防火墙
防火墙的主要职责在于:控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之后做出对应的动作。
防火墙的分类:
传统防火墙(包过滤防火墙)—— 一个严格的规则表
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
传统防火墙(应用代理防火墙)-------每个应用添加代理
1,因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三层握手就会变成
6次握手)
2,可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有
开发,则无法进行代理。
传统防火墙(状态检测防火墙)--------首次检查建立会话表
入侵检查系统(IDS)-----网络摄像头
IDS --- 一种侧重于风险管理的安全机制 --- 滞后性
入侵防御系统(IPS)---------抵御2-7层已知威胁
防病毒网关(AV)------基于网络侧识别病毒文件
Web应用防火墙(WAF)-------专门用来保护web应用
统一威胁管理(UTM)-------多合一安全网关
下一代防火墙(NGFW)--------升级版的UTM
改进点核心:相较于之前UTM中各模块的串联部署,变为了并联部署,仅需要一次检测,所有
功能模块都可以做出对应的处理。大大提高了工作效率。
防火墙的其他功能
防火墙的控制
带内管理 --- 通过网络环境对设备进行控制 --- telnet,ssh,web --- 登录设备和被登
录设备之间网络需要联通
带外管理 --- console线,mini usb线
防火墙的管理员
本地认证 --- 用户信息存储在防火墙上,登录时,防火墙根据输入的用户名和密码进行
判断,如果通过验证,则成功登录。
服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方
服务器,之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创
建。
服务器/本地认证 --- 优先使用服务器认证,如果服务器认证失败,则也不进行本地认
证。只有在服务器对接不上的时候,采用本地认证
防火墙的组网
物理接口:
二层口 --- 不能配IP
普通的二层口
接口对 --- “透明网线” --- 可以将两个接口绑定成为接口对,如果流量从一个接口进入,则
必定从另一个接口出去,不需要查看MAC地址表。 --- 其实一个接口也可以做接口对,从该
接口进再从该接口出
旁路检测接口 --- 主要用于防火墙的旁路部署,用于接收镜像口的流量。
三层口 --- 可以配IP 、
虚拟接口 、换回接口 、子接口 、链路聚合 、隧道接口
安全策略
传统的包过滤防火墙 --- 其本质为ACL列表,根据
数据报中的特征
进行过滤,之后对比规制,
执行动作。
五元组 --- 源IP,目标IP,源端口,目标端口,协议
安全策略 --- 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面
是可以完成
内容安全
的检测
安全策略 --- 1,访问控制(允许和拒绝)
2,内容检测 --- 如果允许通过,则可以进行内容检测
防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流
的“特征”记录下来(记录在本地的
“会话表”
),之后,该数据流后续的报文都将基于这个
特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
状态检测防火墙访问过程
当web服务器给PC进行回报时,来到防火墙上,防火墙会将报文中的信息和会话表的信
息进行性比对,如果,发现报文中的信息与会话表中的信息相匹配,并且,
符合协议规
范对后续报文的定义
,则认为该数据包属于PC,可以允许该数据包通过。
会话表
会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算 HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效 率。 因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触 发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除 掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会 话表,如果无法创建会话表,则将丢弃该数据流的数据。 如果会话表的老化时间过长:会造成系统资源的浪费,同时,有可能导致新的会话表项 无法正常建立 如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中 断,影响业务的转发。 不同协议的会话表老化时间是不同的
状态检测技术
状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建
会话表。可以选择开启或者关闭该功能。
数据通过防火墙的流程
FTP --- 文件传输协议
FTP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集
FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用
两个端口号20,21
并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
主动模式
被动模式
防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限
用户认证 --- 上网行为管理的一部分
用户,行为,流量 --- 上网行为管理三要素
用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行
为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi
后,需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的
认证方式
本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将
认证结果返回,防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似
认证域 --- 可以决定认证的方式和组织结构
登录名 --- 作为登录凭证使用,一个认证域下不能重复
显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也
可以不用写显示名。显示名可以重复。
账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙
不会强制下线该用户。
允许多人同时使用该账号登录
私有用户 --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录
公有用户 --- 允许多个人同时使用一个账户
IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)
单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他
用户可以在该设备下登录
双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员
以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
认证策略
Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网
认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以
选择免认证,不做认证。
匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输
入用户名和密码,直接使用IP地址作为其身份进行登录。
防火墙的NAT
静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源
NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网,源NAT是在安全策略之后执行。
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为
了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和目标IP地址
防火墙的智能选路
就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高
通信效率,避免绕路。
策略路由 -- PBR
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对
一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。
策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维
度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐
含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行
转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照
对应动作执行,不再向下匹配;
智能选路 --- 全局路由策略
基于链路带宽的负载分担
基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且,如果配置的过
载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以
从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中
按照比例转发。
基于链路质量进行负载分担
丢包率 --- FW会发送若干个探测报文(默认5个),将统计丢包的个数。丢包率等于回
应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文,取平均
时延作为结果进行评判
延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文,取两两延时
抖动的平均值
基于链路权重进行负载分担
权重是由网络管理员针对每一条链路手工分配的,分配之后,将按照权重比例分配流
量
基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1,接口没有配置过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故
障,则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超
过保护阈值,则优先级次高的链路开始工作。
DNS透明代理
DNS透明代理的前提是开启就近选路
防火墙的可靠性
防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,
但是,防火墙是基于状态检测的,所以,还需要同步记录状态的会话表等。所以,防火墙需要
使用到
双机热备技术
。
双机---目前防火墙的双机热备技术仅支持两台设备
热备---两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以
立即替代
原设备。
VRRP技术--虚拟路由器冗余协议
Initialize---在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态
VRRP
备份组之间是相互独立的,当一台设备上出现多个
VRRP
组时,他们之间的状态无法
同步。
VGMP ----VRRP GroupManagement Protocol
华为私有协议---这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行
管理,统一切换的协议。以此来保证VRRP组状态的一致性。
接口故障切换场景
在防火墙的双机热备中,我们不论时
VRRP
组还是
VGMP
组,主备的叫法发生了变化,主
统一被称为
A
ctive,备被称为
S
tand
by
HRP ---HuaweiRedundancy Protocol ---华为冗余协议
HRP
协议本身算是
VGMP
协议的一部分
HRP
的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认
1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期
内,都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自
身为主。
VGMP
的报文也是通过这条心跳线发送的。
第一种备份方式---自动备份
默认开启自动备份,可以实时备份配置信息。但是,自动备份不能立即同步状态信息。
一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable
---这个命令可以让备设备上的配置同步到主设备上。
第二种备份方式---手工备份
由管理员手工触发,可以立即同步配置信息以及状态信息。
由管理员手工触发,可以立即同步配置信息以及状态信息。
第三种备份方式---快速备份
该模式仅使用在
负载分担
的工作方式下。
因为负载分担的场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不
及时,导致业务流量中断,所以,该场景下,默认开启快速备份。
快速备份可以实时同步状态信息。但是,该方式不同步配置信息。
各场景过程分析
1.主备形成场景
2.主备模式下,接口故障切换场景
3.主备场景,主设备故障切换 --- 主故障之后,将无法周期发送HRP心跳报文,则备设备监
听超时,进行设备状态的切换。
4.主备场景,主设备接口故障恢复切换
没有开启抢占 --- 没有抢占则原主设备保持备份状态。
开启抢占:
5.负载分担
6.负载分担接口故障场景
1080
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
