防火墙原理和技术特点
精选
原创
©著作权归作者所有:来自51CTO博客作者lww_51CTO的原创作品,请联系作者获取转载授权,否则将追究法律责任
防火墙定义
定义:划分多个区域,基于策略限制区域间流量的安全设备
作用:主要用于阻止来自外部威胁蔓延到内部,因而称之为隔离技术(鉴别授权行为、隔离非法流量)
个人平时接触的防火墙是华三FK1000、华为USG5500、思科5525
建立连接
接口优先级
从高安全级别接口到低安全级别接口的流量叫Outbound,默认允许
从低安全级别接口到高安全级别接口的流量叫inbound,默认不允许,可以通过ACL放行
相同安全级别接口之间的流量默认是不允许,可以使用命令打开(same-security-traffic permit inter-interface)
安全级别的范围为0-100
默认inside安全级别为100,其余接口默认为0
小结:
- 如果低到高安全级别的流量没有放行,流量被阻止,默认也是阻止
- 如果高到低默认放行且符合状态化监控表项(监控初始值是有预设的亦可添加),那么回来的流量即时没有permit也会被放行
- 如果高到低默认放行且不符合状态化监控表项,那么回来的流量会被阻止(该条案例如下)
防火墙技术
包过滤技术
第一代防火墙技术,基于网络层与传输层参数来执行访问控制
实际工作中,这类技术往往部署在路由器或者三层交换机上的访问控制列表
ACL匹配工作流程:
部署在in方向先接口撞击规则匹配控制列表,再检查路由表
部署在out方向先检查访路由表,再检查根据接口规则被撞击而触发控制列表
NAT匹配工作流程:
如果流量从Inside端口进来,那么先执行路由,后执行NAT(本地 到 全局)
如果流量从Outside端口进来,那么先执行NAT(全局 到 本地),后执行路由
应用代理技术
又称为应用层网关,侧重软件代理,可以隐藏内部服务的地址
大部分代理防火墙工作在OSI应用层
网络地址转换技术
https://blog.51cto.com/linweiwei/5112589
状态化监控包过滤(重点)
通过记录初始化流量的相关参数,形成并维护状态化表项
基于状态化表项来检查会话表,如果存在放行返回的流量加快转发
状态检测防火墙的转发
“状态检测”机制以流量为单位来对报文进行检测和转发。即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发(或进行内容安全检测)还是丢弃。这个“状态”就是会话表项
状态化工作流程图
应用层监控和控制状态包过滤(重点)
也称为深度包检测
基于原有状态监控包过滤基础上,增加应用层监控功能。可以管理应用层的某个行为
环境感知的下一代防火墙
在获取网络访问之前,不仅需要了解访问基础设备的应用和用户
还需要知道介入用户设备、位置、时间等相关信息
维护防火墙
配置文件
running-config
运行时加载的配置文件,show running-config
start-config
开机时加载的配置文件, show starup-config
常用维护命令
保存write
清空全部配置(慎用)clear configure all
清空指定配置(慎用)clear configure interfaceg0/0
清空启动配置(慎用)write erase
备份与恢复
back #后面回车+回车
show flash: #查看备份文件
restore location flash://TAB或?补全名称
日志管理
数字越低级别越高,低安全级别日志包含高安全级别日志
控制列表
路由器控制逻辑
总结访问控制列表特性
- 控制穿越流量
- 控制抵达路由器自身的流量
- 控制返回流量
- 无法控制自身发起的流量
防火墙控制逻辑
总结访问控制列表特性
- 控制穿越流量
- 无法控制抵达防火墙流量
- 无法控制返回流量
- 无法控制自身发起的流量
状态化访问规则:针对所有执行状态化处理的协议和应用,ASA接口访问规则只需要放行这个应用的初始化包
接口访问控制方向_1
访问控制可以应用在接口的Input、output
input控制源自于规则所在接口的主机连接
output控制去往规则所在接口的主机连接
要放行一个网络运用穿越ASA,在初始化的方向上,所有规则集都应该方向
接口访问控制方向_2
一般部署的时候在所有的接口仅仅运用Input规则
所有接口仅做input即可,只有这样的部署确保所有运用只穿越接口访问规则一次
特殊情况,output更容易运用