防火墙
防火墙 基本定义 防火墙用于保护网络区域免受来自另一个网络区域的攻击和入侵,通常用于网络边界,例如企业互联网出口、企业内部业务边缘、数据中心边缘等; 现阶段主要的防火墙设备形式有:框式防火墙、盒式防火墙和软件防火墙。 在园区网中,交换机的作用是接入终端和汇聚内部路由,组建内部互联网的局域网; 路由器的作用是路由的分发、寻址和转发,构建外部连接网络; 而防火墙是用于流量控制和安全防护,区分和隔离不同安全区域。 基本概念 安全区域 Security Zone,简称为Zone,防火墙大部分的安全策略都基于安全区域实施 一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性 默认安全区域 华为防火墙默认创建了四个区域:untrust、dmz、trust、local。防火墙默认安全区域均为小写字母,且大小写敏感 默认的安全区域不能删除,也不能修改优先级。各默认区域具体内容如下: 非受信区域(untrust):通常用于定义Internet等不安全的网络。 非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。 DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。 DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。 受信区域(trust):通常用于定义内网终端用户所在区域。 本地区域(local):local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。 用户也可以自己创建安全区域,但每个安全区域必须要设置一个优先级,值越大,优先级越高(但不能创建和默认安全区域相同名字或者相同优先级的区域) 区域间 流量的源、目的地址决定了互访的区域。例如: ①中PC访问防火墙的接口流量是从trust到local的;②中PC访问Internet的接口流量是从trust到untrust 会话表 用于记录TCP、UDP、ICMP等协议连接状态的表项 防火墙采用基于“状态”的报文控制机制,只对首包或者少量报文进行检测,从而确定一条连接的状态,大量报文则直接根据所属连接的状态进行控制。 会话表中的每一项,例如上图中的http VPN:public --> public 192.168.1.1:52754 --> 10.1.1.1:80便是一条会话表项,其中关键字段有五个,因此又称为”五元组“,分别是协议、源地址、目的地址、源端口和目的端口,在该表项中分别对应http、192.168.1.1、10.1.1.1、52754、80。五元组能唯一确定一个会话。 而vpn public-->public指的是,vpn实例,public表示根防火墙,public->public便是根防火墙上的会话信息。 注意,会话表是动态生成的,不是永久的,当有一个会话长时间没有报文匹配,则防火墙会在会话老化时间后,将其删除 会话表的处理过程 流量的首包会创建会话表项,后续包即可直接匹配会话表项...