前言
防火墙作为一种安全设备被广泛使用于各种网络环境中,它在网络间起到隔离作用。华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防火墙及安全系列产品。在近二十年的历程中,华为在业界立下了一个又一个丰碑。
华为防火墙介绍
USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM( Unified Threat Management,统一威胁管理 )产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
USG2110
USG2110为华为针对中小企业及连锁机构、SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM、VPN、路由、无线等。USG2110其具有性能高、可靠性高、配置方便等特性,且价格相对较低,支持多种VPN组网方式,为用户提供安全、灵活、便捷的一体化组网解决方案
USG6600
USG6600是华为面向下一代网络环境防火墙产品,适用于大中型企业及数据中心等网络环境,具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点,可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、VPN远程互联等组网应用
USG9500系列
USG9500系列包含USG9520、USG9560、USG9580三种系列,适用于云服务提供商、大型数据中心、大型企业园区网络等,它拥有最精准的访问控制、最实用的NGFW特性、最领先的 “ NP+多核+分布式 ” 构架及最丰富的虚拟化,被称为最稳定可靠的安全网关产品,可用于大型数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景
NGFW
NGFW,全称是 Next Generation Firewall,即下一代防火墙,最早由 Gartner提出。NGFW更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换、状态检测、VPN和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。
传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置。
目前,华为的NGFW产品主要是USG6000系列,覆盖从低端的固定化模块产品到高端的可插拔模块产品,华为下一代防火墙的应用识别能力范围领先同行业产品20%,超出国产品牌3-5倍。
防火墙的工作模式
华为防火墙具有三种工作模式:路由模式,透明模式、混合模式
路由模式
如果华为防火墙连接网络的接口配置IP地址则认为防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址,所以需要重新规划原有的网络拓扑,此时防火墙首先是一台路由器,然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)。
透明模式
如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下,如果华为防火墙采用透明模式进行工作,只需在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置:此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网,此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。
混合模式
如果华为防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址 ),则防火墙工作在混合模式下,这种工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供双机热备的特殊应用中,别的环境下不建议使用。
华为防火墙的安全区域划分
| 区域 | 描述 |
|---|---|
| trust | 通常定义为内部网络优先级为85,安全等级较高 |
| dmz | 通常定义为需要对外提供服务的网络,优先级为50,非军事化区域,也称‘隔离区’,安全性介于Trust区域和Untrust区域之间 |
| untrust | 通常定义外部网络,优先级为5,安全级别很低 |
| local | 通常定义防火墙本身,优先级为100 |
| 其他区域 | 用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定 |
注:
- 安全区域的优先级必须是
唯一的,即每个安全区域都需要对应不同的优先级,因为防火墙会根据优先級大小来确定网络的受信任级别。 - 默认情况下,
华为NGFW防火墙拒绝任何区域之间的一切流量,如需放行指定的流量,需要管理员设置策略。但同一域间默认流量是放行。 - 但是华为传统的防火墙默认情况下对
从高优先级区域到低优先级区城方向的流量默认放行。
防火墙 Inbound和 Outbound
防火墙基于区域之间处理流量,即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递,当数据流在安全区域之间流动时,才会激发华为防火墙进行安全策略的检查,即华为防火墙的安全策略通常都是基于域间( 如 Untrust区域和Trust区域之间 )的,不同的区域之间可以设置不同的安全策略,域间的数据流分两个方向:
入方向( Inbound ):数据由低级别的安全区域向高级别的安全区域传输的方向(风险高)。例如,从Untrust区域( 优先级5 )的流量到 Trust区域( 优先级85 )的流量就属于 Inbound方向。
出方向( Outbound ):数据由高级别的安全区域向低级别的安全区域传输的方向(风险低),例如,从DMZ区域( 优先级50 )的流量到 Untrust区域的流量就属于 Outbound方向。
状态化信息
防火墙对于数据流的处理,是针对首个报文在访问发起的方向检查安全策略,如果允许转发,同时将生成状态化信息一会话表,而后续的报文及返回的报文如果匹配到会话表,将直接转发而不经过策略的检查,进而提高转发效率,这也是状态化防火墙的典型特性。这也是访问的双向流量不需要同时配置安全策略的原因。
注:
数据流: 防火墙通过五元组来唯一的区分一个数据流,即源IP、目标IP、协议、源端口及目标端口。防火墙把具有相同五元组内容的数据当作一个数据流。
其他流量:但是对于其他流量,依然要经过防火墙的安全策略检查,防火墙的这种特性使每个数据流都至少一个包必须匹配安全策略,而非法的流量在执行安全策略时将被丢弃。
会话表: 一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就称为会话表( Session Table )
需要注意的是,会话是动态生成的,但不是永远存在的。如果长时间没有报文匹配,则说明通信双方已经断开了连接,不再需要该条会话了。此时,为了节约系统资源,防火墙会在一段时间后删除会话,该时间称为会话的老化时间。
安全策略
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。可以在不同的域间方向应用不同的安全策路进行不同的控制。
华为新一代防火墙对报文的检测除了基于传统的五元组( 源IP、目标IP、协议、源端口、目标端口 )之外,还可以基于上面的六个维度进行管理和维护,真正实现全方位立体化的检测能力及精准的访问控制和安全检测
目前USG6000系列防火墙的V100R001版本采用的是一体化安全策略。所谓的一体化,可以体现在两个方面,其一是配置上的一体化,其二是业务上一体化。一体化的安全策略由若干规则组成,而规则由条件、动作、配置文件和选项构成,如下图所示。
规则: 一条规则可以引用一个或多个配置文件,不同类型的规则包含对应的默认配置文件,管理员也可以手动引用其他一个或多个配置文件。配置文件只有在动作允许时,才能够被引用。
条件: 条件是匹配某条规则的依据,条件中的各个元素之间是 “与” 的关系,满足规则的所有条件才算匹配该条规则。
动作: 动作是防火墙对于匹配的流量所采取的处理方式,包含允许、拒绝等。
选项: 选项是规则的一些附加功能,如是否针对该规则记录日志、本条规则是否生效等。
配置实例:
[USG6000V1]security-policy //配置安全策略
[USG6000V1-policy-security]rule name allow_Telnet //策略名字
[USG6000V1-policy-security-rule-allow_Telnet]source-zone trust //指定条件
[USG6000V1-policy-security-rule-allow_Telnet]destination-zone local //指定条件
[USG6000V1-policy-security-rule-allow_Telnet]action permit //指定动作
[USG6000V1-policy-security-rule-allow_Telnet]quit
[USG6000V1-policy-security]quit
安全策略中的默认动作代替了默认包过滤。传统防火墙的包过滤是基于区间的,只针对指定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许。
同时为了灵活应对各种组网情况,华为防火墙还支持配置域内( 同一个安全区域内 )策路,对同一个安全区域内经过防火墙的流量进行安全检查( 默认情况下是允许所有域内报文通过防火墙的 )。
默认情况下,华为防火墙的策路有如下特点:
(1)任何两个安全区域的优先级不能相同。
(2)本域内不同接口间的报文不过滤直接转发。
(3)接口没有加入域之前不能转发包文。
(4)在USG6000系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间要相互访问,都必须要配置安全策略,除非是同一区域报文传递。
下一篇: 华为防火墙的管理方式
