置里面的ftp取消掉
用客户端重新登录ftp服务器 则看不到文件显示内容,说明该流量走的是数据通道
模拟情景3
访问互联网
在防火墙里面做nat 策略
将R1 上面的缺省删掉 测试一下nat 策略有没有成功
用R2 ping 一下 R1 nat 转换成功
用抓包验证 转换成功
设置一个服务器映射策略
查看防火墙的server-map表 里面有个映射关系
用c2 客户端测试 访问 100.1.1.5
1872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
