信息安全技術(shù)(HCIA-Security)-第六次課-防火墻介紹課件

1、防火墻介紹在數(shù)據(jù)通信過程中，由于網(wǎng)絡(luò)中的不安全因素將會(huì)導(dǎo)致信息泄密、信息不完整，信息不可用等問題，因此在部署網(wǎng)絡(luò)時(shí)需要用到防火墻設(shè)備。本章主要介紹華為防火墻的發(fā)展歷史、特點(diǎn)、典型組網(wǎng)方式、應(yīng)用場(chǎng)景和技術(shù)指標(biāo)。學(xué)完本課程后，您將能夠:了解防火墻基本概念理解防火墻安全策略掌握防火墻安全策略配置防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)防火墻特征邏輯區(qū)域過濾器隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自身安全保障主動(dòng)防御攻擊內(nèi)網(wǎng)防火墻路由器未經(jīng)防火墻流量的可防護(hù)嗎？防火墻分類按照訪問控制方式分為：包過濾防火墻代理防火墻狀態(tài)檢測(cè)防火墻防火墻分類 - 包過濾防火墻TCP層數(shù)據(jù)鏈路層IP層TCP層數(shù)據(jù)鏈路層IP層TC

2、P層應(yīng)用層IP層只檢測(cè)報(bào)文頭部1.無法關(guān)聯(lián)數(shù)據(jù)包之間關(guān)系2.無法適應(yīng)多通道協(xié)議3.通常不檢查應(yīng)用層數(shù)據(jù)防火墻分類 - 代理防火墻發(fā)送連接請(qǐng)求外網(wǎng)終端代理防火墻內(nèi)網(wǎng)Server向Server發(fā)送報(bào)文A對(duì)請(qǐng)求進(jìn)行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向防火墻發(fā)送報(bào)文A向防火墻發(fā)送回應(yīng)報(bào)文B向終端發(fā)送回應(yīng)報(bào)文B1.處理速度慢2.升級(jí)困難防火墻分類 - 狀態(tài)檢測(cè)防火墻安全策略檢查記錄會(huì)話信息狀態(tài)錯(cuò)誤，丟棄1.處理后續(xù)包速度快2.安全性高SYN(seq=1134) ACK (seq=1135) SYN(seq=2287)ACK(seq=30000)AC

3、K(seq=2288)Host Server 防火墻組網(wǎng)方式TrustUntrustUntrustTrust/30/30/3029/30/3033/30防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)包過濾技術(shù)對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表。公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻安全策略定義安全策略是按一定規(guī)則控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略。規(guī)則的本質(zhì)是包過濾。主要應(yīng)用對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制。對(duì)設(shè)備本身的訪問進(jìn)行控制。入數(shù)據(jù)流出數(shù)據(jù)流防火墻安全策略的

4、原理BBAABBBAAAA AA AAAAPolicy 0：允許A后續(xù)操作Policy 1：拒絕B后續(xù)操作防火墻安全策略防火墻安全策略作用：根據(jù)定義的規(guī)則對(duì)經(jīng)過防火墻的流量進(jìn)行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。 步驟1：入數(shù)據(jù)流經(jīng)過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟：防火墻根據(jù)安全策略定義規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理 默認(rèn)策略操作防火墻域間轉(zhuǎn)發(fā)防火墻客戶端服務(wù)器查路由表,基于接口所屬域間及方向,查域間包過濾規(guī)則Policy0：permit源為Policy1：deny源為缺省域間包過濾規(guī)則為禁止未命中會(huì)話表執(zhí)行首包流程非首包，查找會(huì)話表命中會(huì)話表執(zhí)行后續(xù)包流程

5、Untrusttrust查詢和創(chuàng)建會(huì)話查詢會(huì)話表匹配會(huì)話表安全性檢查刷新會(huì)話表檢查是否可以創(chuàng)建會(huì)話查看Server Map 表查找路由表包過濾規(guī)則NAT創(chuàng)建會(huì)話表轉(zhuǎn)發(fā)報(bào)文是否狀態(tài)檢測(cè)機(jī)制狀態(tài)檢測(cè)機(jī)制開啟狀態(tài)下，只有首包通過設(shè)備才能建立會(huì)話表項(xiàng)，后續(xù)包直接匹配會(huì)話表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)。 狀態(tài)檢測(cè)機(jī)制關(guān)閉狀態(tài)下，即使首包沒有經(jīng)過設(shè)備，后續(xù)包只要通過設(shè)備也可以生成會(huì)話表項(xiàng)。Host Server TCP SYN TCP ACK會(huì)話表項(xiàng)源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2320000TCPabcTelnetSe

