防火墙安全策略

  • 安全区域
  • 防火墙的工作模式
  • 防火墙的分类
  • 基本配置
  • 安全策略
  • 状态检测机制
  • 安全策略配置案例
  • FTP
  • 主动模式
  • 被动模式
  • FTP防火墙设置总结
  • ASPF
  • 帮助FTP数据报文穿越防火墙
  • 分片缓存
  • 分片过程
  • 重组过程
  • 长连接


 
Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5

防火墙的转发原理(基于会话(状态)转发)
基于状态(会话 session)回包 监控——会话表,ping包会话 大概10s
防火墙可做 单向访问控制。 路由器没法做 单向(路由器必须A->B,B->A)
即使防火墙 在ISP做了静态路由,也通不了。

五元组 标识: 源地址,目标地址,源端口号,目标端口号,协议号

安全区域

三个安全区域:Trust、DMZ、Untrust

  • Trust 区域:通常用来定义内部用户所在的网络
  • DMZ 区域:通常用来定义内部服务器所在的网络 (受信任程度处于内部网络和外部网络之间的安全区域)
  • Untrust 区域:通常用来定义Internet等不安全的网络

安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
Inbound:报文从低级别的安全区域向高级别的安全区域流动时为入方向
Outbound:报文从高级别的安全区域向低级别的安全区域流动时为出方向

———————————————————————————————————————

华为防火墙默认分为4个安全区域。

(1)Trust区域:本区域内的网络受信程度高,通常用来定义内部用户所在的网络。

(2)DMZ区域:本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。

(3)Untrust区域:本区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

(4)LOCAL区域,防火墙自身所在的区域

在华为防火墙中,每个安全区域都有一个安全级别,用1-100表示,数字越大,代表这个区域越可信。默认情况下,LOCAL区域安全级别100、Trust区域为85,DMZ为50,Untrust区域为5。

 

防火墙的工作模式

防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。注意三种模式的区别。
系统默认是路由模式

路由模式:当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。

透明模式:如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP报文同样经过相关的过滤检查(但是IP报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下

混合模式:如果防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP地址,其它接口不配置IP地址。

 

防火墙的分类

包过滤防火墙

  • 对需要转发的数据包,先获取包头信息,然后和设定过的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
  • 实现包过滤的核心技术是访问控制列表,满足条件的数据包才可以通过
  • 包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,缺点由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容。

应用型代理防火墙也可以被称为代理服务器式防火墙,它的安全性要高于包过滤型产品,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢

动态包过滤防火墙也可以被称为基于状态监测的防火墙。对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过;记录下该连接的相关信息,生成状态表;对该连接的后续数据包,只要是符合状态表,就可以通过,更加灵活。

入侵检测IDS和入侵防御IPS

IDS(入侵检测系统)就是对网络、系统的运行状况依照一定的安全策略进行监视,尽可能发现各种攻击企图。IDS的部署位置:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。以旁路模式接入。

IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。

入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为。

source-address是或的关系

基本配置

disp firewall session table 时间 firewall zone untrust_安全


PC1:

IP地址:10.1.1.1

网关:10.1.1.254

PC2:
IP地址:11.1.1.1
网关:11.1.1.254

PC2:
IP地址:12.1.1.1
网关:12.1.1.254

需求:
1.允许PC1和PC3互访,PC2可访问PC3,但PC3不允许访问PC2
2.不允许PC1访问PC2,PC2可以访问PC1
3.协议ICMP

USG6000V
划分区域

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]add int g1/0/1

[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2

配置接口IP地址

#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 12.1.1.254 255.255.255.0

策略

[USG6000V1]security-policy
[USG6000V1-policy-security]dis this
#
security-policy
 rule name pc1_pc3_icmp_policy
  source-zone trust
  source-zone untrust
  destination-zone trust
  destination-zone untrust
  source-address 10.1.1.1 32
  source-address 11.1.1.1 32
  source-address 12.1.1.0 24
  destination-address 10.1.1.1 32
  destination-address 12.1.1.1 32
  service icmp
  action permit
 rule name pc1_pc2_icmp_policy
  source-zone trust
  destination-zone trust
  source-address 10.1.1.1 32
  destination-address 11.1.1.1 32
  service icmp
  action deny
#

