包过滤和安全策略
包过滤
获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表ACL。
设定规则主要通过五元组定义。
五元组
源ip、目的ip、协议类型、源端口、目标端口。
应用
逐包匹配,转发效率低。
安全策略
安全策略是fw的核心特性,作用是对通过fw的数据流进行检验,只有符合安全策略的合法流量才能通过fw进行转发。
安全策略由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,fw收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配,如果所有条件都匹配,则此流量成功匹配安全策略,流量匹配安全策略后,设备将会执行安全策略的动作。
控制规则的本质是包过滤。
安全策略组成
可以看出安全策略的条件在五元组的基础上增加了源安全区域、目的安全区域等,更加丰富。同时对禁止后的报文除了直接丢弃还可以进行反馈。
安全策略匹配过程
每条安全策略可以包含多个匹配条件,各个匹配条件之间是与的关系,一个匹配条件可以配置多个值,每个值之间是或的关系。
匹配顺序是按照策略列表顺序匹配,如果匹配了某个安全策略,就不再执行下一个策略的匹配。可以把精确的策略放在上面(前面),模糊的策略放在下面(后面)。放在模糊策略后面的精确策略可能永远不会被命中。
系统默认存在一条缺省安全策略default,缺省安全策略位于策略列表最底部,优先级最低,所有匹配条件均是any,动作默认为禁止。如果所有配置的安全策略都没有匹配到,就会匹配到缺省策略,deny掉。
应用
首包进行包过滤检查,检查通过后,后续报文根据会话表进行状态检测。转发效率高。
比较
包过滤相当于每次出入都要登记,状态检测相当于第一次登记后办了通行证以后免检放行。所以状态检测效率高。
状态检测可以理解为自反acl。网络中大部分流量都是双向的,防火墙可以通过一条安全策略实现流量出入的限制。比如放通从从1.1.1.1的1000端口访问2.2.2.2的2000端口,那么从2.2.2.2的2000端口向1.1.1.1的1000端口的回包也是允许的,但是必须是1.1.1.1的1000端口主动访问了2.2.2.2的2000端口后才行,不允许从2.2.2.2的2000端口主动访问1.1.1.1的1000端口。如果使用acl来做,必须同时在一个接口的inbound方向和outbound方向分别配置。另外如果我们主动发起连接时,使用随机端口,那么对于acl而言就不好做inbound方向的限制了,最多只能对目的端口进行限制,而无法对源端口进行限制。状态检测通过建立会话表的方式,可以监测流量特征,唯一确定一条连接。
ASPF
应用层包过滤技术(application specific packet filter),高级通信过滤。检查应用层协议信息并且监控连接的应用层协议状态,对于特定应用协议的所有连接,每一个连接状态信息都将被aspf维护并用于动态的决定数据包是否被允许通过防火墙或者丢弃。
可以理解为:通过对协议应用层数据的解析,从协商通道中获取到数据通道要用到的部分参数,生成server-map表项,临时放行数据,并以此建立会话表。这些参数在协商通道未建立之间是不可知的,因此无法限制端口,属于状态检测防火墙的优点,代理防火墙和包过滤防火墙是不具备的。