6、rver ClientSession: TCP :20000 :23Client Server創(chuàng)建會(huì)話表命中會(huì)話表 該報(bào)文通過 Server :23 Host :20000查看會(huì)話表信息顯示會(huì)話表簡(jiǎn)要信息 display firewall session table 顯示會(huì)話表詳細(xì)信息 display firewall session table verbose display firewall session table Current Total Sessions : 2 telnet VPN:public - public :2855-:23 http VPN:public - publ

7、ic :2559-00:80 display firewall session table verbose Current Total Sessions : 1 http VPN:public - public ID: a48f3648905d02c0553591da1 Zone: trust- local TTL: 00:20:00 Left: 00:19:56 Output-interface: InLoopBack0 NextHop: MAC: 00-00-00-00-00-00 packets:2881 bytes:705651 :1864-51:80 PolicyName: test

8、防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)安全策略的匹配原則防火墻客戶端服務(wù)器首包流程，做安全策略過濾。Rule 0：permit源為 Rule 1：deny源為 缺省default策略動(dòng)作為禁止。未命中會(huì)話表執(zhí)行首包流程后續(xù)包流程，不做安全策略過濾。命中會(huì)話表執(zhí)行后續(xù)包流程trustUntrust安全策略匹配流程安全策略應(yīng)用UntrustTrust公司內(nèi)網(wǎng)/16市場(chǎng)部研發(fā)部允許流量通過禁止流量通過安全策略1源地址：any目的地址：any用戶：市場(chǎng)部應(yīng)用：IM、Game動(dòng)作：禁止安全策略2源地址：any目的地址：any用戶：研發(fā)部協(xié)議：http動(dòng)作：允許配置安全區(qū)域 (WEB)系

9、統(tǒng)缺省已經(jīng)創(chuàng)建了四個(gè)安全區(qū)域。如果用戶還需要?jiǎng)澐指嗟陌踩燃?jí)，可以自行創(chuàng)建新的安全區(qū)域并定義其安全級(jí)別。配置安全策略 (WEB)安全策略主要包含的配置內(nèi)容:策略匹配條件：源安全域，目的安全域，源地址，目的地址，用戶，服務(wù)，應(yīng)用，時(shí)間段。策略動(dòng)作：允許，禁止。內(nèi)容安全Profile（可選）：反病毒，入侵防御，URL過濾，文件過濾，內(nèi)容過濾，應(yīng)用行為控制，郵件過濾。配置地址和地址組 (WEB)地址是IPv4/IPv6地址或MAC地址的集合，地址組是地址的集合。地址包含一個(gè)或若干個(gè)IPv4/IPv6地址或MAC地址，它類似于一個(gè)基礎(chǔ)組件，只需定義一次，就可以被各種策略（例如安全策略、NAT策略）多

10、次引用。配置地區(qū)和地區(qū)組 (WEB)地區(qū)是以地區(qū)為單位的IP地址對(duì)象，每個(gè)地區(qū)是當(dāng)前地區(qū)的公網(wǎng)IP地址集合。為方便擴(kuò)展和復(fù)用，設(shè)備還支持配置地區(qū)組供策略引用。地區(qū)組中可以包含多個(gè)地區(qū)、嵌套的地區(qū)組，配置靈活。配置服務(wù)和服務(wù)組 (WEB)服務(wù)是通過協(xié)議類型和端口號(hào)來確定的應(yīng)用協(xié)議類型，服務(wù)組是服務(wù)和服務(wù)組的集合。預(yù)定義服務(wù)：指系統(tǒng)缺省已經(jīng)存在、可以直接選擇的服務(wù)類型。自定義服務(wù)：通過指定協(xié)議類型（例如TCP、UDP或ICMP）和端口號(hào)等信息來定義的一些應(yīng)用協(xié)議類型。配置應(yīng)用和應(yīng)用組 (WEB)應(yīng)用是指用來執(zhí)行某一特殊任務(wù)或用途的計(jì)算機(jī)程序。應(yīng)用組是指多個(gè)應(yīng)用的集合。配置時(shí)間段 (WEB)時(shí)間段定

