一、基本概念
1、防火墙的作用:
防火墙主要用于保护一个网络区域免受来自另一个网络区域的攻击和入侵行为、也是防止黑客攻击内部网络的重要防线之一。
2、防火墙与路由器、交换机的区别。
路由器与交换机的本质是转发数据、防火墙的本质是控制。
路由器 | 防火墙 | |
产生背景 | 基于对网络数据包路由而产生 | 产生于人们对网络安全的需求 |
目的 | 保持网络和数据的“通过” | 保证数据在非允许的情况下“不通过” |
核心技术 | 路由器核心的ACL列表是基于简单的数据包过滤。 | 基于状态包过滤应用信息流过滤 |
安全策略 | 默认配置对安全性考虑不周全 | 默认配置的安全策略可以防止一些攻击 |
性能 | 进行包过滤会对路由器的CPU和内存产生很大影响。 | 采用状态包过滤、规则条数NAT的规则数对性能的影响较小。 |
防攻击能力 | 普通路由器不具备应用层防范功能。 | 具有应用层的防范功能 |
二、防火墙安全区域说明
1、防火墙的四个区域说明
区域 | 安全级别 | 区域说明 |
local | 100 | 设备本身区域。包括设备的各个接口本身 |
trust | 85 | 用于定义内网终端用户所在区域 |
dmz | 50 | 用于定义内网服务器所在区域 |
untrust | 5 | 用于定义互联网lnternet等不安全的网络 |
注:受信任程度顺序为:local——trust——DMZ——untrust
注:
1、防火墙通过划分安全区域可以用于区分不同的网络流量
2、防火墙通过安全区域来划分网络、标识报文流动的线路。
3、安全域间:是两个安全区域之间的唯一道路
4、安全策略:是实现在流量道路上设置的安全关卡、实现网络流量是通过还是拒绝。
三、配置案列
一、命令解释
1、初始配置
Username:admin 进入防火墙后用户名admin
Password: 默认密码:Admin@123
The password needs to be changed. Change now? [Y/N]: y 初次登录提示是否要更改密码
Please enter old password: 原始密码
Please enter new password: 新密码
Please confirm new password: 确认密码
2、端口配置
[USG6000V1]undo info-center enable 关闭防火墙状态信息提示
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]interface g1/0/1 配置接口IP
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.254 24
[USG6000V1]interface g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip address 192.168.1.1 24
3、端口划分安全区域
[USG6000V1]firewall zone trust 进入trust安全区域
[USG6000V1-zone-trust]add interface g1/0/1 将G1/0/1口加入trust安全区域
[USG6000V1-zone-trust]di th
2024-08-01 03:56:49.830
#
firewall zone trust
set priority 85 默认安全级别为85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust 进入untrust区域
set priority 5
add interface GigabitEthernet1/0/2 将g1/0/2口加入untrust区域默认级别为5
4、端口下允许ping命令数据通过
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.2.254 255.255.255.0
service-manage ping permit 在端口下启用ping命令
#
注:如果防火墙配置端口默认开放、不做任何拦截(默认为路由模式)所有接口都能自由访问
[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit 开启所有端口都能访问
5、配置防火墙策略
配置内部网络访问外部网络(trust到untrust)
[USG6000V1]security-policy 进入安全策略表
[USG6000V1-policy-security]rule name trust_to_untrust 配置安全测试trust到untrust访问
[USG6000V1-policy-security-rule-trust_to_untrust]source-zone trust 源安全区域trust
[USG6000V1-policy-security-rule-trust_to_untrust]destination-zone untrust 目的地untrust
[USG6000V1-policy-security-rule-trust_to_untrust]source-address 192.168.2.0 24 原地址
[USG6000V1-policy-security-rule-trust_to_untrust]destination-address 192.168.1.0 目的地地址
[USG6000V1-policy-security-rule-trust_to_untrust]action permit 条件是允许访问
