安全防御技術(shù)之防火墻

（3）防火墻區(qū)域：

根據(jù)安全等級(jí)來劃分

區(qū)域擁有不同的安全等級(jí)，內(nèi)網(wǎng)（trust）一般100（滿分），外網(wǎng)（untrust）一般是0-1，DMZ一般是50

（防火墻的視角為不同區(qū)的視角）（防火墻既可以做交換，又可以做路由）

2、防火墻的發(fā)展

（1）包過濾防火墻 --- 訪問控制列表技術(shù)（ACL） --- 三層技術(shù)

簡單，速度慢 --- 逐包檢測(cè)

檢查的顆粒度粗 -- 5元組（源地址，目的地址，協(xié)議，源端口，目的端口）

（2）代理防火墻 --- 中間人技術(shù) --- 應(yīng)用層

降低包過濾顆粒度的一種做法，區(qū)域之間通信使用固定設(shè)備，一般使用代理服務(wù)器

代理技術(shù)只能針對(duì)特定的應(yīng)用來實(shí)現(xiàn)，應(yīng)用間不能通用

技術(shù)復(fù)雜，速度慢

能防御應(yīng)用層威脅，內(nèi)容威脅

（3）狀態(tài)防火墻 --- 會(huì)話追蹤技術(shù)（session） --- 三、四層

在包過濾（ACL表）的基礎(chǔ)上增加一個(gè)會(huì)話表，數(shù)據(jù)包需要查看會(huì)話表來實(shí)現(xiàn)匹配。會(huì)話表可以用hash來處理形成定長值，使用CAM芯片處理，達(dá)到交換機(jī)的處理速度

首包機(jī)制

細(xì)顆粒度

速度快

<1> 會(huì)話追蹤技術(shù)：防火墻使用會(huì)話追蹤技術(shù)可以把屬于這個(gè)流的所有包識(shí)別出來。（流相當(dāng)于會(huì)話）

<2> 會(huì)話表：記錄5元組，還有用戶

<3> 首包匹配 --- 策略表；轉(zhuǎn)發(fā)匹配 --- 會(huì)話表

ACL技術(shù)關(guān)注流量的全方向，防火墻的安全策略只需要考慮首包。

查詢和創(chuàng)建會(huì)話：

防火墻不會(huì)為重傳的包生成一個(gè)會(huì)話表：

[1] 首包可匹配策略，然后策略可創(chuàng)建會(huì)話表。若首包成功創(chuàng)建會(huì)話，第二個(gè)包由目標(biāo)IP返回。第三個(gè)包在會(huì)話老化時(shí)間過后才進(jìn)入防火墻，將會(huì)被丟棄。此時(shí)將發(fā)第四個(gè)重傳的包，無法通過。

[2] 只有第一個(gè)包（時(shí)間上的第一個(gè)；會(huì)話開始的第一個(gè)）才可建立會(huì)話，后面的包無法建立會(huì)話

例1：狀態(tài)防火墻工作流程

（防火墻默認(rèn)deny any。一般將防火墻基礎(chǔ)的路由交換功能做完后，需做放行處理）

文字描述：

[1] PC端在trust區(qū)發(fā)出數(shù)據(jù)包，首包來到防火墻。防火墻默認(rèn)拒絕所有，首先查看路由策略（ACL---逐條匹配），匹配關(guān)于2.2.2.2的路由，關(guān)于2.2.2.2的策略是permit。

[2] 只要路由策略放行，防火墻會(huì)為該流量創(chuàng)建一個(gè)會(huì)話表（session）。（會(huì)話：和目標(biāo)通信的一系列連續(xù)的包）

[3] 流量從防火墻出去到達(dá)baidu.com后，然后返回防火墻。到達(dá)防火墻，先查看會(huì)話表。若流量屬于這個(gè)會(huì)話表，將會(huì)轉(zhuǎn)發(fā)到目標(biāo)IP地址2.2.2.2。

（首包匹配策略，策略創(chuàng)建會(huì)話表，后續(xù)直接通過會(huì)話表來實(shí)現(xiàn)通行）

例2：問題解決

（4）UTM（統(tǒng)一威脅管理） --- 深度包檢查技術(shù) --- 應(yīng)用層（串接式檢查）

將原來分散的設(shè)備進(jìn)行統(tǒng)一管理，有利于節(jié)約資金和成本

統(tǒng)一有利于各設(shè)備之間協(xié)作

設(shè)備負(fù)荷較大，檢查也是由逐個(gè)模塊完成的，速度慢

（5）NGFW（下一代防火墻） --- 現(xiàn)代防火墻

<1> 說明：Gartner（IT咨詢公司）將NFGW看做不同信任級(jí)別的網(wǎng)絡(luò)之間的一個(gè)線速（wire-speed）實(shí)時(shí)防護(hù)設(shè)備，能夠?qū)α髁繄?zhí)行深度檢測(cè)，并阻斷攻擊

