防火墙
- 定义
- 在安全需求不同的网络区域之间,通过即定原则对网络通信强度实施访问控制的安全设备
- 目的
- 隔离外网和内网,以保护网络的安全性
- 功能
- 路由,交换
- 与路由器,交换机区别
- 防火墙本质:控制,部署在网络边界,对进出的网络进行控制,核心特性:安全防护
- 交换机本质:转发。交换机通过二层/三层交换机快速转发报文
- 路由器本质:转发。连接不同的网络,保障互联互通,确保将报文发到目的地
- 与路由器,交换机区别
- 基本功能
- 隔离
- 访问控制
- 其他功能
- 基础组网和防护功能
- 记录监控网络存取和访问
- 限定内部用户访问特殊站点
- 限制暴露用户点
- 网络地址转换(nat技术)
- 产生原因
- ipv4地址逐渐枯竭
- ipv6技术不能立即大面积替换
- 各种延长IPv4寿命的技术不断出现,NAT就是其中之一
- 目的
- 实现大量私网地址对少量公网地址的转换,保障通信在基础上节约IP地址资源
- 私网地址不能在公网中路由,否则将导致通信混乱
- 对IP报文头中的源地址或目的地址进行转换,使大量私网IP地址通过共享少量的公网IP来访问公网
- 实现大量私网地址对少量公网地址的转换,保障通信在基础上节约IP地址资源
- 分类
- 基于源IP地址
- 转换的方向
- Inbound (低到高) Outbound(高到低)
- 端口是否转换
- No-Pat
- 用于一对一的IP地址转换,端口不进行转换
- 局限性
- 如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
- No-Pat
- NAPT
- 源端口和源IP都转换,不同的内部地址映射到同一共有地址的不同端口上,多对一转换
- 转换的方向
- 基于源IP地址
- 内网→外网,放行T到U的流量
- EASY-IP
- 利用出接口的公网地址作为nat转换后的地址
- 产生原因
- 基于目的IP地址
- NAT sever
- 使用一个公网地址来代表内部服务器对外地址
- 外网→内网,放行U到T的HTTP流量
- 使用一个公网地址来代表内部服务器对外地址
- 目的NAT
- 使设备自动将终端发往错误wap网关地址的报文自动转发给正确的wap网关
- no-reverse参数
- 配置参数no-reverse后,设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。
- 不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。
- NAT sever
- 双向NAT技术
- 分类
- NAT server+NAT Inbound(域间双向nat)
- U到T
- NAT server+域内NAT
- U到T NAT Server的流量,T到T的NAT流量
- 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址
- 防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
- NAT server+NAT Inbound(域间双向nat)
- 分类
- 优点
- 实现IP复用,节约宝贵的地址资源
- 地址转换过程对用户透明
- 对内网用户提供隐私保护
- 可实现内部服务器的负载均衡
- 缺点
- 网络监控难度加大
- 限制某些具体应用
- nat地址池
- 连续IP地址的集合,当来自私网的报文通过地址转换到公网IP时,将会选择地址池的某个地址作为转换后的地址
- NAT ALG(应用级网关)
- 特定应用协议的转换代理,可完成应用层数据携带的地址号及端口号信息的转换
- 生成server map表
- 配置nat server
