一、关于防火墙问题
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或数据包)的设备
-
状态防火墙工作原理?
状态防火墙 — 会话追踪技术 — 三层,四层 --是一种能够提供状态封包检查或状态检视功能的防火墙
在包过滤(ACL表)的基础上增加了一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。后续包将直接通过查看会话表中创建的表项进行状态检测,如果匹配就进行转发。
- 首包机制
- 细颗粒度
- 速度快
-
防火墙如何处理双通道协议?
双通道协议指控制层流量和数据层流量不在同一个端口,比如FTP的主动模式,登录使用21端口,然后沟通一个随机端口进行数据传输,在状态防火墙中,无法得知协议沟通得到的端口,所以无法放行数据层的流量。
这就需要另一个协议ASPF(应用层报文过滤)登场,该协议可以读取指定协议的协商端口的报文,并将协商出的端口加入server-map表,用来放行流量,相当于创建了一条临时的安全策略。
ASPF(针对应用层的包过滤):也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过 检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据 通道的报文,相当于自动创建了一条精细的“安全策略”。
ASPF对多通道协议的支持:创建Server-map→匹配Server-map(存在时间很短)
-
防火墙如何处理nat?
华为防火墙收到报文后,查找NAT Server生成的Server-Map表,如果报文匹配到Server-Map表,则根据表项转换报文的目的地址,然后进行步骤4处理,如果报文没有匹配到Server-Map表,则进行步骤2处理
查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行步骤4处理,如果报文不符合基于ACL的目的NAT的匹配条件,则进行步骤3处理
查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理,如果报文不符合目的NAT的匹配条件,则直接进行路由处理
根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤5处理,如果没有找到路由,则丢弃报文 查找安全策略,如果安全策略允许报文通过且之前并未匹配过NAT策略(目的NAT或者双向NAT),则进行步骤6处理,如果安全策略允许报文通过且之前匹配过双向NAT,则直接进行源地址转换,然后创建会话并进入步骤7处理,如果安全策略允许报文通过且之前匹配过目的NAT,则直接创建会话,然后进行步骤7处理,如果安全策略不允许报文通过,则丢弃报文
查找NAT策略中源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话,如果报文不符合源NAT的匹配条件,则直接创建会话
华为防火墙发送报文
-
你知道那些防火墙?以及防火墙的技术分类?
包过滤防火墙—访问控制列表技术—三层技术
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
- 代理技术只能针对特定的应用来实现,应用间不能通用。
- 技术复杂,速度慢
- 能防御应用层威胁,内容威胁
UTM—深度包检查技术—应用层
把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。
- 把原来分散的设备进行统一管理,有利于节约资金和学习成本
- 统一有利于各设备之间协作。
- 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
下一代防火墙
是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
二、防火墙演示实验
1,搭建拓扑图
2,打开防火墙
修改防火墙g0/0/0接口地址,用于登入
ip address 192.168.10.2 255.255.255.0
service-manage all permit
用浏览器登入
3,在R2上启动vlan并配置虚拟地址
4,静态路由
防火墙:
5,配置防火墙区域以及接口
6,防火墙策略
NAT策略
服务器策略
7,ASPF设置