<2> NFGW必須具備以下幾個(gè)能力：

傳統(tǒng)防火墻功能

IPS與防火墻得到深度集成

應(yīng)用感知和全棧可視化 --- （識(shí)別并展示出流量所屬類別和路徑）

利用防火墻以外的信息，增強(qiáng)管控能力

3、防火墻區(qū)域

（1）區(qū)域的作用：

安全策略都基于區(qū)域?qū)嵤?/p>

同一區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動(dòng)是不存在風(fēng)險(xiǎn)的，不需要實(shí)施任何安全策略

不同區(qū)域之間發(fā)生數(shù)據(jù)流動(dòng)，才會(huì)觸發(fā)設(shè)備的安全檢查，并實(shí)施相應(yīng)的安全策略

一個(gè)接口只能屬于一個(gè)區(qū)域，而一個(gè)區(qū)域可以有多個(gè)接口

（2）優(yōu)先級(jí)的作用

每個(gè)安全區(qū)域都有自己的優(yōu)先級(jí)，用1-100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。報(bào)文在兩個(gè)安全區(qū)域之間流動(dòng)時(shí)，我們規(guī)定：報(bào)文從低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域流動(dòng)時(shí)為入方向（Inbound），報(bào)文從由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域流動(dòng)時(shí)為出方向（Outbound）。報(bào)文在兩個(gè)方向上流動(dòng)時(shí)，將會(huì)觸發(fā)不同的安全檢查。

（3）區(qū)域劃分：

<1> DMZ區(qū)域：

兩個(gè)防火墻之間的空間被稱為DMZ。與Internet相比，DMZ可以提供更高的安全性，但是其安全性比內(nèi)部網(wǎng)絡(luò)低

服務(wù)器內(nèi)外網(wǎng)都可以訪問，但是依舊與內(nèi)網(wǎng)隔離

<2> Trust區(qū)域：

可信任的接口，是局域網(wǎng)的接口，此接口外網(wǎng)和DMZ無法訪問。外部和DMZ不能訪問trust口

<3> Untrust區(qū)域：

不信任的接口，此接口是用來接internet的，這個(gè)接口的信息內(nèi)網(wǎng)不接受。可以通過untrust口訪問DMZ,但不能訪問trust口

（4）新建區(qū)域和接口劃入?yún)^(qū)域

<1> 新建區(qū)域

<2> 接口劃入?yún)^(qū)域：

（5）擴(kuò)展：

域基本分為：local、trust、dmz、untrust這四個(gè)是系統(tǒng)自帶不能刪除，除了這四個(gè)域之外，還可以自定義域

域等級(jí)local>trust>dmz>untrust,自定義的域的優(yōu)先級(jí)是可以自己調(diào)節(jié)的

域與域之間如果不做策略默認(rèn)是deny的，即任何數(shù)據(jù)如果不做策略是通不過的，如果是在同一區(qū)域的就相當(dāng)于二層交換機(jī)一樣直接轉(zhuǎn)發(fā)

當(dāng)域與域之間有inbound和outbound區(qū)分，華為定義了優(yōu)先級(jí)地的域向優(yōu)先級(jí)高的域方向就是inbound，反之就是outbound

4、防火墻接口及模式設(shè)置

（1）圖形化配置

<1> 開啟網(wǎng)卡：

<2> 設(shè)置ensp云：

<3> 防火墻配置：

1> 將防火墻的GE 0/0/0接口與云服務(wù)連接（每個(gè)廠商的防火墻都有一個(gè)管理口，華為默認(rèn)管理口是G0/0/0）

2> 配置防火墻接口IP（與云同網(wǎng)段）以及放通所有協(xié)議

Username:admin---默認(rèn)用戶名是admin
Password:---默認(rèn)密碼是Admin@123
Thepasswordneedstobechanged.Changenow?[Y/N]:y---一般首次登入必須修改密碼
Pleaseenteroldpassword:
Pleaseenternewpassword:
Pleaseconfirmnewpassword:

[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress192.168.0.1255.255.255.0---默認(rèn)ip地址為192.168.0.1，修改ip地址和回環(huán)網(wǎng)卡同一網(wǎng)段
[USG6000V1-GigabitEthernet0/0/0]ipadd169.254.7.1---修改ip地址
[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress169.254.7.1255.255.255.0---修改成功
（圖形化登錄使用https協(xié)議登錄的，所以需將協(xié)議放通）
[USG6000V1-GigabitEthernet0/0/0]service-manageallpermit---此處放通所有協(xié)議

3> 測(cè)試：

<4> 登錄防火墻圖形化界面

通過ip地址登入：https://IP:8443

1> 繼續(xù)訪問

2> 登入

3> 登入成功

（2）接口模式配置

<1> 將接口加入?yún)^(qū)域：

法1：

法2（此處將接口劃入?yún)^(qū)域順便配置接口IP）：

<2> 配置接口IP：

（3）接口對(duì)

有些廠商將接口對(duì)稱為 --- 虛擬網(wǎng)線

5、防火墻策略

（1）定義與原理

定義：網(wǎng)絡(luò)的攻擊，但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信

原理：防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”的安全策略是控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略，作用就是對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)，符合安全策略的合法數(shù)據(jù)流才能通過防火墻

（2）安全策略配置

（3）安全策略工作流程

審核編輯：湯梓紅