- 自动生成,用于存放global地址与Internet地址的映射关系
- 配置nat no pat
- 设备为已配置多通道协议产生的有实际流量的数据流建立server-map表
- 配置nat server
- 路由,交换
- 虚拟专用网(VPN)
- 定义:vpn是指依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟专用通信网络
- 特点
- 专用
- 虚拟
- 用户获得逻辑意义上的专网,这个公共网络称为:VPN骨干网
- 优点
- 安全
- 廉价
- 支持移动业务
- 支持随时随地可办公
- 服务质量保证
-
- VPN网关通过对数据包加密和目标地址转换实现远程访问
- 分类
- 组网类型分类
- 网关与网关之间的VPN链路
- 数据流在公网VPN节点之间转发,数据包转发在网络层实现,公网每个节点需为每个VPN建立专用的路由转发表
- 为实现局域网之间的互通而产生
- 包括ATM, Frame Relay, GRE, MPLS VPN, IPSec VPN
- 主机与网关之间的VPN链路
- 家庭或远程办公室通过拨号技术实现访问企业内部服务器,建立私有的网络连接
- 包括;IPSec, PPTP, L2TP over IPSec, SSL VPN
- 网关与网关之间的VPN链路
- 业务用途划分
- 远程访问虚拟网
- 企业内部或远程办公需要,或商家提供B2C的安全访问服务
- 企业内部虚拟网络
- 总部与分支机构
- 企业扩展虚拟网
- 同行业进行访问
- 远程访问虚拟网
- 实现层次分类
- Layer 2 VPN数据链路层
- 包括
- pptp
- L2F
- L2TP
- 分支机构
- 用户端
- secoclent
- 提供PPP链路数据包的通道传输支持
- 组件
- L2TP接入集中器LAC(ISP)
- 用户拨号连接
- L2TP接入集中器LAC(ISP)
- L2TP网络服务器LNS
- 连接总部
- 协议号是1701
- 分类
- 客户初始化方式L2TP VPN
- 一对一的连接
- 只有一条隧道
- 客户协商LNS建立会话
- L2TP NAS-Initiated VPN
- 一对lac和lns可存在多条隧道,隧道中可承载多条会话
- 客户拨号触动LAC与LNS协商,建立会话
- 安全性最好
- L2TP LAC-Auto-Initiated VPN
- LAC与LNS建立永久隧道,且只承载一条永久的会话和PPP连接,不需要自己拨号
- 无公网IP ,最后只有一个公网IP
- lac可以建立easy-ip建立回程路由
- lac主动拨号,与LNS协商建立会话
- 安全性最差
- 客户初始化方式L2TP VPN
- 包括
- Layer 2 VPN数据链路层
- 优点:
- 能够封装各类三层流量,IP,ipx,apple talk,IP multicast
- 很好的QOS保障
- 更安全,很好的支持三层协议,用户网络对骨干网络影响小,对传统wan兼容性好,用户自己管理
- 用于接入层和汇聚层
- 利用公共网络的拨号功能实现接入虚拟网络
- 组网类型分类
- Layer 3 VPN网络层
- GRE
- 完整VPN功能,但缺乏安全性
- 针对网络层协议的数据报进行封装
- 包含元素
- 源地址
- 目的地址
- 隧道接口IP地址
- 虚拟的接口
- 封装类型
- 应用场景
- 内部局域网之间配置隧道来实现,数据未被加密,只是进行封装(安全性不好)
- MPLS VPN
- any-to-any,但需要sp接入点,缺乏安全性
- IPsec VPN
- 省钱,安全,但带宽不能保障
- 工业标准的网络安全协议,提供透明安全服务,保护tcp/ip免遭窃听和篡改,可抵抗攻击,并保持易用性
