目录
网络安全之防火墙
路由交换终归结底是联通新设备
防御对象:
定义:
防火墙的区域划分:
包过滤防火墙 --- 访问控制列表技术 --- 三层技术
代理防火墙 --- 中间人技术 --- 应用层
状态防火墙 --- 会话追踪技术 --- 三层、四层
UTM --- 深度包检查技术 --- 应用层
下一代防火墙
防火墙的区域
防火墙的安全区域
安全区域的优先级的作用
防火墙策略配置
定义与原理
防火墙策略配置
安全策略工作流程
查询和创建会话
ASPF技术
server-map表
STUN类型协议与server-map表
端口识别
NAT ALG
NAT域间双向转换
NAT域内双向转换
双出口NAT
防火墙的接口模式
路由模式
交换模式
接口对模式
旁路模式
防火墙的高可靠技术
VRRP
VGMP
VGMP的基本原理
VGMP状态机
VGMP状态切换
HPR协议
HPR的产生
HRP数据备份范围
在防火墙双机热备组网中必须首先解决的问题
双机热备组网的建立和运行需要解决以下5个关键问题
网络安全之防火墙
路由交换终归结底是联通新设备
网络在远古时期没有防火墙大家都是联通的,any to any
防御对象:
- 授权用戶
- 非授权用戶
定义:
防火墙是一种隔离(非授权用户在区域间)并过滤(对保护网络有害流量或数据包)的设备
防火墙的区域划分:
根据安全等级来划分
包过滤防火墙 --- 访问控制列表技术 --- 三层技术
工作过程:包过滤防火墙可以理解为就是ACL访问控制列表技术;他主要就是在检测的时候根据五元组【IP地址、源端口、目的IP地址、目的端口和传输层协议】来进行的。这样的话他的防御的网洞太大,导致不管多大的都能进来,但是要是只限制他只能访问http80端口的话,内网在访问外网其他协议的时候,出去就不能回来了,这样的话也不行。
特点:简单、速度快
检查的颗粒度粗
颗粒度:
颗粒度越细,表示细节越详尽,越有助于了解事情的全貌
颗粒度越粗,表示细节越少,更多的是抽象概括。
代理防火墙 --- 中间人技术 --- 应用层
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备
工作过程:也就说说如果内网想要访问外网的一个东西的时候,他不是直接发送到外网的目标地址,而是出现了一个服务器,你访问出去之后,会先将你的消息发送到这个服务器上,然后在由服务器发给你要访问的最终地址。
如果开启代理的话,他所访问的就不是源目标地址,而是换了一个路径到达了代理服务器上,由这个服务器发送到源目标地址,而上面的过程就需要使用到socket来进行;而不同的访问的应用不同,所要使用的代理技术也不同,并且应用之间是不能通用的
特点:代理技术智能正对特定的应用来实现,应用之间通行使用固定设备
技术复杂,速度慢
能防御应用层威胁,内容威胁
状态防火墙 --- 会话追踪技术 --- 三层、四层
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
工作过程:数据包首先会到达状态检查某块,通过对数据包的分析,提取数据包报文头文件信息,检查数据包是否符合在状态表中某个已经建立的有效的会话连接记录,如果符合记录,则会根据报文头信息更新的状态表进行放行
若与状态表中无匹配表项,则检测他与规则表是否匹配,不匹配的话就直接丢掉
如果匹配进一步判断是否允许建立新连接,这时候根据ip协议承载的上层不同协议类型建立新表项,最终报文加载状态信息进行处理。
特点:首包机制
细颗粒度
速度快
hash:
散列算法(Hash Algorithm),又称哈希算法,杂凑算法,是一种从任意文件中创造小的数字「指纹」的方法。与指纹一样,散列算法就是一种以较短的信息来保证文件唯一性的标志,这种标志与文件的每一个字节都相关,而且难以找到逆向规律。因此,当原有文件发生改变时,其标志值也会发生改变,从而告诉文件使用者当前的文件已经不是你所需求的文件。
Hash 算法能将将任意长度的二进制明文映射为较短的二进制串的算法,并且不同的明文很难映射为相同的 Hash 值。
CAM:
内容可寻址存储器CAM(Coment-Addressable Memo-ry)以内容进行寻址的存储器,是一种特殊的存储阵列RAM。它的主要工作机制就是将一个输入数据项与存储在CAM中的所有数据项自动同时进行比较,判别该输入数据项与CAM中存储的数据项是否相匹配,并输出该数据项对应的匹配信息。
UTM --- 深度包检查技术 --- 应用层
原理:将应用网关和IPS等设备在状态防火墙的基础上进行整合和统一
特点:把原来分散的设备进行统一管理,有利于节约资金和学习成本
统一有利于各设备之间协作
设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢
下一代防火墙
2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能 同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量 执行深度检测,并阻断攻击。
NGFW必须具备以下能力:
1. 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状 态检测、NAT、VPN等。
