防火墙原理

你的好爸爸

已于 2023-02-25 18:26:38 修改

阅读量1.9k

点赞数 2

分类专栏：网络文章标签：华为网络 tcp/ip

于 2022-12-03 11:05:54 首次发布

本文链接：https://blog.youkuaiyun.com/my_oul/article/details/128158877

版权

网络专栏收录该内容

15 篇文章

订阅专栏

华为防火墙

防火墙概述

防护墙作用

划定城市的边界，抵御外界入侵，保护城市

一个封闭的网络环境，不用担心外部的威胁

局域网连接互联网，黑客攻击在所难免

防火墙功能

1、防火墙用于隔离LAN与WAN

所有进出内网的流量都要经过防火墙

2、强化安全策略：

防火墙使用策略限制内网和外网的互访
可以有效防止来自外部的威胁

3、记录用户的上网行为：

防火墙可以记录用户的上网活动
方便管理员监视局域网用户的上网行为

4、隐藏内部站点或拓扑

防火墙支持NAT功能
还能缓解公网ip地址不足的问题

防火墙和系统内的防火墙有什么区别

软件防火墙只保护自己，没有七层过滤

硬件防火墙保护一个范围，有七层过滤

防火墙的发展历史

在这里插入图片描述

防火墙和路由器、交换机对比

路由器与交换机本质是转发（数据通信），防火墙的本质是控制（流量筛选、流量过滤）

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3877fmbC-1670035926750)(G:\知了堂\mackdown\image-20221111092455054.png)]$

防火墙和路由器实现安全控制（ACL）的区别

	防火墙	路由器
背景	产生于人们对于安全性的需求	基于对网络数据包路由产生的
目的	保证任何非允许的数据包“不通”	保持网络和数据的“通”
核心技术	基于状态数据包过滤的应用级信息流过滤	路由器核心的ACL列表是基于简单的包过滤
安全策略	默认配置即可以防止一些攻击	默认配置对安全性的考虑不够周全
对性能的影响	采用的状态包过滤，规则条数，NAT规则数对性能的影响较小	进行包过滤会对路由器的CPU和内存产生很大的影响
防攻击能力	具有应用层的防范功能	普通路由器不具有应用层的防范功能

DPI

传统网络设备基于五元组：源、目标地址、协议类型、源、目的端口号
DPI提供七层业务层的报文深入分析，是业务层安全和控制的重要手段

在这里插入图片描述

DPI称为深度包检测，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，已达到应用层网络协议识别为目的的技术

所谓深度是和普通的报文分析层次相比较而言的，普通报文检测仅分析IP包的层4以下的内容，包括源地址，目的地址，源端口，目的端口以及协议类型，。而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别到各种应用和其内容，是对传统数据流检测技术的延伸和加强

防火墙分类

传统防火墙

具有数据包过滤，NAT网络地址转换、协议状态检查以及VPN功能等功能

UTM防火墙

融合传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等

UTM产品针对每一个功能采用一个安全引擎，知识把多种安全引擎叠加在一起。因此在每个UTM模块（av、IPS、URL过滤）都进行分别执行解码、状态恢复

NGFW防火墙

全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

防火墙对比

在这里插入图片描述

一体化检测是指对一条流量的内容只进行一次检测和处理，就能实现包括对反病毒、入侵防御在内的内容安全功能

防火墙的厂商

进口产品：cisco ASA 、PIX、Firepower

Juniper SRX系列、Datacenter系列

国内：华为USG产品、天融信NCFW系列、H3C FW、深信服系列、启明星辰系列

软件防火墙：Netfilter/IPtables、ISA、TMG、Squit、Windows防火墙

华为防火墙产品介绍

华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9500四大系列，涵盖低、中、高端设备，型号齐全功能丰富，完全能够满足各种网络环境的需求。其中，USG2000和USG5000系列定位于UTM产品，USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。
USG2100集防火墙、UTM、VPN、路由、无线（WIFI/3G）等于一身，即插即用，配置方便，可以为为客户提供安全、灵活、便捷的一体化组网和接入解决方案。
USG6000作为华为面向下一代网络环境的防火墙产品，提供以应用层威胁防护为核心的下一代网络安全，让网络管理员重新掌控网络，看得更清、管得更细、用得更易。具有最精准的应用访问控制、6000+应用识别、多种用户认证技术、全面的未知威胁防护、最简单的安全管理、最高的全业务性能体验等优点。
USG9500是业界首款T级数据中心防火墙，成功通过了业界权威第三方安全测评机构美国NSS实验室的测试，获评为业界最快的防火墙。USG9500采用分布式软硬件设计，融合了多种行业领先的专业安全技术，将交换、路由、安全服务整合到统一的设备中，在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。

防火墙的工作原理

防火墙工作模式

路由模式（具备路由器的功能）
透明模式（具备交换机的功能）
混合模式（既支持路由模式也支持透明模式）

安全区域的概念

安全区域的划分

trust：用于连接内部网络（内网区域）85
untrust：用于连接防火墙自身网络（外网区域）5
DMZ：默认情况下，华为防火墙拒绝任何区域间的流量，如需放行，需要管理员设置策略（内网服务器区域：用于连接内网发布的服务器区。安全性中等）50
Local：防火墙本机区域