- 建立对等体双向安全联盟,形成一个安全的IPSec隧道
- 结构
- AH:验证头
- 提供数据来源认证,数据完整性校验,报文抗重放功能
- 在每个数据包的标准IP报头后加一个AH报头。对数据包和认证密钥进行HASH计算
- 协议号:51
- 传输模式:验证整个IP报文
- 隧道模式:验证新IP头 及整个IP报文
- ESP:封装安全荷载
- 除AH的功能外,还对有效载荷的加密功能
- 在IP报头后加ESP报头,并在数据包尾加ESP尾(用于对数据提供来源认证和完整性校验,并将数据的有效载荷加密后封装)
- 序列号唯一:防重放
- 协议号:50
- 隧道模式加密原始头部,对封装头部尾部的部分验证
- AH:验证头
- 特性
- 访问控制
- 无连接的完整性,数据来源验证
- 防重放
- 机密性(加密)
- 组件
- ipsec对等体
- IPSec隧道
- 安全联盟(SA)
- 单向逻辑连接,通信对等体对某些要素的约定,符合SA约定内容
- 由三元组:安全参数索引spi,目的IP地址(SA的终端地址),使用的安全协议50,51
- 数据的封装模式
- Transport Mode
- Tunnel Mode
- 安全协议
- 主要用在核心层,用户路由由服务商管理
- ike技术
- ipsec可以用它创建一个动态的安全联盟
- 混合型协议
- 定义
- Oakley 基于DH算法的自由形态协议
- SKEME 定义了如何验证密钥交换
- ISAKMP 定义了沟通方式,信息格式,保障通信安全的状态变换过程
- 安全机制实现(先于报文传输)
- DH算法,密钥分发
- 身份保护
- 身份验证
- 前向安全性
- 在ipsec中的作用
- 降低手工配置的复杂度
- 安全联盟定时更新
- 密钥定时更新
- 允许ipsec提供反重放服务
- ESP,AH会占用更多资源,
- 允许在端与端之间动态认证
- 安全联盟SA
- 建立ipsec之前建立的算法验证
- 交换阶段
- 通信双方彼此建立一个已通过身份验证和安全保护的隧道,即IKE SA。
- 协商模式
- 主模式
- 六个报文
- 最后两个消息有加密,可进行身份保护
- 六个报文
- 只能采用IP地址方式标识对等体;通信双方
- 主模式
- 野蛮模式
- 三个报文
- 消息1交换SA载荷,密钥材料,身份信息
- 消息2交换信息1内容的同时增加了hash认证载荷
- 消息3是相应方对发起方的认证
- 可以采用IP地址方式或Name方式标识对等体
- IPSec隧道存在nat设备时,需启用nat穿越功能,而nat转换会改变对等体IP地址,只能采用野蛮模式
- 发起方IP地址不固定或无法预知,且双方都想采用预共享密钥来创建IKS SA
- 发起方已知相应方策略,或有全面了解,能更快创建
- 三个报文
- 协商模式
- 认证方式
- 预共享密钥
- 数字签名方式
- 第三方提供
- 公钥加密
- 通信双方彼此建立一个已通过身份验证和安全保护的隧道,即IKE SA。
- 用在第一阶段建立的安全隧道为ipsec协商安全服务,建立ipsec SA。用于最终IP数据传送。
- 协商模式
- 快速模式
- 消息1和2中,交换SA,KEY,Nonce和ID。用来协商算法,保证PFS以及提供在场证据
- 消息3用于验证响应者是否可以通信,相当于确认信息
- 快速模式
- 协商模式
- 密钥保护
- 密钥生存周期
- 完美向前保护
- 两个密钥间无任何关系
- 短暂的一次性密钥
- 两个密钥间无任何关系
- DH组
- 版本
- IKEv1
- IKEv2
- 简化协商过程,一次协商中可直接产生ipsec密钥,生成ipsec sa
- GRE
- 常见技术
- 利用隧道技术,把vpn报文封装在隧道中,利用VPN骨干网络建立专用的数据传输通道,实现报文透明传输