2. IPS 与防火墙的深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防 火墙的“集成”而不仅仅是“联动”。例如:防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品 的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引 进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对 七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化 带来的管控难题。
防火墙的区域
防火墙的安全区域
安全区域(Zone)是一个或多个接口的集合,是防火墙区别于路由器的主要特征。
防火墙默认情况下为我们提供了三个安全区域,分别是 受信区域Trust、非军事化区域DMZ和 非受信区域Untrust。
安全区域A --- Trust区域 --- 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
安全区域B --- DMZ区域 --- 该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
安全区域C --- Untrust区域 --- 该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络
安全区域的优先级的作用
每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。
注意:
在同一个安全区内的主机可以ping通,不会触发安全检查。报文在不同的安全区域之间流动时,才会触发安全检查。若想要不同安全区域连通,需要配置安全策略,先配置允许trust区域流量去往untrust,再配置untrust区域流量去往trust的安全策略
进入防火墙图形界面
点击网络
进入网络配置界面,选择安全区域
新建安全区域,点击确定
点击接口,1/0/6口变为安全区域口
防火墙策略配置
定义与原理
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以 进行合法的通信。
安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的 数据流进行检验,符合安全策略的合法数据流才能通过防火墙。
防火墙策略配置
安全策略工作流程
查询和创建会话
ASPF技术
server-map表
多余多通道协议比如FTP、VOIP等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表。
解决办法 --- 使用ASPF技术,查看协商端口号并动态建立server-map表放过协商通道的数据
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后需建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
STUN类型协议与server-map表
转发 QQ/MSN等STUN(Simple Traversal of UDP over NATs,NAT的UDP简单穿越)类型会生成的三元组Server-map表项
要实现QQ2在外网主动向QQ1内网的语音或者视频连接,也需要防火墙对该应用采用ASPF的方式处理来监听协商端口
MSN等用户连接服务器时,设备会记录下用户的IP地址和端口信息,并动态生成STUN类型的Server-map。这个Server-map表中不仅包含三元组信息,即通信一方的IP地址,端口号和协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。只要有关的流量存在,STUN动态的Server-map就将一直存在。在所有相关流量结束后,Server-map表开始老化
端口识别
端口识别是把非标准协议端口映射成可识别的应用协议端口
1. 配置基本ACL
[NGFW]acl 2000
[NGFW-acl-basic-2000]rule permit source 20.0.0.1 0
2.配置端口识别(或端口映射)
NGFW]port-mapping FTP port 31 acl 2000
NAT ALG
在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生成传输进程返回的nat映射
困境
某些协议会在应用层携带通信IP,这个IP用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是转三层IP,这就导致某些协议的通信阶段在nat场景下失败
ALG
Application Level Gateway 应用网关,用来处理上述应用层数据在NAT场景转换问题。这也导致交换机一般没有nat的主要原因
防火墙nat类型的server-map
<USG6000V1>dis firewall server-map
2023-03-18 08:07:54.050
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protoc
ol:tcp
Vpn: public -> public
