1、防火墙介绍第1页前言l在数据通信过程中,由于网络中的不安全因素将会导致信息泄密、信息不完整,信息不可用等问题,因此在部署网络时需要用到防火墙设备。l本章主要介绍华为防火墙的发展历史、特点、典型组网方式、应用场景和技术指标。第2页目标l学完本课程后,您将能够:p了解防火墙基本概念p理解防火墙安全策略p掌握防火墙安全策略配置第3页目录1.防火墙概述防火墙概述2.防火墙转发原理3.防火墙安全策略及应用4.ASPF技术第4页防火墙特征l逻辑区域过滤器l隐藏内网网络结构l自身安全保障l主动防御攻击内网防火墙路由器第5页防火墙分类l按照访问控制方式分为:p包过滤防火墙p代理防火墙p状态检测防火墙第6页防火
2、墙分类-包过滤防火墙TCP层数据链路层IP层TCP层数据链路层IP层TCP层应用层IP层只检测报文头部1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据第7页防火墙分类-代理防火墙发送连接请求外网终端代理防火墙内网Server向Server发送报文A对请求进行安全检查,不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B1.处理速度慢2.升级困难第8页防火墙分类-状态检测防火墙安全策略检查安全策略检查记录会话信息记录会话信息状态错误,丢弃状态错误,丢弃1.处理后续包速度快2.安全性高H
3、ost 10.0.0.1Server 20.0.0.1第10页防火墙组网方式TrustUntrustUntrustTrust192.168.10.1/30192.168.10.2/30192.168.10.1/30192.168.10.129/30192.168.10.5/30192.168.10.133/30第11页目录1.防火墙概述2.防火墙防火墙转发转发原理原理3.防火墙安全策略及应用4.ASPF技术第12页包过滤技术l对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。l实现包过滤的核心技术是访问控制列表。公司总部内部网络未授权用户办事
4、处第13页防火墙安全策略l定义p安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。p规则的本质是包过滤。l主要应用p对跨防火墙的网络互访进行控制。p对设备本身的访问进行控制。第14页入数据流出数据流防火墙安全策略的原理BBAABBBAAAA AA AAAAPolicy 0:允许A后续操作Policy 1:拒绝B后续操作防火墙安全策略防火墙安全策略l防火墙安全策略作用:根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。步骤1:入数据流经过防火墙步骤2:查找防火墙安全策略判断是否允许下一步操作步骤:防火墙根据安全策略定义规则对数据
5、包进行处理 默认策略操作第15页防火墙域间转发防火墙客户端服务器查路由表,基于接口所属域间及方向,查域间包过滤规则Policy0:permit源为192.168.168.0Policy1:deny源为192.168.100.0缺省域间包过滤规则为禁止未命中会话表未命中会话表执行首包流程执行首包流程非首包,查找会话表非首包,查找会话表命中会话表命中会话表执行后续包流程执行后续包流程Untrusttrust第16页查询和创建会话查询会话表匹配会话表安全性检查刷新会话表检查是否可以创建会话查看Server Map 表查找路由表包过滤规则NAT创建会话表转发报文是否第17页状态检测机制l状态检测机制开
6、启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。l状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项。Host 10.0.0.1Server 20.0.0.110.0.0.1TCP SYN20.0.0.110.0.0.1 TCP ACK20.0.0.1第18页会话表项源IP地址源端口目的IP地址目的端口协议用户应用192.168.1.1200001.1.1.123TCPabcTelnet源IP地址源端口目的IP地址目的端口协议用户应用1.1.1.123192.168.1.120000TCPabcTelnetServer ClientS
7、ession:TCP 192.168.1.1:20000 1.1.1.1:23Client Server创建会话表命中会话表 该报文通过 Server 1.1.1.1:23 Host 192.168.1.1:20000第19页查看会话表信息l显示会话表简要信息 display firewall session tablel l显示会话表详细信息 display firewall session table verbose display firewall session table Current Total Sessions:2 telnet VPN:public-public 192.16
8、8.3.1:2855-192.168.3.2:23 http VPN:public-public 192.168.3.8:2559-192.168.3.200:80 display firewall session table verbose Current Total Sessions:1 http VPN:public-public ID:a48f3648905d02c0553591da1 Zone:trust-local TTL:00:20:00 Left:00:19:56 Output-interface:InLoopBack0 NextHop:127.0.0.1 MAC:00-00-
9、00-00-00-00 packets:2881 bytes:705651 128.18.196.4:1864-128.18.196.251:80 PolicyName:test第21页目录1.防火墙概述2.防火墙转发原理3.防火墙防火墙安全策略及安全策略及应用应用4.ASPF技术第22页安全策略的匹配原则防火墙客户端服务器首包流程,做安全策略首包流程,做安全策略过滤。过滤。Rule 0:permit源为192.168.168.0 Rule 1:deny源为192.168.100.0 缺省default策略动作为禁止。未命中会话表未命中会话表执行首包流程执行首包流程后续包流程,不做安全策略后续
10、包流程,不做安全策略过滤。过滤。命中会话表命中会话表执行后续包流程执行后续包流程trustUntrust第23页安全策略匹配流程第24页安全策略应用UntrustTrust公司内网192.168.0.0/16市场部研发部允许流量通过禁止流量通过安全策略1源地址:any目的地址:any用户:市场部应用:IM、Game动作:禁止安全策略2源地址:any目的地址:any用户:研发部协议:http动作:允许第25页配置安全区域(WEB)l系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级,可以自行创建新的安全区域并定义其安全级别。第26页配置安全策略(WEB)l安全策略主要包含的配置内容