- 隧道技术:是公共电话交换网pstn/综合业务数字网isdn链路的逻辑延伸,使用上与实际物理链路相同
- 身份认证
- 合法用户才可以使用
- 数字认证
- 合法用户才可以使用
- 数据认证
- 保证数据正确
- 散列算法(任意长度输入变成固定长度输出)
- MD5
- SHA-1 256
- 散列算法(任意长度输入变成固定长度输出)
- 保证数据正确
- 加解密技术
- 保证安全性
- 加密服务
- 保密性
- 完整性
- 抗抵赖性
- 鉴别性
- 分类
- 对称加密
- 使用同一个密钥
- 流加密算法(逐步形成)RC4用在数据通信信道,浏览器或网络链路上
- 分组加密(明文分成两部分)长度64位 DES(56) 3DES(128) AES(128,256)
- 特点
- 加密速度快
- 密钥分发有问题
- 使用同一个密钥
- 非对称加密
- 两个密钥
- 公钥
- 私钥
- 特点
- 安全性高
- 加解密速度慢
- 两个密钥
- 对称加密
- 密钥管理技术
- 密钥产生
- 动态产生
- 传送分为集中和分散传送(用于不安全信道)
- 更换与销毁
- 核心密钥分散保存
- 密钥产生
- 利用隧道技术,把vpn报文封装在隧道中,利用VPN骨干网络建立专用的数据传输通道,实现报文透明传输
- 作用
- 对数据包的安全处理
- 禁止
- 允许
- 其他附加功能
- 路由器功能
- nat
- 动,静态路由
- 日志
- 局限性
- 典型边界防护设备
- 对不经自身的网络数据无法控制,尤其是内部网络之间
- 策略配置相对复杂,专业
- l2到l4层过滤设备
- 无法解决tcp/ip协议洞导致的安全威胁
- 很难解决应用层的安全威胁
- 数据包的深层分析严重影响性能
- 典型边界防护设备
- 对数据包的安全处理
- 特点
- 防火墙的多功能与性能成反比
- 防火墙的安全性与性能成反比
- 防火墙的安全性与易操作性成反比
- 相关术语
- 吞吐量 极限值
- 定义:在不丢包的情况下能够达到的最大速率
- 衡量标准:重要指标。百分比越大,速率越大,性能越好
- 单位:线速百分比或流量速率
- 延时
- 定义:防火墙处理数据消耗的时间
- 衡量标准:延时值大小,值越小,性能越好
- 并发连接数
- 定义:指在同一地点上,防火墙所能维护的最大网络连接数
- 衡量标准:并发连接数越大,防火墙适应大流量的网络能力越强
- 单位:个
- 包过滤
- 根据预置的包过滤规则,对穿越自身的数据包采取通过或丢弃的功能
- 检查:源地址,目的地址,源端口,目的端口,协议(五元组)
- 透明模式
- 修改网络拓扑较小的部署方式,不需对原有的网络设备进行配置上的变更
- 防火墙不对数据包做任何三层(路由)转发工作,但是做二层(交换)转发工作
- HA(高可用性)
- 网络环境中消除单点故障的主要手段之一
- 通常指双机或多机备份,集群
- 动态服务
- 指tcp应用中,在客户端通过固定端口登录服务器,与服务器协商出一个新的随机通讯端口,随后使用通讯端口传输后续数据
- FTP被动模式
- SQL-NET
- PPTP(GRE-VPN)
- H.323
- SIP
- 会话
- 表示两者的连接状态,一个会话表示通信双方的一个连接
- 会话表(动态链接状态表)
- 多个会话的集合
- 记录当前活动的合法连接,进行更新
- 过滤规则是静态的,状态表是动态的
- 会话机制
- 新连接通过验证就在状态表添加条目,完成就删除条目
- 吞吐量 极限值
- 发展史
- 第一代
- 包过滤防火墙
- 第二代
- 代理防火墙
- 第三代
- 状态检测防火墙
- 第一代
- UTM(统一威胁管理)
- 防病毒,入侵检测,防火墙安全设备规划统一威胁管理
- 由硬件,软件,网络技术组成的具有专门途径的设备
- 缺点:处理能力分散,网关防御弊端,过度集成带来的风险,性能和稳定性