安全区域级别

在这里插入图片描述

安全域间、安全策略与报文流动的方向

安全域间是指两个安全区域的唯一道路

安全策略即在道路上设立的安全关卡

在这里插入图片描述

优先级高的进入低优先级属于出口outbound

低优先级进入高的属于入口intbound

防火墙出接口流量

Inbound:入方向

outbound：出方向

包过滤技术

实现包过滤的核心技术是访问控制列表

包过滤防火墙只根据设定好的静态规则来判断是否允许通过报文通过
在这里插入图片描述

缺省包过滤

如果防火墙域间没有配置安全策略，或查找安全策略时，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作

在这里插入图片描述

状态检测和会话机制

根据内网设备访问外网设备，会建立一个会话连接表，如果回应在连接表里，则会允许通过，不用单独写策略

dis firewall session table 查看会话表

安全策略命令

在这里插入图片描述

可以定义的目标策略

安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略

规则的本质是包过滤

在这里插入图片描述

安全策略配置流程图

在这里插入图片描述

配置接口IP地址并将接口加入相应安全区域

interface GigabitEthernet1/0/1
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2
 ip address 1.1.1.1 255.255.255.0
 #
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/
 
 
#
[FW1]firewall zone trust 				//进入安全区域
[FW1-zone-trust]add int g0/0/0				//将g0接口加入该区域，会报错，因为该接口默认在这个区域
[FW1]security-policy 					//配置安全策略实现流量通过
[FW1-policy-security]rule name yes_telnet		//配置安全策略名称，随便取名
[FW1-policy-security-rule-yes_telnet]source-zone trust 		//定义来源区域，为客户机所在区域
[FW1-policy-security-rule-yes_telnet]destination-zone local 	//定义目标区域，即防火墙本身
[FW1-policy-security-rule-yes_telnet]action permit 		//定义该规则的动作，是拒绝还是允许，允许！
[FW1-policy-security-rule-yes_telnet]q
[FW1-policy-security]q

2、配置安全策略

security-policy   
  rule name policy_sec_1  
    source-zone trust 
    destination-zone untrust 
    source-address 10.1.1.0 24  
    action permit

多通道协议

遇见使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义

在这里插入图片描述

FTP ：20 传输数据 21建立连接

主动模式：以服务器为参照

被动模式：客户端主动向服务器发向连接

真实环境下，双方都开启了防火墙，一般都是用主动模式

ASPF与server-map表

设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用正常的通信。这个功能称为，所创建的会话表项叫做server-map表

server-map表

Server-map表与会话表的关系如下：
Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制；
会话表是通信双方连接状态的具体体现；
Server-map表不是当前的连接信息，而是防火墙对当前连接分析后得到的即将到来报文的预测；
防火墙收到报文先检查是否命中会话表；
如果没有命中则检查是否命中Server-map表；
命中Server-map表的报文不受安全策略控制；
防火墙最后为命中Server-map表的数据创建会话表。

配置ASPF

fire interzone trust dmz

delect ftp

自动生成Server-map表

display firewall server-map（查看map表）
Type: ASPF, 1.1.1.254 -> 10.2.0.254:2097, Zone:—
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10
Vpn: public -> public

后续报文匹配会话表转发

display firewall session table
ftp VPN: public --> public 10.2.0.254:2095 ±> 1.1.1.254:21
ftp-data VPN: public --> public 1.1.1.254:20 --> 10.2.0.254:2097

防火墙基本配置

基础命令

USCG6000V防火墙认证信息

admin Admin@123

管理接口配置

进入接口：service-manage all permit

console 口有个默认配置时间，超时了会自动退出

进入console口

：idle-timeout 0

设备管理配置

设备认证

AAA 安全一点基于账户密码

Passwd 基于密码

AAA优先于passwd

管理方式

console

telnet

web

ssh

telenet

WEB视图管理防火墙

防火墙NAT技术

NAT概述

NAT分类

静态NAT

一个私网地址转换为一个公网地址
动态NAT

一个范围私网地址转换为一个范围的公网地址
NAPT

一个范围私网地址对应一个公网地址的多个端口（该公司非公司出口路由器公网ip）
EASY-IP

一个范围私网地址对应一个公网地址的多个端口（该公网地址时公司出口路由器IP地址）
NAT Server

一个私网地址的一个端口对应一个公网地址的一个端口（一般用于外网访问内网服务器）

黑洞路由

源地址转换场景下环路和无效ARP问题

目的地址转换场景下环路和无效ARP问题

解决环路及无用ARP方法：

配置洞路由

NAT类型	描述	是否配置黑洞路由
NAT No-PAT（动态NAT）	当公网用户访问转换后地址时产生环路或者产生ARP报文	是
NAPT	当公网用户访问转换后地址时产生环路或者产生ARP报文	是
出接口地址easy-ip	转换后的地址就是外网接口地址，公网用户访问改地址被防火墙接收（策略允许），不产生环路	否
NAT Server/静态NAT（粗泛）	当公网用户访问映射后地址直接转发给内部服务器	否
NAT SServer（精细）	当公网用户访问映射后地址时产生环路或者产生ARP报文	是