11、義了時(shí)間范圍，定義好的時(shí)間段被策略引用后，可以對(duì)某一時(shí)間段內(nèi)流經(jīng)NGFW的流量進(jìn)行匹配和控制。配置安全策略 (WEB)在安全策略中可以引用已經(jīng)創(chuàng)建好的對(duì)象。安全策略配置舉例組網(wǎng)需求在某企業(yè)中允許/24網(wǎng)段的員工訪問Internet，但是在此網(wǎng)段中、和的這幾臺(tái)PC對(duì)安全性要求較高，不允許上網(wǎng)。Trust區(qū)域Untrust區(qū)域/24Internet 內(nèi)網(wǎng) /24配置安全策略流程關(guān)鍵配置 (命令行)創(chuàng)建拒絕特殊的幾個(gè)IP地址訪問Internet的安全策略規(guī)則。創(chuàng)建允許/24網(wǎng)段訪問Internet的安全策略規(guī)則。NGFWsecurity-policyNGFW-policy-securityrule

12、name celueNGFW-policy-security-rule-celuesource-zone trust NGFW-policy-security-rule-celuedestination-zone untrust NGFW-policy-security-rule-celuesource-address 32NGFW-policy-security-rule-celuesource-address 32NGFW-policy-security-rule-celuesource-address 32NGFW-policy-security-rule-celueaction den

13、yNGFWsecurity-policyNGFW-policy-securityrule name celue2NGFW-policy-security-rule-celue2source-zone trust NGFW-policy-security-rule-celue2destination-zone untrust NGFW-policy-security-rule-celue2source-address 24NGFW-policy-security-rule-celue2action permit關(guān)鍵配置 (WEB) - (1) 配置名稱為ip_deny的地址組。關(guān)鍵配置 (WEB

14、) - (2) 配置拒絕特殊地址組ip_deny內(nèi)IP地址訪問Internet的安全策略。關(guān)鍵配置 (WEB) - (3) 配置允許/24網(wǎng)段訪問Internet的安全策略。防火墻概述防火墻轉(zhuǎn)發(fā)原理防火墻安全策略及應(yīng)用ASPF技術(shù)多通道協(xié)議技術(shù)單通道協(xié)議：通信過程中只需占用一個(gè)端口的協(xié)議。如：WWW只需占用80端口。多通道協(xié)議：通信過程中需占用兩個(gè)或兩個(gè)以上端口的協(xié)議。如FTP被動(dòng)模式下需占用21號(hào)端口以及一個(gè)隨機(jī)端口。使用單純的包過濾方法，如何精確定義（端口級(jí)別）多通道協(xié)議所使用的端口呢？遇到使用隨機(jī)協(xié)商端口的協(xié)議，單純的包過濾方法無法進(jìn)行數(shù)據(jù)流定義。ASPF概述ASPF ( Applica

15、tion Specific Packet Filter) 是一種高級(jí)通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于特定應(yīng)用協(xié)議的所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。監(jiān)視通信過程中的報(bào)文動(dòng)態(tài)創(chuàng)建和刪除過濾規(guī)則ASPF對(duì)多通道協(xié)議的支持ASPF（Application Specific Packet Filter）是針對(duì)應(yīng)用層的包過濾。我使用4952端口與你建立數(shù)據(jù)通道。ServerMap 表-Inside-Address :Port Global-Address :Port Pro AppType TTL Left-

16、: 4952 - tcp FTP DATA 00:01:00 00:00:47 Session表 FTP:4927 - :21 FTP:4926 - :4952 FTP Server Host 控 制 通 道數(shù) 據(jù) 通 道Server Map的產(chǎn)生配置ASPF后，轉(zhuǎn)發(fā)FTP、RTSP等多通道協(xié)議時(shí)生成的Server-map表項(xiàng)。Server Map的產(chǎn)生配置ASPF后，轉(zhuǎn)發(fā)QQ/MSN、TFTP等STUN類型協(xié)議時(shí)生成的三元組Server-map表項(xiàng)。配置NAT服務(wù)器映射時(shí)生成的靜態(tài)Server-map。配置NAT No-PAT時(shí)生成的動(dòng)態(tài)Server-map。端口識(shí)別對(duì)多通道協(xié)議的支持端口識(shí)別是把非標(biāo)準(zhǔn)協(xié)議端口映射成可識(shí)別的應(yīng)用協(xié)議端口。配置基本ACL配置端口識(shí)別（或端口映射）NGFWacl 2000NGFW-acl-basic-2000rule permit source 0 NGFWport-mapping FTP port 31 acl 2000 FTP Server Host 控 制 通 道數(shù) 據(jù) 通 道31端口是