本文讲的是一些浅显的理论知识,在后续文章中会从原理与配置两方面入手深层次的聊一聊防火墙。
目录
华为防火墙
广义防火墙:
华为防火墙默认安全区域(四个)
阻止服务器主动访问办公网络的原因
防火墙的分类
无状态包过滤防火墙
状态检测防火墙
升级版的状态检测防火墙
下一代防火墙(NGFW)
下一代防火墙与UTM区别
代理服务器
防火墙的两种工作模式
(1)路由模式
(2)透明模式
防火墙的本质:连接两个或多个网络区域,并且基于策略限制区域间流量的设备。
最基本的功能:区域隔离和访问控制 (狭义的防火墙)
默认情况:不同区域之间是不通的。想要谁同,就要做策略。
华为防火墙的安全策略默认情况下仅控制单播流量[比如OSPF、BGP、DHCP等],对组播和广播流量默认不做控制,直接放行。但是你可以通过命令让防火墙对组播流量也做控制。
特殊情况:抵达华为防火墙自身的Telnet、SSH、 HTTP、 HTTPS、 SNMP、 Netconf等管理类型的流量,不受华为防火墙安全策略的控制,受接口下命令[service-manage +协议+ permit/deny]的控制。
不需要考虑流量怎么返回
看有无会话表 看路由表 再看策略 再生成防火墙 返回的数据不在看策略(有会话表)
入侵防御系统IPS,反病毒AV,WAF,文件过滤,内容过滤,反垃圾邮件
入侵防御系统IPS:主要是抵御攻击的 如ddos tcp泛洪攻击等
反病毒AV:检测病毒的 检测到下载文件有病毒 就可以阻断这个下载的流量
WAF:是用来专门保护网站的安全的
绝大多数核心防火墙是没有WAF的功能的,很多厂商有单独的WAF产品
华为(WAF5000)思科(无)
文件过滤:防止数据泄露
如 很重要的文件都是pdf格式的 就可以在防火墙上做限制,任何pdf不允许往外传
改后缀也没用(以前可以 现在都是根据文件特征码识别 改后缀就没用了)
内容过滤:针对内容做过滤
它可以读取你文件里面的内容,哪怕你是加密的(https) 防火墙是可以解密的
它可以对你的流量进行分析,防止里面有一些敏感的内容、恶意代码等
反垃圾邮件:阻止垃圾邮件
垃圾邮件指的是任何你不想收到的邮件
防火墙有这么多功能但是是不会全部开启的,这一些功能是非常消耗防火墙的性能的。
企业想要完成上面功能的时候,并不是靠防火墙一台设备去做,会有专门的设备去防护
如:IPS(华为、绿盟) 反病毒AV(卡帕斯基、瑞星)
文件过滤、内容过滤(深信服) 反垃圾邮件(思科 有专门的 垃圾邮件防火墙)
Local区域:防火墙本地
Trust区域:信任区 (内网)
DMZ区域:非军事区,隔离区,缓存区 (服务器)
Untrust区域:非信任区 (外网)
在华为防火墙上,一个接口只能加入到一个安全区域中。
DMZ区域:作用:防止攻击者一服务器为跳板攻击办公网络
如果,服务器和办公网络在同一网段,能主动访问办公网
那么病毒、恶意代码就会直接蔓延到办公网络
1.按照形态划分:1.硬件防火墙(实物) 2.软件防火墙(内置到操作系统)
2.按照保护对象划分:1.网络防火墙(保护整个内网) 2.单机防火墙等(内置的)
3.按照应用功能划分:1.网页安全防火墙(思科WSA)(保护用户上网安全)
2.邮件安全防火墙(思科ESA)(邮件安全) 3.WAF:(保护网站安全)
4.按照访问控制方式(工作原理)分为(最主流):
无状态包过滤防火墙Stateless Packet Filtering
状态检测防火墙Stateful Packet Filtering
下一代防火墙(NGFW)Next Generation Firewall
代理服务器防火墙Proxy Server
前三种就是发展历程
不能称之为真正意义上的防火墙,更像路由器上的ACL列表
只能对静态流量作访问控制,而且配置复杂
特性:1. 依赖于静态的策略来允许和拒绝数据包
2. 对静态的TCP应用和仅仅对三-四层流量的过滤
限制:1. 不能支持动态应用
2. 实施需要专业的知识
3. 不能抵御应用层攻击
解释实施需要专业的知识:
如收发邮件需要用到两个协议:
SMTP:简单邮件传输协议(25)发送邮件
POP3:收邮件(110)
收发邮件端口不一样:如果要对邮件流量做访问控制,又不懂邮件的工作原理,就无法进行下去
解释不能低于应用层攻击:
工作再三四层:看不到七层
无需考虑回来方向的流量
真正的防火墙出现了,相比于上一代,多了一个状态检测的功能
数据包出去:策略通过:记录下来(状态表)(记录 源目IP,协议,端口等等)
回包:对比状态表:发现是刚刚出去的:不检测:直接放行
特性:1. 可靠的三到四层的访问控制
2. 配置简单(只需考虑出方向)
3. 透明并且高性能
限制:1. 不能洞察5-7层内容
2. 如果应用层流量被加密,也无法支持动态应用
解释高透明:客户感知不到防火墙的存在
解释高性能:根升级版的状态检测防火墙做对比的
(能对应用层进行控制)
统一威胁管理(UTM,Unified Threat Management )(2000-2015年提的较多)
防火墙内置的安全功能(模块) UTM (统一威胁管理)
如:IPS、AV、AC、URL过滤、反垃圾邮件等等
特性:1. 可靠的三到七层的访问控制(可识别应用层的内容了)
2. 集成各种安全模块(AC/AV/IPS等)
3. 透明和中等性能(功能多了些 需要更好的性功能 性能降低了)
限制:1. 应用层监控和控制影响性能
2. 为了深度的内容分析需要设备有很强的缓存能力
集成了IPS、AV、VPN、Ddos防护等安全功能
这种集成不是功能模块和弓|擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中。
特点:1. 用户识别、应用识别、内容扫描、威胁防护
2. 单一策略(外在)、一次解包、全面检查(内在)
做配置的时候各个模块一块做。(上一代 一个一个模块单独配置)
NGFW不是像UTM那样简单的扩展功能模块
NGFW各安全模块也不像UTM那样各个模块独立工作
而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联
使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。
UTM功能集合更像是简单的1 +1 =2甚至是1+1<2 ,而NGFW则是1+1>2
是一种模型
特性:1. 可靠的三到七层的访问控制
2. 自动的对协议进行规范化处理
3. 能够采用宽容或者限制的访问控制技术(代理服务器挂了 出还是不出)
限制:1. 不能广泛的支持所有的应用(但基本上支持)
2. 不适合对实时流量(超低延时)采取这种技术(股票等对流量要求高的不能用(需要抄低延迟))
3. 不透明(人为指定代理服务器)
华为防火墙具有两种工作模式:路由模式、透明模式
如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下。
当华为防火墙位于内部网络与外部网络之间,
需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别布配置成不同网段的IP地址,
所以需要重新规划原有的网络拓补,此时防火墙首先是一台路由器,
然后提供其他防火墙功能。路由模式需要对网络拓补进行修改,比较麻烦!
如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。
如果华为防火墙采用透明模式进行工作,只需在网络中像连接交换机一样连接华为防火墙即
可,其最大的优点是无需修改任何已有的IP配置;
此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网。
此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。
本文有自己整理而成,如有不当之处,欢迎大佬指正。