目录
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
本课程将介绍在通信领域中什么是防火墙,为什么需要防火墙,以及防火墙的基本工作原理和配置。
防火墙概述
为什么需要防火墙?
安全无处不在。路由器和交换机构建了互联互通
的网络,带来便利的同时也带来了安全隐患。
例如在网络边界,企业有了如下安全诉求:
外部网络安全隔离
内部网络安全管控
内容安全过滤
入侵防御
防病毒
什么是防火墙?
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。
防火墙与交换机、路由器功能对比
以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。
路由器作用是路由的分发、寻址和转发,构建外部连接网络。
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
防火墙与路由器转发流程对比
防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。
防火墙的典型应用场景
防火墙基本概念:安全区域
安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。
一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。
默认安全区域
华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域。安全区域有以下特性:
默认的安全区域不能删除,也不允许修改安全优先级。
每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。
用户可根据自己的需求创建自定义的Zone。
| 区域名称 | 默认安全优先级 |
|---|---|
| 非受信区域(untrust) | 低安全级别区域,优先级为5。 |
| 非军事化区域(dmz) | 中等安全级别区域,优先级为50。 |
| 受信区域(trust) | 较高安全级别区域,优先级为85。 |
| 本地区域(local) | Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。 |
区域间(Interzone)示例
流量的源、目的地址决定了互访的区域。本例1中PC访问防火墙的接口的流量实际上是从trust zone到达local
zone;本例2中PC访问Internet的流量实际上是从trust zone到达untrust zone。
防火墙基本概念:安全策略
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。
安全策略组成
安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。
安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。
安全策略的匹配过程
当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。
安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略。
防火墙基本概念:会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。
防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。
会话表的创建和包处理过程
防火墙状态检测开启情况下,流量的首包会创建会话表项,后续包即可直接匹配会话表项。
会话表的老化时间与长连接
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。
但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如:
用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。
用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。
此时如果其会话表项被删除,则该业务会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题。
多通道协议在防火墙上的问题
如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作,例如FTP。
FTP主动模式传输文件时,首先需要客户端主动向服务器端发起控制连接,然后需要服务器端向客户端发起数据连接。如果设备上配置的安全策略仅允许客户端报文单方向通过,则FTP文件传输不能成功。
同FTP,通信过程中需占用两个或两个以上端口的协议被称为多通道协议。多通道协议都需要考虑此类问题。
多通道协议 – FTP过程详解
ASPF与Server-map
为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口。这需要开启ASPF(Application Specific Packet Filter,针对应用层的包过滤)功能。
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。
Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。
开启ASPF解决多通道协议问题,是生成Server-map表的一种方式。
ASPF与Server-map示例
防火墙上配置了ASPF功能后,会检测FTP控制连接中协商的数据连接端口信息,然后生成Server-map表项。Server-map表项包含了FTP控制通道中协商的数据通道的信息。防火墙为命中Server-map表的数据创建会话表。
Server-map表与简化的包转发过程
当防火墙接收到一个报文且没有命中会话表时,防火墙进入首包处理流程,查询是否有命中的Server-map表。如果有,则会生成会话表转发报文;如果没有,则执行其他包处理过程
防火墙的基础配置
防火墙基础配置 - 接口
- 创建接口/进入接口视图
[Huawei] interface interface-type interface-number
和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。 - (接口视图)配置接口允许通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }
service-manage命令用来允许或拒绝管理员通过HTTP、HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备。缺省情况下,接口开启了访问控制管理功能。仅有管理接口下HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。
防火墙基础配置 - 安全区域
-
创建安全区域
[Huawei] firewall zone name zone-name [ id id ]
firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。
firewall zone命令用来并进入安全区域视图。防火墙默认的四个区域无需创建也不能删除。 -
(安全区域视图)设置安全区域优先级
[Huawei-zone-name] set priority security-priority
优先级取值范围为1~100,全局唯一,值越大优先级越高。系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。 -
(安全区域视图)添加接口到安全区域
[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }
安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。该接口既可以是物理接口,也可以是逻辑接口。
防火墙基础配置 - 安全策略
- 进入安全策略视图
[Huawei] security-policy
安全策略规则的创建、复制、移动和重命名都在此视图下完成。 - (安全策略视图)创建规则
[Huawei-policy-security] rule name rule-name
rule name命令用来创建安全策略规则,并进入安全策略规则视图。 - (安全策略规则视图)配置安全策略规则的源安全区域
[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }
命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。 - (安全策略规则视图)配置安全策略规则的目的安全区域
[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }
5.(安全策略规则视图)配置安全策略规则的源IP地址
[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
6.(安全策略规则视图)配置安全策略规则的目的IP地址
[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
7.(安全策略规则视图)配置服务
[Huawei] service { service-name &<1-6> / any }
service命令用来配置服务,例如service protocol命令用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议。
8.(安全策略规则视图)配置安全策略规则的动作
[Huawei] action { permit | deny }
防火墙默认的动作为deny。
防火墙配置案例
案例描述:
防火墙将网络隔离为三个安全区域,trust、untrust和OM,其中OM区域优先级为95。现有需求如下:
允许防火墙接口GE1/0/1响应Ping请求。
允许OM区域ICMP流量访问untrust区域
配置案例 - 接口
任务列表:
根据规划,配置防火墙接口IP地址。
允许GE1/0/1响应Ping服务。
配置接口IP地址并允许GE1/0/1的ping业务
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] service-manage ping permit
[FW-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 2.2.2.1 24
[FW-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 3.3.3.1 24
配置案例 - 安全区域
任务列表:
防火墙新建安全区域“OM”,其优先级为95。
将接口划分入规划的安全区域。
创建安全区域
[FW] firewall zone name OM
[FW-zone-OM] set priority 95
[FW-zone-OM] quit
#将接口添加到安全区域:
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/1
[FW] firewall zone OM
[FW-zone-OM] add interface GigabitEthernet 1/0/2
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/3
配置案例 - 安全策略
任务列表:
创建安全策略R1
配置安全策略规则,配置源目的区域、业务类型和行为。
创建安全策略
[FW-policy-security] rule name R1
[FW-policy-security-rule-R1] source-zone OM
[FW-policy-security-rule-R1] destination-zone untrust
[FW-policy-security-rule-R1] service icmp
[FW-policy-security-rule-R1] action permit
配置案例 - 结果验证
- Trust区域内PC向防火墙GE1/0/1接口发起ping测试。
查看防火墙会话表
[FW]display firewall session table
2020-03-11 10:31:21.010
Current Total Sessions : 4
icmp VPN: public --> public 1.1.1.2:14265 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:15289 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:14777 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:15033 --> 1.1.1.1:2048
- OM区域2.2.2.2向untrust区域3.3.3.2发起ping测试。
查看防火墙会话表
[FW]display firewall session table
2020-03-11 10:30:15.150
Current Total Sessions : 4
icmp VPN: public --> public 2.2.2.2:63928 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:63672 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:63416 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:62904 --> 3.3.3.2:2048
标签:26,zone,FW,安全策略,防火墙,安全,区域,HCIP From: https://www.cnblogs.com/liam-wuhan/p/18589365/hcip-26防火墙是通信领域极为重要的安全设备之一,本章帮助您初步学习防火墙的基本概念、发展历史和基础配置。
安全区域、安全策略、会话表和Server-map是防火墙基础的、重要的概念,是进一步学习防火墙技术的必要前提。
防火墙有更多的安全功能,例如内容安全过滤、反病毒和入侵防御等。