防火墙入门知识点整理

1、保证互联互通 逻辑子网的访问控制,关注边界安全
2、按照最长匹配算法逐包转发 基于连接的转发特性
3、路由协议是核心特性 安全防范是核心特性


防火墙的分类:
包过滤防火墙:通过定义的特定规则对数据包中”五元组“属性进行判断过滤。(由于每次需要对数据包进行策略检查,所以速度较慢)
状态检测防火墙(ASPF:application specific packet filter):通过检测连接状态判断该数据包是否合法。(基于流的判断)
代理型防火墙:使防火墙做为一个中间节点。


防火墙应用场景:
防火墙灵活应用于网络边界,子网隔离等位置。


防火墙的发展历史:
      包过滤             应用代理         状态检测                                UTM                                    NGFW
          |                       |                        |         |     |                           |          |                                |
      访问控制 ----- 代理技术 ------会话机制     专用设备-------多功能叠加    DPI技术---基于用户+应用+内容进行管制  


安全区域(Security Zone):简称为区域(Zone),它是一个或多个接口的集合,防火墙通过安全区域来划分网络,标示报文的流动路线。
一般来说,当报文在不同的安全区域之间流动时才会受到控制。
域分类(按安全级别划分(数值越大,安全级别越高)):
1、Untrust(非受信任区域):安全级别为5,通常用于定义互联网流量。
2、DMZ[demilitarized zone](非军事化区域/隔离区):安全级别50,通常用于定义内网服务器所在区域(可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。)。
因为这些设备虽然部署在内网,但经常要被公网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以部署安全级别比Trust低,但比Untrust高。
3、Trust(受信任区域):安全级别85,通常用于定义内网所在区域
4、安全级别100,该区域主要定义,设备自身发启的流量,或者是抵达设备自身流量。比如Telnet、SNMP、NTP、IPsec VPN等流量。用户不能改变Local区域本身的任何配置,包括添加接口。


报文在安全区域之间的流动:
      报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),
报文从高级别安全区域向低级别安全区域流动时为出方向(Outbound)。
防火墙如何判断报文在哪两个安全区域之间流动呢?
首先,源安全区域很容易确定,防火墙从哪个接口接收报文,该接口所属的安全区域就是报文的源安全区域。
      确定目的安全区域时分两种情况:
三层模式下,防火墙通过查找路由表确定报文将要从哪个接口发出,该接口所属的安全区就是报文的目的安全区域;
两层模式下,防火墙通过查找MAC地址转发表确定报文要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。
源安全区域和目的安全区域确定后,就可以知道报文从哪两个安全区域之间流动了。
      另外还有一种情况:
在VPN场景中,防火墙收到的是封装的报文,将报文解封装后得到原始报文,然后还是通过查找路由表来确定目的安全区域,报文从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。
    而源安全区域不能简单地根据收到的接口来确定,此时防火墙会采用“反向查找路由表”的方式来确定原始报文的源安全区域。
具体来说,防火墙把原始报文中的源地址假设成是目的地址,然后通过查找路由表确定这个目的的地址的报文将要从哪个接口发出,该接口所属的安全区域是报文将要去往的安全区域。
反过来说,报文也就是从该区域发出的,所以反查路由表得到的这个安全区域就是报文的源安全区域。
 
安全区域的配置

安全区域的建立主要包括创建安全区域以及将接口加入安全区域。除了物理接口可以加入安全区域,防火墙还支持逻辑接口,如子接口,VLANIF接口等,这些逻辑接口使用时也需要加入安全区域。


你可能感兴趣的:(防火墙入门知识点整理)