一、简介
防火墙:一个连接两个或多个网络区域,并且基于策略限制区域间流量的设备。
本质:监控作用,从一个区域到另一个区域的流量是通过安全策略来监控的
1.防火墙的三种类型:
包过滤防火墙–代理防火墙–状态检测防火墙
1)包过滤:本质ACL,逐包检测
缺点:
逐包检测,不能关联后续报文;
无法针对多通道协议放行端口;
不能检测应用层数据
2)代理防火墙
本质是做代理,典型应用:WAF
缺点:
(1)速度慢
(2)针对每个应用开发,升级困难
3)状态检测防火墙:
(1)解决后续报文无法关联的问题
方案:首包建立会话,形成会话表,后续报文只需要匹配会话表
华为防火墙中的首包:TCP和ICMP
(2)解决多通道协议端口随机问题
方案:ASPF,应用特殊包过滤
(3)解决无法检测应用层内容
方案:安全策略中的内容安全(UTM)
关闭状态检测:
[USG6000V1]undo firewall session link-state check
防火墙硬件平台分类:intel x86-----ASIC----NP—多核
2.防火墙组网方式:
直路部署:
三层:改变网络结构,功能全面·
二层:不改变网络结构
旁路部署:
二、安全区域
默认四个zone:local、trust、untrust、dmz
local----本地区域,优先级100,所有的防火墙接口都属于local,用户不能改变zone区域本身的任何配置,包括添加接口
trust—信任区域,优先级85,一般用来连接内部的网络
untrust—非信任区域,优先级5,一般用来连接外部网络
DMZ----非军事区,优先级50,
优先级对NGFW时没有意义,只是一个管理数字,但是需要配置,只要不重复即可
接口不划分到对应的安全区域,此接口无法工作
查看zone:
dis zone
2019-07-24 08:11:52.560
local
priority is 100
interface of the zone is (0):
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
创建zone:
[USG6000V1]firewall zone name zone1
[USG6000V1-zone-zone1]set priority 30
dis zone zone1
2019-07-24 08:31:11.710
zone1
priority is 30
interface of the zone is (0):
四、防火墙转发原理
工作原理:本质就是根据会话表转发
1.建立会话—匹配会话表放行
2.未建立会话:
1)不是首包----丢弃
2)首包
简要匹配:查路由表—安全策略—建立会话表
开启状态检测-----判断是否是首包----没有会话表创建会话表
清除会话表:
reset firewall session table
3.多通道协议问题
单通道:通信过程中只需占用一个端口协议
多通道协议:通道过程需占用两个或两个以上端口的协议。
解决:ASPF
转发: ASPF----监视通信报文----生成Server-Map表----生成会话表
4.ASPF:application specific packet filter ,高级通信过滤,它检查应用层协议信息并
且监控连接的应用层协议。对于特定应用协议的所有连接,每一个连接状态信息都将
被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
作用:监视通信过程中的报文,动态创建和删除过滤规则
5.Server-map
server-map的优先级高于安全策略,当匹配到server-map时,不再匹配安全策略
Server-map应用场景:
转发QQ/MSN/TFTP等STUN类型协议、转发多通道协议、NAT-Server或SLB
时、NAT No-PAT
0 default enable deny 20
-------------------------------------------------------------------------------**
[USG6000V1]inter g1/0/1
[USG6000V1-GigabitEthernet1/0/1]dis this
2019-07-24 09:46:39.000
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.1 255.255.255.0
arp-proxy enable
service-manage ping permit
Return
ping测试:
ping 10.1.1.1
PING 10.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=255 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=255 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
1.安全策略业务流程:条件–动作–配置文件
1)匹配条件:源目zone、源目地址、用户、服务、应用、时间段
2)动作:允许、拒绝
3)配置文件(可选):内容安全检测
例:策略配置
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
destination-address 20.1.1.0 mask 255.255.255.0
service icmp
action permit
查看会话表:
[USG6000V1]dis firewall session table
2019-07-24 10:17:00.500
Current Total Sessions : 1
icmp VPN: public --> public 10.1.1.2:55467 --> 20.1.1.2:2048
2.地址和地址组
3.服务和服务组
4.应用和应用组
5.配置时间段
安全策略配置:
1.定义对象,供安全策略调用
定义地址:
ip address-set Trust_net type object
address 0 10.1.1.0 mask 24
address 1 10.1.2.0 mask 24
address 2 10.1.3.0 mask 24
定义服务组:
ip service-set p_s type group 0
service 0 service-set http
service 1 service-set ftp
service 2 service-set ssh
定义时间:
time-range worktime
period-range 09:30:00 to 18:00:00 working-day
2.安全策略
security-policy
rule name deny_t_u
source-zone trust
destination-zone untrust
source-address address-set Trust_net
application category Entertainment
time-range worktime
action deny
rule name p_u_d
source-zone untrust
destination-zone dmz
service p_s
action permit
rule name p_t_any
source-zone trust
destination-zone untrust
source-address address-set Trust_net
action permit
3.检查
安全策略匹配由上到下匹配