SRX防火墙基础知识

1、关于防火墙

网络安全问题成为近年来网络问题的焦点

网络安全包括基础设施安全、边界安全和管理安全等全方位策略

防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安

全隔离,保护内部网络免受外部***

与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策

略下数据报转发速率

由于防火墙用于边界安全,因此往往兼备NAT、***等功能


2、防火墙分类

 

包过滤防火墙(Packet Filtering)

包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。

包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。

 

代理型防火墙(application gateway)

代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。

代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富

的业务,只能针对某些应用提供代理支持。


状态检测防火墙

状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被

维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。


软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上

就是一个应用软件。

 

l 工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一

些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软

件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。

 

l 电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面

优化结构,保证防火墙产品可以得到最优的处理性能和高可靠性。

 

l 基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处

理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可

以达到1G线速的处理能力。



3、深度检测

ALG、ASPF、INSPECT

它检查应用层协议信息并且监控基于连接的应用层协议状态,还能够对

应用层报文的内容加以检测,以对一部分***加以检测和防范



4、主要防火墙性能指标

 

吞吐量

其中吞吐量业界一般都是使用1K~1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200

字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支

持大量规则下转发性能。

 

每秒建立连接速度

指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通

信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙

建立连接速率较慢,在客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在

受到***时,这个指标越大,抗***能力越强。这个指标越大,状态备份能力越强。

l

并发连接数目

由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一

个连接就是一个TCP/UDP的访问



5UTM

什么 是UTM?

l Unified Threat Management

l 统一威胁管理

l 防火墙+***+上网行为+AV防病毒+IPS+URL过滤


6、防火墙区域概念

TRUST 信任区域

UNTRUST 非信任区域

DMZ 非军事区

 

INSIDE 信任区域

OUSIDE 非信任区域

DMZ 非军事区


6、工作模式:透明模式

transparent模式:(透明模式)

在transparent模式下,设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地

址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内

是有效且可寻路的,untrust很可能就接互连网了。

在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使防火

墙在网络中不可见。但是,防火墙、***和流量管理还是要通过配置设备的策略来生效。

防火墙相当于一个2层交换机(2层交换机本身是没有ip地址的)




7、工作模式:路由模式

当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像

transparent模式,所有的网口都处于不同的子网当中。这个网口处理通过的流

量时不nat,即ip包头中的源地址和端口号都保持不变



8、工作模式:NAT模式

当一个网口处于nat模式,防火墙会把从trust口往外的ip包中的源ip地址和源端口改掉,

将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口、或是

一对一转换、或是基于端口转换等多种情况方式。

NAT不仅限于公网私网地址转换、也可以用在隐藏内网主机信息、解决外部地址稀缺、

无路由或路由冲突的情况。



9、接口与区域

接口:接口的作用相当于一个出入口,信息流通过接口进入和退出设备。

许多接口可以有完全相同的安全要求;但是,不同的接口对入站和出站数据包也可以有不同的安全

要求。

安全要求完全相同的接口可以一起分组到一个安全区段中。(多个接口可属于同一个安全区域)

 

安全区域:一个安全区段是一个或多个网络段的集合,这些网络段需要遵守按策略入站和出站信息流的

规定。安全区段是绑定了一个或多个接口的逻辑实体。

在单个设备上,可以配置多个安全区段,将网络分成多段,可对这些网段应用各种安全选项以满

足各段的需要。必须最少定义两个安全区段,以便在网络的不同区段间分开提供基本的保护。

从安全策略的角度来看,信息流进入一个安全区段,然后离开到另一个安全区段上去。from-zone

(源区段)和to-zone(目标区段)的这种组合被定义为环境。每个环境都包含一个按顺序排列

的策略列表



区域、接口和路由实例

Interfaces、zones、routing instances之间的关系示意图



区域(zone)类型

Zone是共 享相 同安 全级别 的一 组网 络接口 的集 合。SRX3K/5K的所有接口默认都放在null zone内。Null zone是一种系统预定义的特殊的安全域,null zone内的接口不能接受外界的任何报文,也不能对外发送任何报文,即null zone内的接口是不参与业务转发的。因此要配置安全策略,必须先创建zone,并把接口分配到相应的zone里去



User-Defined Zones

共同的特性:

• 可配置

• 可分配接口

§包括两种类型:

