防火牆分類
按物理特性劃分:軟件防火牆、硬件防火牆
按性能劃分:百兆級防護牆、千兆級防火牆
按結構劃分:單一主機防火牆、路由集成防火牆、分佈式防火牆
按防火牆技術劃分:包過濾防火牆、應用代理防火牆、狀態監測防火牆
防火牆的功能
1、 訪問控制(防火牆是一種高級的訪問控制設備)
2、 地址轉換(部署在內外網之間,會涉及到地址轉換的問題)
3、 網絡環境支持(2層或3層之間的內部之間,DHCP環境、動態路由環境、VLAN環境、 ADSL撥號環境、SNMP網絡管理環境)
4、 帶寬管理功能(可以根據業務進行不同的流量分配,以保證重要業務的應用)
5、 入侵檢測和攻擊防禦
6、 用戶認證(多種用戶認證方式)
7、 高可用性(雙擊、多機/冷備、熱備)
防火牆安全策略
- 定義:安全策略是按一定規則,控制設備對流量轉發以及對流量進行內容安全一體化檢測的策略,規則的本質是包過濾。
- 主要應用:
1、 對跨防火牆的網絡互訪進行控制
2、 對設備本身的訪問進行控制
防火牆的基本作用是保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必須允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火牆的數據流進行檢測,符合安全策略的合法數據流才能通過防火牆。
通過防火牆安全策略可以控制內網訪問外網的權限,控制內網不同安全級別的子網間的訪問權限等。同時也能夠對設備本身的訪問進行控制,例如限制哪些IP地址可以通過Telnet和Web等方式登陸設備,控制網管服務器、NTP服務器等與設備的互訪等。
防火牆安全策略的原理
防火牆安全策略定義數據流在防火牆上的處理規則,防火牆根據規則對數據流進行處理。因此,防火牆安全策略的核心作用是:根據定義的規則對經過防火牆的流量進行篩選,由關鍵字確定篩選出的流量如何進行下一步操作。
在防火牆應用中,防火牆安全策略是對經過防火牆的數據流進行網絡安全訪問的基本手段,決定了後續的應用數據流是否被處理。NGFW會對收到的流量進行檢測,檢測出流量的屬性:源安全區域,目的安全區域,源地址(地區),目的地址(地區),用戶、服務(源端口、目的端口、協議類型)、應用和時間段。
安全策略分類
- 域間安全策略
用於控制域間流量的轉發(此時稱爲轉發策略),適用於接口加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務(端口或協議類型)、用戶等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應用層檢測。域間安全策略也用於控制外界與設備本身的互訪(此時稱爲本地策略),按IP地址、時間段和服務(端口或協議類型)等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny),允許或拒絕與設備本身的互訪。 - 域內安全策略
缺省情況下域內數據流動不受限制,如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務(端口或協議類型)、用戶等多種方式匹配流量,然後對流量進行安全檢查。例如:市場部和財務部都屬於內網所在的安全區域Trust,可以正常互訪。但是財務部是企業重要數據所在的部門,需要防止內部員工對服務器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測,阻斷惡意員工的非法訪問。 - 接口包過濾
當接口未加入安全區域的情況下,通過接口包過濾控制接口接收和發送的IP報文,可以按IP地址、時間段和服務(端口或協議類型)等多種方式匹配流量並執行相應動作(permit/deny)。基於MAC地址的包過濾用來控制接口可以接收哪些以太網幀,可以按MAC地址、幀的協議類型和幀的優先級匹配流量並執行相應動作(permit/deny)。硬件包過濾是在特定的二層硬件接口卡上實現的,用來控制接口卡上的接口可以接收哪些流量。硬件包過濾直接通過硬件實現,所以過濾速度更快。
防火牆發展歷程
- 傳統防火牆(包過濾防火牆)
判斷信息:數據包五元組(源目IP地址,源目端口、協議)
工作範圍:網絡層、傳輸層
技術應用:包過濾技術 - 傳統防火牆(應用代理防火牆)
判斷信息:所有應用層的信息包
工作範圍:應用層
技術應用:應用代理技術 - 傳統防火牆(狀態檢測防火牆)
