防火牆安全策略
Local 區域的安全級別是100,Trust 區域的安全級別是85,DMZ 區域的安全級別是50,Untrust 區域的安全級別是5
防火牆的轉發原理(基於會話(狀態)轉發)
基於狀態(會話 session)回包 監控——會話表,ping包會話 大概10s
防火牆可做 單向訪問控制。 路由器沒法做 單向(路由器必須A->B,B->A)
即使防火牆 在ISP做了靜態路由,也通不了。
五元組 標識: 源地址,目標地址,源端口號,目標端口號,協議號
安全區域
三個安全區域:Trust、DMZ、Untrust
- Trust 區域:通常用來定義內部用戶所在的網絡
- DMZ 區域:通常用來定義內部服務器所在的網絡 (受信任程度處於內部網絡和外部網絡之間的安全區域)
- Untrust 區域:通常用來定義Internet等不安全的網絡
安全域間的數據流動具有方向性,包括入方向(Inbound)和出方向(Outbound)。
Inbound:報文從低級別的安全區域向高級別的安全區域流動時爲入方向
Outbound:報文從高級別的安全區域向低級別的安全區域流動時爲出方向
———————————————————————————————————————
華爲防火牆默認分爲4個安全區域。
(1)Trust區域:本區域內的網絡受信程度高,通常用來定義內部用戶所在的網絡。
(2)DMZ區域:本區域內的網絡受信程度中等,通常用來定義公共服務器所在的區域。
(3)Untrust區域:本區域代表的是不受信任的網絡,通常用來定義Internet等不安全的網絡。
(4)LOCAL區域,防火牆自身所在的區域
在華爲防火牆中,每個安全區域都有一個安全級別,用1-100表示,數字越大,代表這個區域越可信。默認情況下,LOCAL區域安全級別100、Trust區域爲85,DMZ爲50,Untrust區域爲5。
防火牆的工作模式
防火牆能夠工作在三種模式下:路由模式、透明模式、混合模式。注意三種模式的區別。
系統默認是路由模式
路由模式:當防火牆位於內部網絡和外部網絡之間時,需要將防火牆與內部網絡、外部網絡以及DMZ 三個區域相連的接口分別配置成不同網段的IP 地址,重新規劃原有的網絡拓撲,此時相當於一臺路由器。採用路由模式時,可以完成ACL 包過濾、ASPF 動態過濾、NAT 轉換等功能。
透明模式:如果防火牆採用透明模式進行工作,則可以避免改變拓撲結構造成的麻煩,此時防火牆對於子網用戶和路由器來說是完全透明的。也就是說,用戶完全感覺不到防火牆的存在。採用透明模式時,只需在網絡中像放置網橋(bridge)一樣插入該防火牆設備即可,無需修改任何已有的配置。與路由模式相同,IP報文同樣經過相關的過濾檢查(但是IP報文中的源或目的地址不會改變),內部網絡用戶依舊受到防火牆的保護。防火牆透明模式的典型組網方式如下
混合模式:如果防火牆既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口無IP地址),則防火牆工作在混合模式下。混合模式主要用於透明模式作雙機備份的情況,此時啓動VRRP(Virtual Router Redundancy Protocol,虛擬路由冗餘協議)功能的接口需要配置IP地址,其它接口不配置IP地址。
防火牆的分類
包過濾防火牆
- 對需要轉發的數據包,先獲取包頭信息,然後和設定過的規則進行比較,根據比較的結果對數據包進行轉發或者丟棄。
- 實現包過濾的核心技術是訪問控制列表,滿足條件的數據包纔可以通過
- 包過濾防火牆的工作是通過查看數據包的源地址、目的地址或端口來實現的,由於防火牆只是工作在OSI的第三層(網絡層)和第四層(傳輸層),因此包過濾的防火牆的一個非常明顯的優勢就是速度,缺點由於無法對數據報的內容進行覈查,一次無法過濾或審覈數據報的內容。
應用型代理防火牆也可以被稱爲代理服務器式防火牆,它的安全性要高於包過濾型產品,需要更高的開銷。用戶經過建立會話狀態並通過認證及授權後,才能訪問到受保護的網絡。壓力較大的情況下,代理服務器式防火牆工作很慢
動態包過濾防火牆也可以被稱爲基於狀態監測的防火牆。對於新建立的應用連接,狀態檢測型防火牆先檢查預先設置的安全規則,允許符合規則的連接通過;記錄下該連接的相關信息,生成狀態表;對該連接的後續數據包,只要是符合狀態表,就可以通過,更加靈活。
入侵檢測IDS和入侵防禦IPS
IDS(入侵檢測系統)就是對網絡、系統的運行狀況依照一定的安全策略進行監視,儘可能發現各種攻擊企圖。IDS的部署位置:服務器區域的交換機上;Internet接入路由器之後的第一臺交換機上;重點保護網段的局域網交換機上。以旁路模式接入。
IPS技術可以深度感知並檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。IPS一般是以串聯的形式直接嵌入到網絡流量中的。
入侵檢測系統使用的方法有異常檢測和誤用檢測兩種。其中異常檢測能檢測出未知的入侵行爲。
source-address是或的關係
基本配置
PC1:
IP地址:10.1.1.1
網關:10.1.1.254
PC2:
IP地址:11.1.1.1
網關:11.1.1.254
PC2:
IP地址:12.1.1.1
網關:12.1.1.254
需求:
1.允許PC1和PC3互訪,PC2可訪問PC3,但PC3不允許訪問PC2
2.不允許PC1訪問PC2,PC2可以訪問PC1
3.協議ICMP
USG6000V
劃分區域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]add int g1/0/1
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
配置接口IP地址
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 12.1.1.254 255.255.255.0
策略
