对区域间流量执行控制。
状态检测防火墙。
华为:local, trust, untrust, dmz
思科:local, inside, outside, dmz
能将多个接口加入同一个区域,但是一个接口只能属于一个区域。
不通区域内的流量通信默认不允许通过。
接口下的管理协议(一般为Telnet/SSH/HTTP/HTTPS/ICMP)策略优先。
管理员与管理员角色关联
信任主机:
指使用该账号的终端IP必须匹配配置的IP地址
等级0
图形化没有对应的管理员角色
等级1
图形化对应的配置只读(监控)管理员角色
等级2
图形化对应的配置管理员角色
等级3
图形化对应的系统管理员角色
等级4-15
与等级3权限一致
图形化界面配置的管理员角色,优先级高于命令行界面配置的等级!
http/https
工具:SecureCRT、xShell、Putty、MobaXterm
方式:Console(使用本地账号)、Telnet(不推荐)、Stelnet
Stelnet配置流程:
① 对应管理接口必须激活SSH
② VTY线路必须允许SSH协议
③ 对应账号激活SSH服务功能
④ 创建RSA密钥对
⑤ 被管理设备激活SSH功能
current-configuration - 没有保存,在内存中,关机即丢失
saved-configuration - 保存的配置,在Flash中,关机不会丢失
数据库更新或系统更新
本地更新或联网更新
1)物理接口转换为二层接口
2)配置接口模式
3)划分VLAN/放行VLAN
4)创建VLAN_IF接口,配置IP地址
5)允许对应服务(依据需求决定配置)
6)将对应的接口划入到对应的区域
1)创建VLAN
2)激活物理接口(默认激活)
3)创建与配置聚合接口(eth-trunk)
4)划分接口到聚合接口
5)创建聚合子接口
6)配置聚合子接口
① 封装VLAN
② IP地址
③ 允许对应的服务
7)将对应的接口划入到对应的区域
配置IP地址
激活接口(默认激活)
允许对应的服务
将接口加入区域
通过将备用链路的静态/默认路由优先级调低,从而将其从路由表排除
逐包:以单个数据包为判断依据,每个数据包路径都可能不一样
逐流:以一个完整的连接为判断依据,一个完整连接的所有数据包,都只走其中一条链路,新的连接才会走另一条链路
异步路由:来回路径不一致导致,防火墙直接拒绝通过!
并非所有华为防火墙都需要放行OSPF流量才能建立OSPF邻居
策略路由优先级高于路由表的路由条目,能够针对不同的用户/IP/应用来进行链路的选择
IP-Link属于策略路由健康检查的一种
对于探测TTL数据包的处理:
普通路由交换设备直接回复ICMP数据包
思科防火墙会以透明方式处理TTL
华为防火墙直接拒绝!
产生背景 — 解决因为链路切换,IP地址变化而导致的应用/游戏/网页掉线问题。
三个选项:
从该接口进来的流量,还是从该接口出去!
