天融信虚拟企业防火墙学习
- 防火墙的基本概念
- 防火墙基本功能
- 防火墙产品及厂家
- 区域隔离
- 防火墙的分类
- 防火墙的发展历史
- 衡量防火墙性能的5大指标
- 防火墙的工作模式
- 防火墙部署
- 实验一:验证区域隔离及策略编写
- 实验二:做源转换
- 实验三:目标转换DNAT
- 实验四:内容过滤
- HA(热备份)
前言:因为学校老师的安排,需要从七个课题中挑选一个课题深入学习,我自己挑选了防火墙这个方面,并且和老师要来了一个天融信防火墙的虚拟机,自己就开始研究学习了
防火墙的基本概念
防火墙的定义:是一款具备安全防护功能网络设备
隔离网络:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
防火墙的本职工作不是杀病毒和木马,是放行流量。需要依靠别的设备,放在公司总出口,做一个网络隔离。
和路由器的区别
路由器是隔离网段,路由器配好之后是全网互通的。防火墙有路由器的全部功能。
防火墙默认所有人都不能通过,只有一小部分能通过,路由器是默认全部可以通过,只有一小部分不能通过。
防火墙基本功能
- 访问控制:做策略
- 攻击防护:防DDOos攻击(泛洪攻击)
- 冗余设计:可以多个防火墙共同工作
- 路由、交换
- 日志记录:记录所有的攻击防护
- 虚拟专网VPN:更多的功能需要自己买授权,不是防火墙的本职功能
- NAT
防火墙产品及厂家
1、H3C U200系列
Dos攻击:
DDos攻击:2、juniper550M
最大并发连接数: 防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
并发连接数: 指的是客户端向服务器发起请求,并建立了TCP连接。每秒钟服务器链接的总TCP数量,就是并发连接数。
3、天融信
区域隔离
防火墙区域概念:
▪ 内部区域
▪ DMZ区域:称为“隔离区”,也称“非军事化区/停火区”
▪ 外部区域
高区域可以往低区域走,低区域不能往高区域走
什么时候需要部署DMZ区域
当我们公司服务器需要对外发布的时候,
防火墙的分类
1、按防火墙形态
- 软件防火墙
- 硬件防火墙
2、按技术实现
- 包过滤防火墙
- 状态检测包过滤防火墙
- 应用(代理)防火墙
- WAF防火墙
- 应用层防火墙
防火墙的发展历史
1、包过滤防火墙
最早的防火墙技术之一,功能简单,配置复杂
也叫分组过滤防火墙(Packet Filtering)。
▪ 根据分组包的源、目的地址,端口号及协议类型、标志位确定是否允许分组包通过。所根据的信息来源于IP、ICMP、TCP或UDP等协议的数据包头(Packet Header)。
▪ 优点:高效、透明
▪ 缺点:对管理员要求高、处理信息能力有限
2、应用网关型/应用代理防火墙
最早的防火墙技术之二,连接效率低,速度慢
每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
▪ 优点:安全性高,检测内容
▪ 缺点:连接性能差、可伸缩性差
3、状态检测防火墙
现代主流防火墙,速度快,配置方便,功能较多
从传统包过滤发展而来,除了包过滤检测的特性外,对网络连接设置状态特性加以检测。
▪优点
1.减少检查工作量,提高效率
2.连接状态可以简化规则的设置
▪缺点:对应用层检测不够深入
状态检测不管从哪里发过来,第一件事都是状态匹配。回来的包,有状态,并且匹配成功就能回来,否则一律干掉。单反向写策略就行。
4、DPI防火墙(Deep Packet Inspection)
未来防火墙的发展方向,能够高速的对第七层数据进行检测
一般情况下,总出口放一个状态检测防火墙,在内网网页服务器装一个WAF防火墙,在防火墙的下方,员工的上方,公司的核心网络的上方再放一些IDS或IPS。
衡量防火墙性能的5大指标
1、吞吐量:在不丢包的情况下单位时间内通过的数据包数量
2、时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
3、丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
4、并发连接数:防火墙能够同时处理的点对点连接的最大数目
5、新建连接数:在不丢包的情况下每秒可以建立的最大连接数
防火墙的工作模式
标准应用
- 透明模式
- 路由模式
- 混杂模式
标准应用–透明模式
这个防火墙就是纯粹的交换机,工作在二层。
透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要
一般将网络分为内部网、DMZ区和外部网标准应用–路由/NAT模式
SNAT:源地址转换
DNAT:目标地址转换
路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。
一般将网络分为内部网、DMZ区和外部网标准应用–混杂模式
一般网络情况为透明模式和路由模式的混合
防火墙部署
一般中国防火墙的第一个接口,在出厂的时候IP就已经配好了,就是eth0已经配好了
使用虚拟机配置,准备一台XP,两台2003
这里分别给每天虚拟机配上IP
XP的IP地址(内网):192.168.1.1
DMZ的IP地址:172.16.1.1
Outside的IP地址:100.1.1.2
实验一:验证区域隔离及策略编写
实验步骤
1.PC配置IP及网关
2.防火墙:创建区域 --> 接口加入到区域
3.接口配置IP、配置路由(本实验不需要配置)
4.写策略并验证:inside–>outside inside–>dmz dmz–>outside 放行
在真实机打开通用界面,配置IP,因为在防火墙用命令行配置比较麻烦
用真实机ping一下,ping一下虚拟网络里防火墙的网关
访问一下https://192.168.1.254:8080/,打开网页
可以看到这个防火墙默认有三个接口
选中资源管理处的区域,修改名称,并且将访问权限修改为禁止,改成禁止后,从其他区域进来后,谁都不能从这个区域出
通过下面的步骤,区域已经隔离,现在谁都不能访问谁
接口配置IP和子网掩码
不写策略,几个PC都是没办法ping通的
我们需要添加策略,允许内网到外网和DMZ,DMZ到外网
接着从内网ping外网,可以ping通
外网ping内网,DMZ都不能ping通
实验一完成
实验二:做源转换
在实验一的基础上,将外网PC的网关去掉!