[USG6000V1]security-policy
[USG6000V1-policy-security]dis this
#
security-policy
rule name pc1_pc3_icmp_policy
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address 10.1.1.1 32
source-address 11.1.1.1 32
source-address 12.1.1.0 24
destination-address 10.1.1.1 32
destination-address 12.1.1.1 32
service icmp
action permit
rule name pc1_pc2_icmp_policy
source-zone trust
destination-zone trust
source-address 10.1.1.1 32
destination-address 11.1.1.1 32
service icmp
action deny
#
測試驗證
PC1 Ping PC3
再分別測試:PC1 Ping PC2、PC2 Ping PC1、PC2 Ping PC3、PC3 Ping PC2
USG5500V
[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/1
[SRG-zone-trust]add int g0/0/2
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/3
interface GigabitEthernet0/0/1
undo shutdown
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
undo shutdown
ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/3
undo shutdown
ip address 12.1.1.254 255.255.255.0
#
policy interzone trust untrust inbound
policy 0
action permit
policy service service-set icmp
policy source 12.1.1.1 0
policy destination 10.1.1.1 0
#
policy interzone trust untrust outbound
policy 0
action permit
policy service service-set icmp
policy source 10.1.1.1 0
policy source 11.1.1.1 0
policy destination 12.1.1.1 0
#
policy zone trust
policy 0
action deny
policy service service-set icmp
policy source 10.1.1.1 0
policy destination 11.1.1.1 0
#
安全策略
安全策略分類
- 域間安全策略
- 域內安全策略
- 接口包過濾
安全策略主要包含的配置內容
策略匹配條件:源安全域,目的安全域,源地址,目的地址,用戶,服務,應用,時間段
策略動作:允許,禁止
內容安全Profile(可選):反病毒,入侵防禦,URL過濾,文件過濾,內容過濾,應用行爲控制,郵件過濾
跨天的,晚上8點到早上6點,寫法:20:00-24:00,00:00:06:00
時間段設置
創建時間段,並進入時間段視圖
time-range time-range-name
設置絕對時間段
absolute-range start-time start-date [ to end-time end-date ]
設置週期時間段
period-range start-time to end-time week-days &<1-7>
狀態檢測機制
狀態檢測機制開啓狀態下,只有首包通過設備才能建立會話表項,後續包直接匹配會話表項進行轉發
狀態檢測機制關閉狀態下,即使首包沒有經過設備,後續包只要通過設備也可以生成會話表項
會話表爲了保證能夠進出
後續包只看會話表
如果會話表沒了,要經過安全策略檢查,再次創建會話表
顯示會話表簡要信息:dis firewall session table
顯示會話表詳細信息:dis firewall session table verbose
非首包經過防火牆來進行狀態監測,效果會出現一直重傳
1.所有ip地址配置,開啓http服務
2.防火牆劃分安全區域
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/1
[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/2
3.FW配置安全策略和靜態路由
ip route-static 10.1.1.0 24 11.1.1.1
ip route-static 192.168.1.0 24 12.1.1.1
policy interzone untrust trust inbound
policy 0
action permit
dis cur | inc ip route
4.路由器配置策略路由
4.路由器配置策略,將10.1.1.0網段返回的流量引流到FW1
acl 2000
rule permit source 10.1.1.0 0.0.0.255
#
traffic classifier A operator or
if-match acl 2000
#
traffic behavior A
redirect ip-nexthop 11.1.1.2 引流重定向
#
traffic policy A 關聯