技术背景:若企业有两条出公网链路,一条移动一条联通。企业DHCP下发的DNS地址为移动的DNS服务器。此时,所有设备发送的DNS请求均走移动链路,得到的应答也是移动IP,联通链路成为摆设。
部署了透明代理,USG会自动判断DNS请求要走的转发链路。
域名排除:指定某个域名的DNS解析不受DNS透明代理的影响
代理策略:完全由防火墙代理PC发送DNS请求
静态与动态DNS:静态DNS指的是一个域名对应一个IP;动态DNS指的是一个域名对应随机公网IP。
TCP为面向连接、有序协议,有首包的概念。防火墙必须监控到TCP所有数据包。
UDP为无连接的、无序的协议,没有首包的概念
ICMP也没有首包概念,防火墙必须监控到ICMP请求包,才会允许ICMP应答包
发送反馈报文,作用在于USG丢弃连接报文同时同步给对应服务器信息,使其释放掉维护连接的资源。
控制信道,基于TCP端口号21,用于转发控制流量,例如认证流量
数据信道,基于TCP端口号20,用于转发数据流量,例如上传/下载
由于控制信道和数据信道使用不同的端口号,并且主动模式下,数据信道是服务器连接客户端,所以你在防火墙看到的状态化表项如下
ftp VPN: public --> public 5.5.5.2:49172 ±> 10.10.10.1:21
ftp-data VPN: public --> public 10.10.10.1:20 --> 5.5.5.2:49173
客户端通过PORT命令通知服务器数据信道连接的IP地址和端口号
控制信道,基于TCP端口号21,用于转发控制流量,例如认证流量
数据信道,基于TCP端口号随机端口,用于转发数据流量,例如上传/下载
由于控制信道和数据信道使用不同的端口号,并且被动模式下,数据信道是客户端连接服务器,所以你在防火墙看到的状态化表项如下
ftp-data VPN: public --> public 5.5.5.2:49180 --> 10.10.10.1:49165
ftp VPN: public --> public 5.5.5.2:49178 ±> 10.10.10.1:21
客户端通过PASV命令查询服务器是否支持被动模式,若服务器支持,回复227+客户端需要连接的IP地址和端口号
1.USG已经存在该流量控制信道的状态化表项
2.同时USG激活了针对该协议的ASPF
display firewall server-map
Type: ASPF, 10.10.10.1 -> 5.5.5.2:49182, Zone:—
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public
该协议额外产生的数据信道,不再查询安全策略,直接产生数据信道的状态化表项,放行。
虚拟化防火墙USGv默认没有激活
静态NAT,一对一转换,一个内网地址对应一个公网地址
动态NAT,多对多转换,多个内网地址对应一个公网地址池中的不同公网地址
静态PAT,一对一端口转换,一个内网地址对应一个公网地址的一个端口号,S 1.1.1.1 8080 -> G 2.2.2.2 80
动态PAT,一对一端口转换,一个内网地址对应一个公网地址的随机端口号
PAT最明显的特点,就是公网地址能够复用,一般支持一个公网地址复用6W次+
一个源端口对应一个公网地址的端口,而不是一台设备对应一个公网地址的端口
Paloalto防火墙,能够利用超额预订技术,实现不同的内网地址,不同的目的地址,使用相同的公网IP+相同的端口号,最多复用8次,即6W*8,nat oversubscription
私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet
NAT No-PAT,适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景
NAPT,适用于公网地址数量少,需要上网的私网用户数量大的场景,若只有一个公网地址且已经配置在出口设备公网接口,将内网流量转换到公网接口地址再访问互联网—Easy-IP
仅USG9K支持的技术
Smart-NAT,针对公网地址池,可区别使用,例如一部份一对一,一部分PAT
三元组NAT,针对应用能够允许外网主动访问内网
思科ASA安全策略对NAT流量的放行:
如果ASA版本是8.4之前的—安全策略放行转换后地址
如果ASA版本是8.4之后的—安全策略放行转换前地址
ASPF不仅能够实现动态协议多信道的正常穿越USG,同时,能够保障动态协议穿越地址转换技术时依然正常工作