此时,外网PC无法给192或172回包,相当于模拟了互联网
1.配置源转换(PAT)实现了inside及dmz区域可以上网
防火墙–地址转换
去掉外网的网关
可以看到,内网和dmz都没办法ping通,因为外网没办法回包
我们在防火墙里面做地址转换,这个时候防火墙才算部署好
刚才上不了网,地址转换弄好后,就可以继续上网了
实验三:目标转换DNAT
在实验1-2的前提下
- 把DMZ区域的2003部署为WEB服务器,并发布出去
1)做DNAT
2)写策略 outside-dmz 172.16.1.1:80- 使用outside区域2003(外网PC)通过访问http://100.1.1.88
开始部署WEB服务器
找到默认站点的文档,作出修改,访问自己的IP看一下自己的网站
内网也可以访问的
我们开始目的转换,首先需要定义一个地址
重新开始目的转换,然后我们通过外网去访问DMZ
发现经过NAT转换后还是访问失败,是因为我们并没有做策略
我们通过添加策略来放行流量,因为外网的地址来之前就已经经过地址转换,变成了172.16.1.1,所以目的地址应该是dmz-web-csw
策略写好后,我们在从外网访问看一下,外网可以访问成功,访问对外地址100.1.1.88,实验三成功
实验四:内容过滤
在实验1-3的基础上:
1)将外网的2003部署位公网的某web服务器及DNS服务器
2)此时内网及dmz-pc均可以通过域名访问外网网站
3)做URL过滤,结果一般网站可以访问,黑名单url禁止访问
4)http内容过滤,结果包含敏感词汇,禁止访问网站
部署好IIS和DNS后,通过修改主机地址,访问网站
绑定一个主机头
新建DNS解析
内网和DMZ都想上网,需要给他们配置DNS
发现内网是可以上网的
我们尝试测试一下URL黑名单过滤
先在内容过滤中进行HTTP过滤
然后在防火墙中内容策略安全
最后在访问控制中添加内容安全策略
可以看到我们现在是访问失败
接下来我们进行内容过滤
先进行关键字过滤
然后在内容安全策略这一块进行关键字过滤
再访问可以看到页面是无法访问的
HA(热备份)
有两个防火墙,一个防火墙用来使用,一个防火墙用来备份,通过中间的心跳线交流,判断是否在一个组,看一下哪一个是主,哪一个是备份,备份防火墙唯一能工作的端口就是心跳线。
需要同步数据,所有配置都应该是一样的,有静态配置和动态配置,双方先不要配置,先建立主备,心跳线还能同步数据(这是静态配置)
动态配置:动态生成的会话,也是需要备份的,心跳线一般是光纤
用两台虚拟机防火墙,一个做主,一个做备份
配置网络适配器,就是在现实生活中插网线
配置内网的IP和外网的IP
我们拔掉一个防火墙的网线,让他没办法使用
我们还需要配置真实机的IP,访问天融信的WEB,开始配置主防火墙。
我们先配置心跳线
然后配置高可用性
拔掉一个网线,使主防火墙无法使用,配置备份防火墙
配置备份防火墙的高可用性,到这一步我们的热备份已经做好了
再往下就是配置区域,配置接口,地址转换,和之前做的实验都是一样的,所以就不再演示了。
我们还需要同步,最后我们的热备份已经完成