11、:p策略匹配条件:源安全域,目的安全域,源地址,目的地址,用户,服务,应用,时间段。p策略动作:允许,禁止。p内容安全Profile(可选):反病毒,入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤。第27页配置地址和地址组(WEB)l地址是IPv4/IPv6地址或MAC地址的集合,地址组是地址的集合。l地址包含一个或若干个IPv4/IPv6地址或MAC地址,它类似于一个基础组件,只需定义一次,就可以被各种策略(例如安全策略、NAT策略)多次引用。第28页配置地区和地区组(WEB)l地区是以地区为单位的IP地址对象,每个地区是当前地区的公网IP地址集合。l为方便扩展和复用,设备
12、还支持配置地区组供策略引用。地区组中可以包含多个地区、嵌套的地区组,配置灵活。第29页配置服务和服务组(WEB)l服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。l预定义服务:指系统缺省已经存在、可以直接选择的服务类型。l自定义服务:通过指定协议类型(例如TCP、UDP或ICMP)和端口号等信息来定义的一些应用协议类型。第30页配置应用和应用组(WEB)l应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。第31页配置时间段(WEB)l时间段定义了时间范围,定义好的时间段被策略引用后,可以对某一时间段内流经NGFW的流量进行匹配和控制。第32页
13、配置安全策略(WEB)l在安全策略中可以引用已经创建好的对象。第33页安全策略配置举例l组网需求p在某企业中允许192.168.5.0/24网段的员工访问Internet,但是在此网段中192.168.5.2、192.168.5.3和192.168.5.6的这几台PC对安全性要求较高,不允许上网。Trust区域Untrust区域192.168.5.0/24Internet 内网 1.1.1.1/24第34页配置安全策略流程第35页关键配置(命令行)l创建拒绝特殊的几个IP地址访问Internet的安全策略规则。l创建允许192.168.5.0/24网段访问Internet的安全策略规则。NGF
14、Wsecurity-policyNGFW-policy-securityrule name celueNGFW-policy-security-rule-celuesource-zone trust NGFW-policy-security-rule-celuedestination-zone untrust NGFW-policy-security-rule-celuesource-address 192.168.5.2 32NGFW-policy-security-rule-celuesource-address 192.168.5.3 32NGFW-policy-security-rul
15、e-celuesource-address 192.168.5.6 32NGFW-policy-security-rule-celueaction denyNGFWsecurity-policyNGFW-policy-securityrule name celue2NGFW-policy-security-rule-celue2source-zone trust NGFW-policy-security-rule-celue2destination-zone untrust NGFW-policy-security-rule-celue2source-address 192.168.5.0 2
16、4NGFW-policy-security-rule-celue2action permit第36页关键配置(WEB)-(1)l配置名称为ip_deny的地址组。第37页关键配置(WEB)-(2)l配置拒绝特殊地址组ip_deny内IP地址访问Internet的安全策略。第38页关键配置(WEB)-(3)l配置允许192.168.5.0/24网段访问Internet的安全策略。第39页目录1.防火墙概述2.防火墙转发原理3.防火墙安全策略及应用4.ASPF技术技术第40页多通道协议技术l单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。l多通道协议:通信过程中需占用两个
17、或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口。使用单纯的包过滤方法,如何精确定义(端口级别)多通道协议所使用的端口呢?遇到使用随机协商端口的协议,单纯的包过滤方法无法进行数据流定义。第41页ASPF概述lASPF(Application Specific Packet Filter)是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。监视通信过程中的报文动态创建和删除过滤规则第42页ASPF对多通道协议的支持lASPF(Applicat
18、ion Specific Packet Filter)是针对应用层的包过滤。我使用4952端口与你建立数据通道。ServerMap 表-Inside-Address:Port Global-Address:Port Pro AppType TTL Left-20.0.0.1 :4952 -tcp FTP DATA 00:01:00 00:00:47 Session表 FTP:10.0.0.1:4927-20.0.0.1:21 FTP:10.0.0.1:4926-20.0.0.1:4952 FTP Server 20.0.0.1 Host 10.0.0.1控控 制制 通通 道道数数 据据 通通
19、道道第43页Server Map的产生配置ASPF后,转发FTP、RTSP等多通道协议时生成的Server-map表项。Server Map的产生的产生配置ASPF后,转发QQ/MSN、TFTP等STUN类型协议时生成的三元组Server-map表项。配置NAT服务器映射时生成的静态Server-map。配置NAT No-PAT时生成的动态Server-map。第45页端口识别对多通道协议的支持l端口识别是把非标准协议端口映射成可识别的应用协议端口。l配置基本ACLl配置端口识别(或端口映射)NGFWacl 2000NGFW-acl-basic-2000rule permit source 2
20、0.0.0.1 0 NGFWport-mapping FTP port 31 acl 2000 FTP Server 20.0.0.1 Host 10.0.0.1控控 制制 通通 道道数数 据据 通通 道道31端口是什么应用协议?我不清楚怎么办?第46页第47页分片缓存l分片缓存功能用来缓存先于首片分片报文到达的后续分片报文,避免分片报文被防火墙丢弃。第48页长连接l为什么需要长连接?p防火墙会话表老化机制p会话老化机制给特殊业务带来的问题数据库服务会话会话客户端当会话老化时间内无数据通过,将断开此会话连接。第49页思考题1.以下哪些情况会下会产生Server Map表?()A.配置NAT No-PATB.配置NAT服务器映射C.配置ASPFD.配置防火墙的长连接2.默认情况下,防火墙有4个安全区域,且不能修改安全级别。()A.正确B.错误第50页本章总结l防火墙包过滤技术原理l防火墙转发原理l防火墙安全策略应用场景及配置方法第51页谢谢