Server-map表不仅会存放多信道协议额外产生的信道,同时还会存放NAT转换依据(正反向)
激活了ASPF,同时也就激活了NAT-ALG
正常情况下,外部设备回包,USG依据该包的IP地址与端口号查询状态化信息和Server-map表,匹配就转发
非正常情况下,恶意攻击设备,伪装随机的IP地址,给转换后的地址发送数据包,USG查询不到该数据包的状态化表项,就会不断的发送ARP请求,直至设备性能耗尽
部署黑洞路由,一经发现没有状态化表项,却想访问转换后的地址的外部数据包,直接丢弃
正常情况下,外部设备回包,USG依据该包的IP地址与端口号查询状态化信息和Server-map表,匹配就转发
如果部署的是NAPT,NAPT技术本身就不允许外网主动访问内网,所以不会产生任何Server-map表
USG防火墙针对该情况,会通过路由表回包给发包设备,发包设备又依据路由回包给防火墙,形成环路
部署黑洞路由,NAPT情况下,外网访问内网的数据包,一经发现,直接丢弃,USG不再转发
用于发布内网服务器或特定服务
1.简单轮询
将客户端的业务流量依次分配到各个服务器上
2.加权轮询
依据权重来决定服务器处理的请求数量
3.源IP Hash
依据HASH算法来自动分配流量到不同的服务器
4.最小连接
将流量分配到并发会话数最少的服务器上进行处理
双向NAT不是一个单独的功能,而是源NAT和目的NAT的组合
将一台物理防火墙通过物理设备虚拟技术分离出多个子防火墙,每个子防火墙都是独立的。
不同的是,USG6000V是一个软件层面的设备,属于NFV。
拥有独立的管理员、配置、路由表
子墙之间的流量转发需要策略放行
需要为每个子墙分配系统资源
关于接口共享技术
思科防火墙支持将同一个接口同时分配给不同的子防火墙
华为防火墙不支持将同一个接口同时分配给不同的子防火墙
根系统是防火墙上缺省存在的一个特殊的虚拟系统
即使虚拟系统功能未启用,根系统也依然存在
根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务
创建虚拟系统时自动生成,链路层和协议层始终是UP
不同的虚拟系统之间,通过VIF接口转发
为了安全策略的放行,VIF接口需要加入到安全区域,但是IP地址的配置是可选的
每一个虚拟系统均有自己一个独立的VPN实例,也就是一个独立的路由表
每一个虚拟系统不能创建其它VPN实例,也无法删除自己的VPN实例
根系统默认也存在一个VPN示例且无法删除
根系统的管理员,用于给创建和管理任意虚拟系统,权限最大,相当于Windows Administrator
每一个虚拟系统管理员都只能管理自己这个虚拟系统,无法管理其它虚拟系统
虚拟系统管理员账号格式:管理员名@@虚拟系统名,虚拟系统名为VSYSA,管理员名为admin,则账号为admin@@VSYSA
① 会话
② 一体化策略
③ 用户与用户组
④ 在线用户与带宽
能够使用两种占用方式
报文进入防火墙后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理
数据包抵达VSYSA
VSYSA查询路由表
VSYSA查询安全策略
若路由存在,且安全策略放行,则数据包下一跳通过VIF接口抵达根墙
根墙依据路由表和安全策略来转发数据包出公网
回包根墙不需要路由,直接依据状态化表项决定将数据包交由VSYSA处理
外网主动发起,由于可能没有状态化表项的存在,所以根墙需要添加回包路由
数据包抵达VSYSB
VSYSB查询路由表
VSYSB查询安全策略
若路由存在,且安全策略放行,则数据包下一跳通过VIF接口抵达根墙
根墙依据路由表将数据包转发给VSYSA
根墙不需要放行安全策略,只要确保来回路由存在即可
VSYSA查询路由表和安全策略,没问题,即转发数据包
防火墙上的用户类型:
上网的用户
接入的用户—通过VPN接入的用户
验证访问者的身份
三种认证方式:
能够让日志信息对象更为明确,分析锁定更为快速
能够让安全策略的部署更加灵活,减少安全策略因为人为失效的情况
决定用户、用户组均隶属于某个认证域
决定用户的认证方式(本地/服务器认证)
华为防火墙通过识别用户名中包含的认证域,将所有待认证的用户分流到对应的认证域进行认证,例如:huawei@123,则USG需要将huawei这个账号送到123域做认证
默认存在一个Default域,如果账号后面不跟任何参数,则送到Default域执行认证,默认是本地认证
创建账号时,用户名密码必须配置