- 攻击防御功能
- 有效过滤并阻止非正常报文或攻击报文进入内网
- 下一代防火墙提供的功能
- 恶意扫描防御
- IP地址欺骗防御
- 网络层攻击防御
- 应用层攻击防御
- DHCP防御
- 畸形报文攻击防御
- Sumurf攻击
- Land攻击
- Ping of Death攻击
- 特殊控制报文攻击防御
- 超大ICMP报文
- ICMP重定向报文
- Tracert报文攻击
- 流量型攻击防御
- 木马专项查杀
- 部署
- 网络安全域
- 同一系统内,根据信息的性质,使用主体,安全目标和策略等元素的不同来划分的不同的逻辑子网或网络
- trust
- 级别85
- 受网络信任度高,定义内部用户所在网络
- DMZ
- 级别50
- 企业内部网络和外部网络之间(小型网络)
- Untrust
- Internet
- 级别5
- local
- 防火墙本身,不能添加接口
- 级别100
- 步骤
- 规划安全域
- 明确不同等级安全域互访的策略
- 明确防火墙部署位置及接口的工作模式
- 支持
- 透明网桥模式
- 适用于不希望改变网络结构,路由配置,IP配置环境
- 透明网桥体现:在二层区域转发时,根据mac地址寻找出接口(IP报文需到上层处理检查)
- 路由模式
- 接口都配置IP地址,安全区域均是三层
- 三层区域中,表现为路由器,支持NAT和动态路由协议
- 支持流量管理,行为控制,安全防护
- 混合模式
- 部分接口配IP地址,部分不配(透明和路由模式结合)
- 旁路模式
- 透明网桥模式
- 数据流向
- 入方向
- 低到高
- 出方向
- 高到低
- 入方向
- 网络安全域
- 防火墙攻击
- 单包攻击
- 扫描窥探攻击 IP地址扫描与端口扫描 识别潜在攻击目标 识别目标弱点
- IP地址扫描攻击
- 端口扫描攻击
- 畸形报文攻击
- Smurf攻击
- 发送源IP伪造为受害者的ICMP报文
- land攻击
- Fraggle攻击
- IP分片报文攻击
- IP欺骗攻击
- Ping of Death攻击
- TCP报文标志位攻击
- Teardrop攻击
- WinNuke攻击
- Smurf攻击
- 特殊报文攻击
- 超大ICMP报文攻击
- ICMP重定向攻击
- ICMP不可达报文
- 带路由记录项的IP报文攻击
- 带源路由选项的IP报文攻击
- Tracert报文攻击
- 带时间戳选项的IP报文攻击
- 流量型攻击:flood方式攻击 耗尽网络带宽,耗尽服务器资源
- ARP攻击
- 解决:配置接口,区域或IP的防范参数,限制ARP报文的总数
- SYN flood攻击
- 采用TCP proxy 方式防护
- 反向源探测技术
- 目标主机进行SYN报文限速的方式防御
- Connection Flood攻击
- USG统计用户向服务器发送的报文,如果少于设定的值,则是不合法用户
- 统计连接数,如果大于设定值,不合法
- USG将该IP加入黑名单
- ICMP/udp flood攻击
- 检测通向特定目标地址UDP报文速率,超过上限时,设定攻击标志并做car处理,记录日志。低于就取消攻击标志,允许所有报文通过
- DNS Flood攻击
- GET Flood攻击
- ARP攻击
- 扫描窥探攻击 IP地址扫描与端口扫描 识别潜在攻击目标 识别目标弱点
- 单包攻击
- 攻击防范
- 黑名单
- IP-MAC地址绑定
- 端口映射
- 日志
- 联动
- URPF场景说明
- 单播逆向路径转发的简称,主要是防止基于源地址欺骗的网络攻击行为
- 工作原理
- 安全功能
- 抗攻击性
- 安全规则
- 带宽管理
- 用户认证
- 蠕虫过滤
- P2P/IM限制
- 连接限制
- 网络功能
- 二层转发
- 三层转发
- 链路探测
- HA+VRRP