NAT域间双向转换
一般解决内网服务器没有外网路由的问题
注意:
NAT策略 --- 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么
安全策略
把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数
NAT域内双向转换
党内网PC以公网形式访问内网服务器时,需要用到。
双出口NAT
双出口出现NAT转换错乱
解决方案:
启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管多出口是在一个安全区域还是多个安全区域都是如此做法。
原理:
通过上述手段把路由与NAT转换通过下一跳做关联
防火墙的接口模式
路由模式
防火墙的接口三层路由接口的形式参与组网
交换模式
防火墙的接口二层交换机的形式参与组网
接口对模式
接口对模式是一种特殊的二层模式,改模式的接口是成对出现,这一对接口之间转发数据不经过二层的MAC寻址,也就类似网线的形式转发,速度快。
1.设置接口为接口对形式
2.把两个接口都设置为接口对模式
3.在借口对中把两个接口加入到接口对
旁路模式
旁路模式的接口也是二层的交换机接口,改接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做ISP、审计、流量分析等任务,功能是最少的。
防火墙的高可靠技术
VRRP
负责的单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟的IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费的ARP来刷新对接设备的MAC地址转发表来引导流量。
VGMP
将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换到备用防火墙。
VGMP的基本原理
(1)由于VRRP封装的VGMP报文是组播报文,不能跨越三层传输设备,因此在双击设备组网时,要求两台设备的心跳线要么是直连的,要么是通过二层交换机进行互联,不能通过三层设备互联。当防火墙上下行设备是路由器时,要求两台防火墙必须有直连的接口作备份通道。为此,USG6000V开发了另一种VGMP的报文封装格式。
(2)UDP封装:此时VGMP的报文是单播报文。在原有的IP报头上增加了UDP头和VGMP扩展头,VGMP内部报文的格式没有变化。
VGMP状态机
VGMP管理组的主备状态决定了双机热备组网中的防火墙设备的主备状态,因此VGMP管理组的状态也可看做是防火墙设备的状态。
(1)主备模式:active -- initialize -- standby
(2)负载模式:active -- initialize -- standby -- load balance
VGMP状态切换
VGMP状态切换三大原则
(1)每个接口down时,VGMP管理组优先级降低2,计算公式为:VGMP管理组优先级 = VGMP管理组初始优先级 - N*2
(2)每台设备的VGMP管理组初始状态由用户指定(Active或Standby),Active优先级为65001,Standby的优先级为65000
(3)VGMP管理组的状态决定了该设备的主备状态,也决定了VGMP管理组成员(VRRP备份或接口)的状态。
防火墙借助VRRP实现高可靠性 --- HRP不是通用协议,是华为系统级的协议,每个厂商的防火墙采用的协议不同。
HPR协议
负责双机之间的数据同步(华为专用)
HPR的产生
状态检测防火墙对于每一个会话连接都有一个会话表项与之对应,主设备处理业务过程中创建了很多动态会话表项;而备用设备没有流量经过,因此没有创建会话表。如果设备配置切换为主用设备前,会话列表没有备份到备用设备,则会导致先前经过主用设备的业务流量因为无法匹配会话表而中断。为了实现主用备用平滑切换,必须在主用和备用设备之间备份关键配置命令和会话表状态信息,谓词防火墙引入了HRP(Huawei Redundancy Protocol)协议,实现防火墙双击之间动态状态数据和关键配置命令的实时配置。
在双机热备组网中,指定心跳线作为专门的备份通道,用于备份配置命令和状态信息。
HRP数据备份范围
通过HRP备份的数据包括主用设备的关键命令和状态信息
能够备份配置命令:只能在主用设备上配置,备用设备不能配置
不能备份的配置命令:主用设备和备用设备都可以配置
在防火墙双机热备组网中必须首先解决的问题
1. 防火墙必须能够检测到连路或设备故
2. 防火墙检测到故障后能够实现流量平滑切换
(1)当防火墙上下行业务的端口上都配置了VRRP备份组时,这两个VRRP备份组是独立运行的,可能出席县上下行两个VRRP备份组状态不一致的情况。
(2)例如:主用网关防火墙内网侧接口故障,VRRP倒换到备用网关防火墙,因此出去的流量从备用网关的防火墙上转发。但是对于外网侧的VRRP,主用网关防火墙上的VRRP依然是主,因此回程流量仍然会送到主用网关的防火墙上,但业务流量无法送回内网,导致业务中断。
双机热备组网的建立和运行需要解决以下5个关键问题
1、如何设定设备的主备状态?
2、如何监控并发现接口或设备故障?
3、发现故障后,如何保证设备的主备状态切换?
4、正常情况和故障后,如何引导流量?
5、如何进行信息同步,保证主备切换后的业务不中断?