测试验证

PC1 Ping PC3

disp firewall session table 时间 firewall zone untrust_安全_02


再分别测试:PC1 Ping PC2、PC2 Ping PC1、PC2 Ping PC3、PC3 Ping PC2USG5500V

disp firewall session table 时间 firewall zone untrust_服务器_03

[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/1
[SRG-zone-trust]add int g0/0/2
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/3
interface GigabitEthernet0/0/1
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 undo shutdown
 ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/3
 undo shutdown
 ip address 12.1.1.254 255.255.255.0
#
policy interzone trust untrust inbound
 policy 0
  action permit
  policy service service-set icmp
  policy source 12.1.1.1 0
  policy destination 10.1.1.1 0
#
policy interzone trust untrust outbound
 policy 0
  action permit
  policy service service-set icmp
  policy source 10.1.1.1 0
  policy source 11.1.1.1 0
  policy destination 12.1.1.1 0
#
policy zone trust
 policy 0
  action deny
  policy service service-set icmp
  policy source 10.1.1.1 0
  policy destination 11.1.1.1 0
#

安全策略

安全策略分类

  • 域间安全策略
  • 域内安全策略
  • 接口包过滤

安全策略主要包含的配置内容
策略匹配条件:源安全域,目的安全域,源地址,目的地址,用户,服务,应用,时间段
策略动作:允许,禁止
内容安全Profile(可选):反病毒,入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤

disp firewall session table 时间 firewall zone untrust_网络_04


disp firewall session table 时间 firewall zone untrust_安全_05


disp firewall session table 时间 firewall zone untrust_服务器_06


跨天的,晚上8点到早上6点,写法:20:00-24:00,00:00:06:00时间段设置

创建时间段,并进入时间段视图

time-range time-range-name

设置绝对时间段

absolute-range start-time start-date [ to end-time end-date ]

设置周期时间段

period-range start-time to end-time week-days &<1-7>

disp firewall session table 时间 firewall zone untrust_客户端_07

 

状态检测机制

状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发
状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项

会话表为了保证能够进出

后续包只看会话表

如果会话表没了,要经过安全策略检查,再次创建会话表

显示会话表简要信息:dis firewall session table

显示会话表详细信息:dis firewall session table verbose

disp firewall session table 时间 firewall zone untrust_数据_08

disp firewall session table 时间 firewall zone untrust_客户端_09

非首包经过防火墙来进行状态监测,效果会出现一直重传

disp firewall session table 时间 firewall zone untrust_数据_10


1.所有ip地址配置,开启http服务

2.防火墙划分安全区域

[SRG]firewall zone untrust

[SRG-zone-untrust]add int g0/0/1

[SRG]firewall zone trust

[SRG-zone-trust]add int g0/0/2

3.FW配置安全策略和静态路由

ip route-static 10.1.1.0 24 11.1.1.1
ip route-static 192.168.1.0 24 12.1.1.1

policy interzone untrust trust inbound
policy 0
action permit

dis cur | inc ip route

4.路由器配置策略路由

4.路由器配置策略,将10.1.1.0网段返回的流量引流到FW1
acl 2000
rule permit source 10.1.1.0 0.0.0.255
#
traffic classifier A operator or
if-match acl 2000
#
traffic behavior A
redirect ip-nexthop 11.1.1.2    引流重定向
#
traffic policy A      关联
classifier A behavior A
#
int g0/0/0      策略应用在接口上
traffic-policy A inbound

5.在R1的g1/0/0接口抓包
6.R1 Ping 11.1.1.2 (虽然通不了,观察下)
7.客户端访问http://10.1.1.1,观察包情况
8.关闭状态检测功能
undo firewall session link-state check
重复第七步

一直处于请求连接

disp firewall session table 时间 firewall zone untrust_客户端_11

关闭状态检测 undo firewall session link-state check

disp firewall session table 时间 firewall zone untrust_客户端_12

6000v的策略配置
security-policy
rule name http_policy
action permit

 

安全策略配置案例

disp firewall session table 时间 firewall zone untrust_数据_13


disp firewall session table 时间 firewall zone untrust_网络_14


disp firewall session table 时间 firewall zone untrust_服务器_15


disp firewall session table 时间 firewall zone untrust_客户端_16


disp firewall session table 时间 firewall zone untrust_网络_17

 

FTP

默认情况下,服务器21端口作为命令端口,20端口为数据端口。但被动模式下就有所差别了

帮助FTP数据报文穿越防火墙
firewall interzone trust untrust
display firewall server-map
display firewall session table

主动模式:FTP服务器主动向FTP客户端发起数据连接
被动模式:FTP服务器被动接收FTP客户端发起的数据流连接

主动还是被动,关键是看服务器

主动模式

主动模式是FTP的默认模式,也称为PORT模式。

1.在主动模式下,客户端会开启N和N+1两个端口,N为客户端的命令端口,N+1为客户端的数据端口。

第一步,客户端使用端口N连接FTP服务器的命令端口21,建立控制连接并告诉服务器我这边开启了数据端口N+1。

第二步,在控制连接建立成功后,服务器会使用数据端口20,主动连接客户端的N+1端口以建立数据连接。这就是FTP主动模式的连接过程。

客户端的命令端口和数据端口实际中并不是 完全N和N+1的关系,只是两个端口比较接近,

disp firewall session table 时间 firewall zone untrust_服务器_18


主动模式的利弊:

主动模式对FTP服务器的管理有利,因为FTP服务器只需要开启21端口的“准入”和20端口的“准出”即可。

但这种模式对客户端的管理不利,因为FTP服务器20端口连接客户端的数据端口时,有可能被客户端的防火墙拦截掉。

被动模式

第一步,客户端的命令端口N主动连接服务器命令端口21,并发送PASV命令,告诉服务器用“被动模式”,控制连接建立成功后,服务器开启一个数据端口P,通过PORT命令将P端口告诉客户端。

第二步,客户端的数据端口N+1去连接服务器的数据端口P,建立数据连接

被动模式的利弊:
被动模式对FTP客户端的管理有利,因为客户端的命令端口和数据端口都是“准出”,windows防火墙对于“准出”一般是不拦截的,所以客户端不需要任何多余的配置就可以连接FTP服务器了。

但对服务器端的管理不利。因为客户端数据端口连到FTP服务器的数据端口P时,很有可能被服务器端的防火墙阻塞掉。

FTP防火墙设置总结

1.FTP主动模式下防火墙设置
(1)服务器没有“物理防火墙”的情况下,只需要在服务器操作系统中开启21端口的准入,20端口的准出默认是允许的(Windows系统防火墙默认是不拦截“准出”的)。
(2)服务器有“物理防火墙”的情况下,需要在“物理防火墙”中开启21端口的准入,20端口的准出。
(3)客户端需要设置“允许应用程序通过防火墙”(WinSCP.exe、FlashFXP等)

2.FTP主动模式下防火墙设置
(1)服务器需要开启21端口准入,并设置被动模式数据端口范围P,并在防火墙中开启P的准入。
(2)客户端一般不需要设置任何防火墙,因为N和N+1一般是可以出去的。

ASPF

ASPF ( Application Specific Packet Filter) 是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。

丰富的ASPF功能保证开展业务时安全性得到保证

disp firewall session table 时间 firewall zone untrust_客户端_19

帮助FTP数据报文穿越防火墙

只能在5500做

disp firewall session table 时间 firewall zone untrust_服务器_20


aspf对多通道协议的支持

disp firewall session table 时间 firewall zone untrust_客户端_21

disp firewall session table 时间 firewall zone untrust_网络_22

Server Map的产生

  • 转发多通道协议
  • NAT Server或SLB时
  • NAT NO-PAT
  • 转发QQ/MSN、TFTP等STUN类型协议

disp firewall session table 时间 firewall zone untrust_网络_23

分片缓存

disp firewall session table 时间 firewall zone untrust_服务器_24


补充一下IP数据报的知识

一个IP数据报时由首部和数据两部分所组成的。首部的前一部分为固定长度,共20字节,这里用到的字段有:

  • 首部长度,典型的IP数据报首部长度是20字节
  • 总长度:总长度指首部和数据之和的长度,超过下层MTU值的时候,必须分片,其中以太网的MTU为1500字节。
  • 标志:标志字段中的最低位为MF MF=1表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
    标志字段中间的一位记为DF,意思是“不能分片”。只有当DF=0时,才允许分片。
  • 片偏移:分片在原分组中的相对位置片,偏移以8个字节为偏移单位。

分片过程

disp firewall session table 时间 firewall zone untrust_服务器_25

重组过程

disp firewall session table 时间 firewall zone untrust_数据_26


 

通俗来讲就是:
某报文长度是 1400字节,MTU=1000字节,那么怎么分片?
分片:
MTU=1000B-20=980B
980/8=12…20
满足片偏移/8是整数倍,要能成组,采用976的值

1400-20=1380
1380-976B=404

①长度;T=976+20=996B,MF=1,片偏移=0
②长度;T=404+20=424B,MF=0,片移值=122(976/8得到的结果)

重组:
(996-20 ) + (424-20) +20 = 1400

 

长连接

为什么需要长连接?

  • 防火墙会话表老化机制,当会话老化时间内无数据通过,将断开此会话连接
  • 会话老化机制给特殊业务带来的问题

会话表修改
firewall session aging-time service-set icmp 15
display firewall session aging-time

disp firewall session table 时间 firewall zone untrust_安全_27

192.168.250.1:8443
用户:admin
密码:Admin@123

service-management ping

disp firewall session table 时间 firewall zone untrust_数据_28