- ADSL接入
- IP与MAC绑定
- 网口联动
- 应用层
- IM/P2P限制
- URL过滤
- URL重定向
- 代理规则与定义
- 传输层
- 安全规则
- 对象定义-服务(动态服务)
- 抗攻击
- 蠕虫过滤
- 安全助手
- 链路探测
- 网络层
- MAC与IP绑定
- 对象定义-地址
- 接口IP
- 路由(静态,动态)
- DHCP等
- 链路层
- 电源
- 物理连线
- 接口工作模式
- 速率协商
- VLAN标记与TRUNK
- MAC地址表
- 桥转发表
- 端口联动
- 透明桥
- 安全功能
- 技术
- 分组过滤技术
- 核心功能,其过滤标准是根据安全策略制定的
- 这种类型防火墙各种在:TCP/IP网络参考模型的网络层和传输层
- 网管在ACL设置的
- 特点
- 实现简单,防护方式单一
- 由静态分组过滤转为动态分组过滤(状态分组过滤)
- 电路级网关技术(线路级网关
- 工作在会话层。在两个主机首次建立TCP连接时创建一个电子屏障
- 检查双方SYN,ACK和序列号等
- 不允许TCP端到端的连接
- 代理服务器技术
- 工作在应用层,每个应用都有一个特定的程序
- 比分组更加严格
- 应用级网关技术
- 工作在最高处,应用层
- 实现监视和控制应用层通信流的作用
- 可做复杂的访问控制,做精细的注册和审核
- 状态检测技术
- 分组过滤和应用级网关的折中。既有分组过滤的速度和灵活,也有应用网关的安全
- 基于链接的状态检测机制
- 通过规则表与状态表间相互配合
- 开启后,只有首包通过设备才能建立会话项,后续包直接匹配会话表项进行转发
- 查看会话表:display firewall session table verbose
- 关闭时,首包未经过设备,后续包只要通过设备也能生成会话表项
- 分组过滤技术
- 下一代防火墙NG Firewall
- 匹配条件
- 传统五元组
- 应用
- 内容
- 用户
- 威胁
- 时间
- 位置
- 可识别所有端口
- 从同一端口协议的数据流量中辨识出任意不同的应用
- 可识别不同操作系统
- 控制策略
- 应用层访问控制
- 应用宽带管理制策略
- 应用安全扫描
- 核心能力
- 云管协同联动
- 提供入侵防御(IPS)功能
- 都已被定义,可直接使用
- 对数据进行2到7层深度分析
- 阻断病毒,木马SQL注入,跨站脚本攻击,DOS/DDOS,扫描
- 匹配条件
- QOS
- 指IP网络的一种能力,针对不同需求,提供不同服务质量的网络服务
- 安全策略
- 匹配条件
- 五元组
- 源地址,目的地址,源端口,目的端口,协议
- 用户组
- 时间段
- UTM策略等
- 五元组
- 应用场景
- 域间,域内,外部与设备本身
- 公共对象
- 可引用
- 基于安全区域的域间关系来呈现,包括条件(检查报文的依据)和动作(允许或禁止)
- 匹配顺序:要先配置匹配范围小,条件精确的,再匹配范围大,宽泛的策略
- 配置过程
- 新建安全域
- 配置接口
- 配置用户和认证
- 配置对象
- 地址和地址组
- 地区和地区组
- 服务和服务组
- 应用和应用组
- 时间段
- 定义安全配置文件
- 反病毒
- 入侵检测
- URL过滤
- 内容过滤
- 文件过滤
- 应用行为控制
- 邮件过滤
- 配置安全策略
- 保存和提交配置
- 存在问题
- 配置逻辑复杂
- 易产生安全风险
- 易冗余
- 智能策略
- 冗余分析
- 两两比较策略的匹配条件,识别出冗余策略并提示用户删除
- 策略命中
- 根据策略命中日志,识别出指定时间内从未被命中的安全策略,并提示用户是否删除
- 风险调优
- 为安全策略应用合理的内容安全防护手段
- 不支持双机热备
- 虚拟系统不支持该功能
- 设备不同,支持也不同
- 冗余分析
- 匹配条件