[USG6000V1-policy-security-rule-trust_to_untrust]
配置外部网路访问内部网络(trust到untrust)
注:如果只想内部用户访问外网此操作可省略
[USG6000V1]security-policy 进入安全策略表
[USG6000V1-policy-security]rule name untrust_to_trust 配置安全测试untrust到trust访问
[USG6000V1-policy-security-rule-trust_to_untrust]source-zone untrust 源安全区域untrust
[USG6000V1-policy-security-rule-trust_to_untrust]destination-zone trust 目的地trust
[USG6000V1-policy-security-rule-trust_to_untrust]source-address 192.168.1.0 24 原地址
[USG6000V1-policy-security-rule-trust_to_untrust]destination-address 192.168.2.0 目的地地址
[USG6000V1-policy-security-rule-trust_to_untrust]action permit 条件是允许访问
[USG6000V1-policy-security-rule-trust_to_untrust]
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 192.168.2.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.2.0 mask 255.255.255.0
action permit
#
6、配置验证
四、查看防火墙已有策略
1、查看当前已有安全策略
[FW]display security-policy rule all 查看所有防火墙策略
2024-08-02 07:00:10.410
Total:3
RULE ID RULE NAME STATE ACTION(执行动作)HITS (安全级别)
-------------------------------------------------------------------------------
1 trust_to_untrust enable permit 5
2 untrust_to_trust enable deny 0
0 default enable deny(动作是拒绝) 86 默认安全策略
-------------------------------------------------------------------------------
[FW]
2、更改默认安全策略
注:更改默认安全策略后将不会对任何数据做安全检测。
[FW]security-policy 进入防火墙安全策略表
[FW-policy-security]default action permit 更改默认安全策略为允许
五、防火墙安全策略匹配流程说明
1、安全策略是执行在防火墙的不同安全区域的不同方向之间做的流量管控。
2、执行流程顺序为:
匹配条件——执行动作——高级检查
当流量进入防火墙后、防火墙会根据以上顺序做流量检查。
3、防火墙的安全策略可以设置多个、在执行中会根据顺序进行优先匹配。
4、匹配到相应的策略后会根据策略的需求进行操作、并不会在向下继续匹配策略。
5、数据到达防火墙后如果没有匹配到策略、或者配置了安全策略但未匹配成功、最后会匹配到默认安全策略。
6、默认的安全策略是拒绝、可手动更改为允许。
六、防火墙状态检测
1、防火墙主持单方向管控实现对数据状态检测
也就是说我们要实现内网访问外网只需要设置一条trust到untrust的策略就好。
当访问数据到达防火墙后会通过临时会话表中的五元素进行定义数据包的安全性。
2、五元素
协议号、原地址、目的地地址、源端口、目的端口
3、五元素记录流程
1、数据流量进入防火墙
2、防火墙对数据进行过滤执行通过还是拒绝操作。
3、防火墙允许数据通过则建立数据流量数据五元素表。
4、五元素数据表不会长期存在、到达老化时间后自动删除五元素表、目的是防止外部网络向内部网络发起攻击。
注:通过对防火墙untrust接口抓包查内部网络访问外部网络状态。
七、多通道协议
以FTP文件传输协议为例阐述多通道协议建立过程
FTP文件传输协议的两个通道
1、控制通道
指发起控制指令端口号为TCP21会进行用户间的密码协商、模式协商
2、数据通道
指传输数据默认端口为TCP20、TCP20 端口主要针对于主动模式而被动模式端口则随机。
3、被动模式(PASV)与主动模式(PORT)的区别
1、PASV被动模式
server被动发起数据通道连接
2、PASV(被动模式)建立连接过程 :
1、首先主机向服务器tcp21端口发起请求信息建立三次握手请求建立端口号。
2、服务器与主机进性协商(主要对用户名和密码进行协商)
3、协商模式选择确认服务端端口号。(由服务端告知数据传输的端口号)
4、数据传输确认彼此端口号。建立三次握手成功后进行数据传输、
数据传输过程中不在使用tcp21号端口而是使用服务器给定的端口号、端口号为随机端口号并建立连接传输数据。
2、主动模式(PORT)
server主动发起数据通道建立连接进行
1、主机向服务器发送TCP21端口发起请求建立连接信息、进行三次握手。
2、主机与服务器进行账户密码协商。
3、主机建立模式协商为主动模式并告知服务器自己所使用的端口号、服务器使用TCP20端口进行数据交互。