防火墙——防火墙基础知识
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分
目录
基本概念
防火墙一般位于多个信任不同的网络之间,对其之间的通信进行控制,来防止网络威胁
分类
防火墙按照形态可以分为
- 硬件防火墙(一般用于企业出口,保护整个内网)
- 软件防火墙(往往只是保护自己,例如360等)
按照访问控制方式分为
- 包过滤防火墙:在网络层对每个数据包进行匹配(无法关联数据包之间的关系、无法适应多通道协议、通常不检测应用层数据)
- 代理防火墙:作用于应用层,外部网络用户之间进行的业务由代理完成(处理速度慢、升级困难)
- 状态检测防火墙:包过滤技术的扩展,考虑数据包之间的关联性,可以检查应用层数据(处理后续包的速度快,安全性高)
防火墙基本信息
以下介绍的是华为状态检测防火墙的基本信息
防火墙接口工作模式
路由模式(类似于路由器):每个接口都可以配置IP地址—支持更多的安全特性,对网络拓扑有影响
透明模式(类似于二层交换机):每个接口都不可以配置IP地址—对网络拓扑没有影响
混合模式(类似于三层交换机):部分接口可以配置IP地址
防火墙安全区域
防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的;一个安全区域是若干个接口所连网络的集合
区域类型
默认情况下,不同区域见会触发安全检测,同一安全区域间不会触发安全检测
Local区域,优先级100——Local区域不可以添加任何接口。防火墙自身接口都属于Local区域
Trust区域,优先级85
Dmz区域,优先级50
Untrust区域,优先级5
注意事项
- 一个接口只可以属于一个安全区域、一个安全区域可以包含多个接口
- 不同的安全区域有不同的优先级,并且优先级全局唯一
- 优先级的范围为1到100(最多创建100个安全区域),数字越大,优先级越高,信任度也就越高
- 由高优先级到低优先级为出方向,由低优先级到高优先级为入方向
安全策略
安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发(安全策略的本质是包过滤)
安全策略组成
安全策略是由匹配条件(五元组、用户、时间、安全区域等)和动作组成
流量匹配安全策略的匹配条件后,设备将会执行安全策略的动作
默认策略是区域之间的报文都禁止通过
安全策略的配置
对于同一条数据流,只需要在访问的发起方向配置安全策略就可以,匹配安全策略成功后建立会话表。回来的报文不需要额外的策略(通过会话表控制)
安全策略匹配规则
当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高
匹配成功后不会再进行下一个策略的匹配。当没有匹配到任何策略时就按照缺省策略进行处理
注意事项
- 缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发
- 多通道协议在配置ASPF功能后,FW对数据通道的报文不进行安全策略过滤
- 当认证策略的认证动作配置为Portal认证,用户向Web服务器发起HTTP/HTTPS请求时,Syn首包不受安全策略控制
状态检测机制与会话表
状态检测
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文,也对内层报文(VPN报文解封装后的报文)进行检测。
状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)
协议 首包报文类型 开启状态检测功能 关闭状态检测功能 TCP SYN报文 创建会话,转发报文 创建会话,转发报文 SYN+ACK、ACK报文 不创建会话,丢弃报文 创建会话,转发报文 UDP 所有UDP报文 创建会话,转发报文 创建会话,转发报文 ICMP Ping回显请求报文 创建会话,转发报文 创建会话,转发报文 Ping回显应答报文 不创建会话,丢弃报文 创建会话,转发报文 目标不可达报文、源抑制报文和超时报文 不创建会话,转发报文 不创建会话,转发报文 其他ICMP报文 创建会话并转发报文,但不支持NAT转换。 创建会话并转发报文,但不支持NAT转换。
会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是FW转发报文的重要依据
会话表信息
七元组信息(源目IP、源目端口、协议、用户、应用)
当会话表中的下一跳为FW的环回接口的情况下,下一跳MAC地址为全0
会话老化
对于一个已经建立的会话表项,他不会一直存在。只有当他再一段时间内被匹配了才有必要存在。如果在此时间内没有被匹配,则会话表就会被删除。
不同的协议不同会话老化时间不同(DNS为3s)
长连接
由于某些特殊业务数据流的会话信息需要长时间不老化,此时需要配置长连接来保证此类业务不被老化。
注:
最大长连接会话数量为会话规格总数的1/3
长连接设置的老化时间不受全局会话表老化时间影响
会话在转发流程中的位置
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
14
0- 0
已为社区贡献11条内容
所有评论(0)