目录
防火墙如何处理双通道协议?
ASPF技术
多通道协议:控制进程与传输进程分离(例如FTP协议),意味着控制进程的协议和端口与传输协议的协议和端口不一致。
多通道协议无法用安全策略表去解决,如果强行解决会导致安全策略的颗粒度过大,防火墙失效
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
Server-map表
QQ/MSN等用户连接服务器时,设备会记录下用户的IP地址和端口信息,并动态生成STUN(Simple Traversal of UDP over NATs,NAT的UDP简单穿越)类型的Server-map。这个Server-map表项中仅包含三元组信息,即通信一方的IP地址,端口号和协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。只要有相关的流量存在,STUN动态的Server-map就将 一直存在。在所有相关流量结束后,Server-map表开始老化。
端口识别
端口识别是把非标准协议端口映射成可识别的应用协议端口
1.配置基本ACL
[NGFW]acl 2000 [NGFW-acl-basic-2000]rule permit source 20.0.0.1 0
2.配置端口识别(或端口映射)
[NGFW]port-mapping FTP port 31 acl 2000
ALG
在路由器上NAT针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生成传输进程返回的NAT映射。在防火墙上做完NAT后还需要做安全策略。
困境
某些协议会在应用层携带通信IP,这个IP用于下一阶段通信。但是NAT的地址转换仅转三层IP地址而不转应用层IP,这就导致某些协议的通信阶段在NAT场景下失败。
ALG( Application Level Gateway 应用网关),用来处理上述应用层数据在NAT场景转换问题。 这也是导致交换机一般没有NAT的主要原因。
防火墙NAT类型的server-map
NAT也会生成server-map表
<USG6000V1>dis firewall server-map 2023-03-20 19:07:54.050 Current Total Server-map : 1 Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protocol:tcp Vpn: public -> public
防火墙NET
需要注意的是防火墙做完NAT后还需要做安全策略,才能保证网络chang
NAT双向转换:双向转换指的是将访问者的目的地址和源地址都换掉。
NAT域间双向转换
一般是解决内网服务器没有外网路由的问题 ,当公网PC以内网身份访问仅限内网访问的服务器时
注意点:
-
NAT策略:把握住转换前数据包源目地址是什么以及转换后源目地址是什么。
-
安全策略:把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数。
NAT域内双向转换
当内网PC以公网形式访问内网服务器时(内网PC访问外网DNS解析内网的服务器),需要用到NAT域内双向转换。
双出口NAT
双出口:指拥有两个(或两个以上)不同运营商的公网IP地址作为内网的出口的情况
-
双出口会出现NAT转换错乱,原因是防火墙的NAT和接口没有捆绑, 接口挂掉不会影响策略
解决方案:启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法。
原理就是通过上述手段把路由与NAT转换通过下一跳做了关联
防火墙的接口模式
路由模式
防火墙的接口三层路由接口的形式参与组网
交换模式
防火墙的接口二层交换接口的形式参与组网
接口对模式
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。
1.设置接口为接口对形式
2.把俩个接口都设置为接口对模式
3.在接口对中把俩个接口加入到接口对
旁路模式
旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任 务,功能是最少的。
防火墙的高可靠技术![](https://img-blog.csdnimg.cn/7a008952e03c4d238ee0890dc66b363e.png)
在防火墙双机热备组网中必须首先解决两个问题:
-
防火墙必须能够检测到链路或设备故障。
-
防火墙检测到故障后能实现流量平滑切换。
为了解决以上问题,可以使用通过VRRP技术,让两个设备在逻辑上共享一个地址,但又会产生新的问题
-
当防火墙上下行业务端口上都配置了VRRP备份组时,这两个VRRP备份组是独立运行的,可能出现上下行VRRP备份组状态不一致的情况。
-
例如,主用网关防火墙上内网测的接口故障,VRRP倒换到备用网关防火墙,因此出去的流量从备用网关防火墙上转发。但是对于外网侧的VRRP,主用网关防火墙上VRRP仍然是主,因此回程的流量仍然会送到主用网关防火墙上,但业务流量无法送回内网,导致业务中断。
HRP的产生
-
状态检测防火墙对于每一个会话表项与之对应,主用设备处理业务过程中创建了很多会话表项;而备用设备没有流量经过,因此没有创建会话表。如果备用设备切换为主用设备前,会话表项没有备份到备用设备,则会导致先前经过主用设备的业务流量因为无法匹配会话表而中断。为了实现主用备用设备平滑切换,必须在主用和备用设备之间备份关键配置命令和会话表信息,为此防火墙引入了HRP(Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的实时备份。
-
在双机热备组网中,指定心跳线作为专门的备份通道,用于备份配置命令和状态信息。
HRP数据备份范围
-
通过HRP备份的数据包括主用设备的关键配置命令和状态信息。
-
能够备份配置命令:只能在主用设备上配置,备份设备不能配置。
特性大类 | 特性 |
---|---|
策略 | 安全策略、NAT策略、带宽管理、认证策略、认证策略、攻击防范、黑名单、ASPF |
对象 | 地址、服务、应用、用户、认证服务器、时间段、URL分类、关键字组、邮件地址组、签名、安全配置文件(反病毒、入侵防御、URL过滤、文件过滤、应用行为控制、邮件过滤) |
网络 | 新建逻辑接口、安全区域、DNS、IPSec、SSL VPN、TSM联动 |
系统 | 管理员、日志配置 |
-
不能备份的配置名命令:主用设备和备用设备都可以配置。
大类 | 命令 |
---|---|
维护命令 | 一般情况下,display、reset、debugging命令都不支持备份 |
系统 | data-flow loghost host-id ip-address ip-address I port port-number I[ vpn-instance vpn-instance-name ] data-flow loghost source ip-address ip-address [ source-port port-number] |