免认证,通过将指定用户名与指定设备的IP-MAC做绑定,该设备将可以直接上网,而无需在手动进行认证。适用场景:特殊设备,例如打印机;公司高层
会话认证,在用户发起网络访问的时候,触发认证,需要通过认证才能继续访问
事前认证,在用户发起网络访问前,先执行认证,需要通过认证才能继续访问
单点登录:AD域单点登录,Radius单点登录,TSM(Tableau Service Management)单点登录
扩展:AD域和轻量级目录访问协议LDAP
可以在AD域上存放所有需要使用到的用户名和密码
当用户使用AD域上的账号和密码进行认证时,认证设备可以通过LDAP来提取AD域上对应的账号和密码,进行验证。若所提取的用户名密码与发过来的用户名密码一致,则认证通过
Radius协议存在的作用是保障认证工作能够在设备与Radius服务器之间成功执行
Network Access Service 任何提供网络接入服务的设备都可以称为“NAS”
由认证策略决定是否对一个流量执行认证
一个流量只会匹配一条认证策略
若流量没有匹配任何认证策略,则使用默认的“default”策略,不执行认证
USG6507不需要放行防火墙即可直接执行测试;USG6307需要放行本地到ACS的流量才能执行测试
避免单点故障影响生产网络的正常使用
组播地址为224.0.0.18,协议号为112
基于VRRP协议,将两台USG虚拟化为一台,对外提供服务
VRRP提供设备故障检测和流量切换功能
1)虚拟IP地址在状态为Active的设备接口生效
2)PC发送的网关ARP请求只有Active设备回应
3)业务流量被引导到Active设备上进行处理
1)Active设备接口上的VRRP备份组进入到Initialize状态
2)Standby设备接口上的VRRP备份组切换到Active状态
3)以广播方式发送免费ARP,交换机上的MAC地址表刷新,出接口重新指向备用设备
4)PC发送的流量被引流到Standby设备上
上下两个VRRP组状态不同步,有可能直接导致路由黑洞!
通过引入“VGMP”协议来解决该问题!
将多个VRRP放入同一个VGMP的组,同组的任何一个VRRP发生切换,其它VRRP也随之切换。
由VGMP决定防火墙优先级和主备状态。
状态切换三大原则:
1)每当有一个接口Down时,VGMP管理组优先级降低2(可选配)
2)每台设备VGMP管理组初始状态由用户指定(Active或Standby)
3)Active优先级为65001,Standby优先级为65000
4)VGMP管理组状态决定了该设备的主备状态,也决定了VGMP管理组成员的状态
检测VRRP状态
检测三层接口
检测VLAN接口
优点:无需对端支持,本端设备直接部署即可
缺点:探测速度相对BFD较慢
公有协议
优点:速度相对IP-LINK较快
缺点:需要对端设备同时支持BFD
公有协议,基于UDP端口号3784
1.设备下一跳的IP地址为VRRP虚拟IP地址
2.当VRRP状态发生变化时,新的主用设备通过免费ARP,刷新所有交换机的MAC地址表,将流量重新引流到自己
3.当其它设备发送虚拟IP地址的请求时,只有主用设备在回应
1.主备防火墙同时与上下联设备建立动态路由邻居
2.备用防火墙主动提高COST值为65500,业务流量统一引导到主用设备进行处理
3.故障发生时,原主用防火墙提高COST值为65500,业务流量统一引导到原备用设备进行处理
不需要VGMP执行任何操作,直接由动态路由协议执行监控
① 该模式下VLAN与VGMP绑定
② 正常情况下,主用墙VLAN可以正常转发数据,备用墙VLAN被禁用
③ 主用墙任何一个VLAN接口故障,触发VGMP切换主备,原主防火墙VLAN被禁用,原备防火墙VLAN执行转发
实现配置和状态信息的备份—实现防火墙双机之间动态状态数据和关键配置命令的备份
两台设备,一台主用,一台备用
缺点,备用设备没有充分利用!
两台设备,同时处于工作状态
思科最多支持16台防火墙集群实现高可用!
全部防火墙均为工作状态,没有主备模式存在!
做集群的防火墙的性能,会叠加!
实现集群中服务器负载判断,高负载的服务器将会依据DRS策略进行降压
当一个集群服务器整体使用率低于设置的策略时,激活DPM,将有限的业务集中到一台设备中,其余设备进入待机模式,实现绿色节能
DDoS, 单包攻击、二层攻击
MPLS VPN, IPsec VPN, L2TP VPN, SSL VPN, GRE VPN
AV
IPS
URL过滤
内容过滤
文件过滤
邮件过滤
应用行为控制
APT