classifier A behavior A
#
int g0/0/0 策略應用在接口上
traffic-policy A inbound
5.在R1的g1/0/0接口抓包
6.R1 Ping 11.1.1.2 (雖然通不了,觀察下)
7.客戶端訪問http://10.1.1.1,觀察包情況
8.關閉狀態檢測功能
undo firewall session link-state check
重複第七步
一直處於請求連接
關閉狀態檢測 undo firewall session link-state check
6000v的策略配置
security-policy
rule name http_policy
action permit
安全策略配置案例
FTP
默認情況下,服務器21端口作爲命令端口,20端口爲數據端口。但被動模式下就有所差別了
幫助FTP數據報文穿越防火牆
firewall interzone trust untrust
display firewall server-map
display firewall session table
主動模式:FTP服務器主動向FTP客戶端發起數據連接
被動模式:FTP服務器被動接收FTP客戶端發起的數據流連接
主動還是被動,關鍵是看服務器
主動模式
主動模式是FTP的默認模式,也稱爲PORT模式。
1.在主動模式下,客戶端會開啓N和N+1兩個端口,N爲客戶端的命令端口,N+1爲客戶端的數據端口。
第一步,客戶端使用端口N連接FTP服務器的命令端口21,建立控制連接並告訴服務器我這邊開啓了數據端口N+1。
第二步,在控制連接建立成功後,服務器會使用數據端口20,主動連接客戶端的N+1端口以建立數據連接。這就是FTP主動模式的連接過程。
客戶端的命令端口和數據端口實際中並不是 完全N和N+1的關係,只是兩個端口比較接近,
主動模式的利弊:
主動模式對FTP服務器的管理有利,因爲FTP服務器只需要開啓21端口的“准入”和20端口的“準出”即可。
但這種模式對客戶端的管理不利,因爲FTP服務器20端口連接客戶端的數據端口時,有可能被客戶端的防火牆攔截掉。
被動模式
第一步,客戶端的命令端口N主動連接服務器命令端口21,併發送PASV命令,告訴服務器用“被動模式”,控制連接建立成功後,服務器開啓一個數據端口P,通過PORT命令將P端口告訴客戶端。
第二步,客戶端的數據端口N+1去連接服務器的數據端口P,建立數據連接
被動模式的利弊:
被動模式對FTP客戶端的管理有利,因爲客戶端的命令端口和數據端口都是“準出”,windows防火牆對於“準出”一般是不攔截的,所以客戶端不需要任何多餘的配置就可以連接FTP服務器了。
但對服務器端的管理不利。因爲客戶端數據端口連到FTP服務器的數據端口P時,很有可能被服務器端的防火牆阻塞掉。
FTP防火牆設置總結
1.FTP主動模式下防火牆設置
(1)服務器沒有“物理防火牆”的情況下,只需要在服務器操作系統中開啓21端口的准入,20端口的準出默認是允許的(Windows系統防火牆默認是不攔截“準出”的)。
(2)服務器有“物理防火牆”的情況下,需要在“物理防火牆”中開啓21端口的准入,20端口的準出。
(3)客戶端需要設置“允許應用程序通過防火牆”(WinSCP.exe、FlashFXP等)
2.FTP主動模式下防火牆設置
(1)服務器需要開啓21端口准入,並設置被動模式數據端口範圍P,並在防火牆中開啓P的准入。
(2)客戶端一般不需要設置任何防火牆,因爲N和N+1一般是可以出去的。
ASPF
ASPF ( Application Specific Packet Filter) 是一種高級通信過濾,它檢查應用層協議信息並且監控連接的應用層協議狀態。對於特定應用協議的所有連接,每一個連接狀態信息都將被ASPF維護並用於動態的決定數據包是否被允許通過防火牆或丟棄。
豐富的ASPF功能保證開展業務時安全性得到保證
幫助FTP數據報文穿越防火牆
只能在5500做
aspf對多通道協議的支持
Server Map的產生
- 轉發多通道協議
- NAT Server或SLB時
- NAT NO-PAT
- 轉發QQ/MSN、TFTP等STUN類型協議
分片緩存
補充一下IP數據報的知識
一個IP數據報時由首部和數據兩部分所組成的。首部的前一部分爲固定長度,共20字節,這裏用到的字段有:
- 首部長度,典型的IP數據報首部長度是20字節
- 總長度:總長度指首部和數據之和的長度,超過下層MTU值的時候,必須分片,其中以太網的MTU爲1500字節。
- 標誌:標誌字段中的最低位爲MF MF=1表示後面“還有分片”的數據報。MF=0表示這已是若干數據報片中的最後一個。
標誌字段中間的一位記爲DF,意思是“不能分片”。只有當DF=0時,才允許分片。 - 片偏移:分片在原分組中的相對位置片,偏移以8個字節爲偏移單位。
分片過程
重組過程
通俗來講就是:
某報文長度是 1400字節,MTU=1000字節,那麼怎麼分片?
分片:
MTU=1000B-20=980B
980/8=12…20
滿足片偏移/8是整數倍,要能成組,採用976的值
1400-20=1380
1380-976B=404
①長度;T=976+20=996B,MF=1,片偏移=0
②長度;T=404+20=424B,MF=0,片移值=122(976/8得到的結果)
重組:
(996-20 ) + (424-20) +20 = 1400
長連接
爲什麼需要長連接?
- 防火牆會話表老化機制,當會話老化時間內無數據通過,將斷開此會話連接
- 會話老化機制給特殊業務帶來的問題
會話表修改
firewall session aging-time service-set icmp 15
display firewall session aging-time
192.168.250.1:8443
用戶:admin
密碼:Admin@123
service-management ping