判斷信息:IP地址、端口號、TCP標記
工作範圍:數據鏈路層、網絡層、傳輸層 - 入侵檢測系統IDS
部署方式:旁路部署,可多點部署
工作範圍:2-7層
工作特點:根據部署位置監控到的流量進行攻擊事件監控,屬於一個事後呈現的系統,相當於網絡上的監控攝像頭
目的:傳統防火牆只能基於規則執行“是”或“否”的策略,IDS主要是爲了幫助管理員清晰的瞭解到網絡環境中發生了什麼事情。 - 入侵防禦系統IPS
部署方式:串聯部署
工作範圍:2-7層
工作特點:根據已知的安全威脅生成對應的過濾器(規則),對識別的流量進行阻斷,對未識別的放通
目的:IDS只能對網絡環境進行檢測,但卻無法進行防禦,IPS主要是針對已知威脅進行防禦 - 防病毒網關AV
判斷信息:數據包
工作範圍:2-7層
目的:防止病毒文件通過外網進入到內網環境
和防火牆的區別:
- Web應用防火牆(WAF)
判斷信息:http協議數據的request和response
工作範圍:應用層
目的:防止基於應用層的攻擊影響Web應用系統
主要技術原理:
① 代理服務:會話雙向代理,用戶與服務器不產生直接連接,對於DDOS攻擊可以抑制
② 特徵識別:通過正則表達式的特徵庫進行特徵識別
③ 算法識別:針對攻擊方式進行模式化識別,如SQL注入、DDOS、XSS等 - 統一威脅管理(UTM)
包含功能:FW、IDS、IPS、AV
工作範圍:2-7層(不具備Web應用防護)
目的:將多種安全問題通過一臺設備解決
缺點:模塊串聯檢測效率低,性能消耗大,多次拆包、多次檢測 - 下一代防火牆(NGFW)
包含功能:FW、IDS、IPS、AV、WAF
工作範圍:2-7層
和UTM的區別:
① 與UTM相比增加了Web應用防護功能
② UTM是串行處理機制,NGFW是並行處理機制
③ NGFW的性能更強,管理更有效
防火牆的性能指標
- 吞吐量:防火牆能同時處理的最大數據量
有效吞吐量:除掉TCP因爲丟包和超時重發的數據,實際的每秒傳輸有效速率 - 時延:數據包進到防火牆~出防火牆的時間間隔
用於測量防火牆處理數據的速度理想的情況,測試的是其存儲轉發性能 - 丟包率:在連續負載的情況下,防火牆由於資源不足,應轉發但未轉發的百分比
- 背靠背:防火牆緩衝容量的大小
指防火牆應對突發大流量數據時的緩衝處理能力 - 併發連接數:防火牆可以同時建立的最大連接數目,一個連接就是一個TCP/UDP的訪問
下一代防火牆的部署模式
路由模式、透明模式、虛擬網線模式、混合模式、旁路模式
防火牆的接口
根據接口不同工作層面,可以劃分爲:二層區域、三層區域、虛擬網線區域
AF的部署模式是由各個接口的屬性決定的
物理接口
物理接口與AF設備面板上的接口一一對應(eth0爲manage口)。根據網口數據轉發特性的不同,可選擇路由、透明、虛擬網線和旁路鏡像4種類型,前3種接口又可設置WAN和非WAN屬性
- 路由接口
如果設置爲路由接口,則需要給該接口配置IP地址,且該接口具有路由轉發功能 - 透明接口
透明接口相當於普通的交換網口,不需要配置IP地址,不支持路由轉發,根據MAC地址錶轉發數據 - 虛擬網線接口
虛擬網線接口也是普通的交換接口,不能配置IP地址,不支持路由轉發,轉發數據時,也無需檢查MAC表,直接從虛擬網線配對的接口轉發。
虛擬網線接口的轉發性能高於透明接口,單進單出、雙進雙出等成對出現的環境下,推薦使用虛擬網線接口部署。 - 旁路鏡像接口
旁路鏡像接口不能配置IP地址,也不支持數據轉發,只是用來接口從外部鏡像過來的鏡像數據。
鏡像接口可以配置多個,根據現場實際業務場景需要接收的數據情況進行選擇。
- 聚合接口
將多個以太網接口捆綁在一起所形成的邏輯接口,創建的聚合接口成爲一個邏輯接口,而不是底層的物理接口。
子接口
子接口應用於路由接口需要啓用VLAN或Trunk的場景
子接口是邏輯接口,只能在路由口下添加子接口
VLAN接口
爲VLAN定義IP地址,則會產生VLAN接口。
VLAN接口也是邏輯接口
接口設置注意事項
1、設備支持配置多個WAN屬性的路由接口連接多條外網線路,但是需要開通多條線路的授權
2、管理口不支持設置成透明接口或虛擬網線接口,如果要設置2對或2對以上的虛擬網線接口,則必須要求設備不少於5個物理接口,預留一個專門的管理口Eth0
3、一個路由接口下可添加多個子接口,路由接口的IP地址不能與子接口的IP地址在同網段