• Security zone

• Functional zone



Security Zone

Security zones:

• 由一个或多个网段利用策略进行出、入流量的控制

• 用于用户的业务数据流量传输:

• 在intrazone和interzone之间必须配置安全策略来控制业务数据流量的传输

• 没有默认定义的security zones

• 同一个zone不能属于不同的routing instances



Functional Zones

Functional zones 是一个特殊用途的 zones

• 目前只有一个用途—management zone

• 用于设备的带外网管

• 不能指定策略

• 该management zone不能传输用户业务数据

• 一个设备只能定义一个management zone

管理区段承载管理接口。

• 进入管理区段的信息流不匹配策略;因此,如果在管理接口中接收了信息流,则

无法从其他任何接口传出信息流。

• 管理区段只能用于专用管理接口。



System-defined Zones

junos-globalzone:

• 作为static NAT addresses的存储

• 不可配置

• 不能分配接口

§Null zone:

• 不可配置

• 所有的接口默认均属于Null zone

• 当接口从一个zone中删除,该接口会重新属于Null zone

• 所有属于Null zone的接口均不能传输数据



Defaults Zones

Only one system-defined

default zone:

•Null

§Factory-default

configuration defines two

security zones:

•Trust:默认包括

ge-0/0/0.0

•Untrust:默认没有接口

Default Zones

Null

Factory- - Default Zones

trust

ge-0/0/0.0

Untrust


缺省情况下,接口位于Null 区段。在将接口分配到区段之前,接口不会传递信息流



Zone配置

1、创建安全域zone

set security zones security-zone trust

set security zones security-zone untrust

2、分配接口到相应安全域zone

set security zones security-zone trust interfaces ge-0/0/0.0

set security zones security-zone untrustinterfaces ge-0/0/1.0

set security zones functional-zone management interfaces ge-0/0/2.100

 

当然了,接口还配置IP:

set interfaces ge-0/0/1 unit 0 family inet address 10.12.12.1/24



Zone配置

每个zone还可以定义自己的DDoS防护选项,这是通过[Screen]配置来实现的

1、定义Screen的ips-options模板test

set securityscreen ids-optiontesticmpfragment

set securityscreen ids-optiontesticmpflood

set securityscreen ids-optiontesttcpport-scan

set securityscreen ids-optiontesttcpsyn-flood

set securityscreen ids-optiontesttcpland

set securityscreen ids-optiontesttcpwinnuke

set securityscreen ids-optiontestudpflood

2、在securityzone上引用Screen的ips-options模板test

set securityzonessecurity-zonetrustscreentest



Zone配置

SRX安全策略里不能直接使用IPv4/IPv6的prefix作为策略匹配的源地址和目标地址,

必须先在相关zone的地址本里创建地址本对象,再在安全策略里引用这些对象。

配置举例:

set security zones security-zone trust address-book address internal-192.168.1.0/24

192.168.1.0/24

set security zonessecurity-zoneuntrust address-book address webserver 202.103.78.29/32

address-book还支持创建address-set来包含多个离散的地址,以方便策略引用



非穿越流量:管理流量

默认直接访问SRX设备的流量是禁止的:

• 利用host-inbound-traffic 参数来控制哪些流量允许从zone或接口访问SRX设备

• 所有从SRX设备本身往外访问的流量都是允许的



1、允许trust zone接受telnet/ssh管理流量

set security zones security-zone trust host-inbound-traffic system-services ssh

set security zones security-zone trust host-inbound-traffic system-services telnet

也可限制接口

set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-

services http

也可以用except

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic system-services telnet except



非穿越流量:协议流量

2、允许trust zone接受ospf/bgp路由信令

set security zones security-zone trust host-inbound-traffic protocols ospf

set security zones security-zone trust host-inbound-traffic protocols bgp



Monitoring Zones

The show security zonescommand provides information about:

• Zone types

• Zone names

• Number of interfaces bound to corresponding zones

• Interface names bound to corresponding zones


Additional interface-specific zone information is available by using the show

interfaces interface-name extensivecommand:

 

user@host> show interfaces ge-0/0/3.200 extensive

Logical interface ge-0/0/3.200 (Index 69) (SNMP ifIndex 47) (Generation 136)

Flags: SNMP-Traps VLAN-Tag [ 0x8100.200 ] Encapsulation: ENET2

Traffic statistics: