1.包過濾防火牆簡介
防火牆是指設置在不同網絡(任何信任的企業內部網絡和不信任的公網)或網絡安全域之間的一系列的部件組合。她可以通過檢測、限制、分析跨越防火牆的數據流,按照用戶的需要對這些數據流進行安全性劃分,儘可能的對外部屏蔽內部網絡的信息、結構和運行情況,以此來實現網絡的安全保護。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效的監控了內網和Internet之間的任何活動,保證了內部網絡的安全。
防火牆是一把利器,它的發展經歷了技術和市場的考驗,典型的防火牆技術包括如下幾類:包過濾防火牆,狀態防火牆,NAT地址轉換技術和ALG應用層網關技術等。之所以將NAT技術也劃分到防火牆的行列,是因爲他天然採用了公司網地址將公網和私網分割開來,對外網屏蔽了內網。
那麼包過濾防火牆正如其名是對通過防火牆的數據包逐層進行解析,一般之作用於協議第三層,對防火牆設備的IP包頭進行解析,根據事先定義的訪問控制列表(ACL)規則對數據包進行過濾。ACL的出現就是配合防火牆的設計而被定義出來的。所以包過濾防火牆的精華之處就在於ACL。當然Packet-filtering即可作用在入方向也可作用在出方向,可能是全局也可能是基於接口的。
2.包過濾防火牆的具體實現細節
1)防火牆缺省規則(Firewall default permit/deny)
一般來說包過濾防火牆都有一個缺省的默認規則,該種方式一般是全局的配置,是對於那些無法匹配定義的ACL的數據包採取的Action,其中需要注意的是當firewall default deny時,數據包會建立會話後立即刪除,以保證deny操作對後續報文因匹配session而透傳的情況的發生。
2)基於ACL的包過濾
前面也講到包過濾的核心在於ACL的定義。而ACL的核心其實就是一個典型的五元組(源IP地址、目的IP地址、源端口、目的端口、協議號)。也就是網管需要提前根據需要將網絡中的數據流進行劃分,根據五元組定義不同的ACL,然後對不同的ACL定義不同的防火牆策略(permit or deny)。所以可以看出ACL是防火牆的基礎。一般來說當前的安全設備廠商有一些如cisco,H3C等都是細分了ACL,根據協議層次將ACL分爲基礎ACL(只對源IP地址有效),高級ACL(五元組),可定義ACL等,還有一些廠商如聯想網禦則是隻提供包分類卻不細分,讓用戶自已根據需要來定義。不管如何劃分其實質都是一樣的,都是根據五元組,或出入接口,或底層的MAC地址等等作爲定義ACL的基礎。本文對ACL不作詳細的介紹,會單獨給予介紹。現在先建立一個概念即可。
定義了ACL之後,然後會在防火牆設備接口上將提前定義的ACL規則跟防火牆進行綁定,進而對IN、OUT方向對Packet進行匹配處理。如:firewall packet-filtering acl 2000 oubound/inbound。當然有些廠商防火牆規則是基於接口的,這種好處顯而易見基於接口方便定義,便於細分網絡。而有些廠商卻是全局的,這樣定義上不是很明確,理解起來有點難。
3)防火牆對分片報文的處理
傳統的防火牆只對報文首片進行匹配,如首片通過則允許後續分片通過。而實際上用戶希望防火牆不僅可以過濾首片,還可以阻止非法後續分片報文。對於傳統的防火牆用戶可以構造滿足防火牆規則的後續分片報文進行***。爲了解決這個這個問題,ACL增加了fragment選項,增加了對於分片報文的檢測。
如:acl number 3000
rule 0 deny icmp source 20.0.0.2 0 fragment
分片報文和非分片報文都包含三層IP信息(以UDP爲例),因此將匹配分爲三層信息匹配和三層以外的信息匹配兩種,而對三層以外信息匹配分爲標準匹配和精確匹配兩種。
對於三層IP信息匹配,由於IP分片報文同樣包含了三層地址信息和協議類信息,和傳統的處理一樣,只需將分片考慮進來。而對於三層以外的信息匹配,分爲標準匹配和精確匹配兩種:
標準匹配:忽略三層以外信息,對permit的acl,該acl項有效且只匹配三層信息;對deny的acl,該acl無效,被忽略。
精確匹配:要求滿足所有項,對於分片報文。將保存首片以外的信息,後續分片到達,首先檢查屬於該分片的首片報文中的三層以外的信息後與acl項匹配,該匹配要求分片首片先於分片到達,否則分片將不匹配。
4)二層以太幀過濾Ethenet Frame filtering(EFF)
傳統的包過濾技術多注重三層信息的匹配,基本ACL只根據SIP對數據包進行過濾。高級ACL根據五元組(SIP,DIP,SPORT,DPORT,PROTO)對數據報進行過濾。那麼爲了實現網橋模式下數據包的過濾,後來又定義了二層以太幀過濾技術,EFF的基礎還是ACL,只不過該ACL定義的基礎是Frame,也就是二層信息字段。如SMAC,DMAC,TYPE及TOS等字段定義ACL規則。