一、背景
起源于建筑领域,用来隔离火灾的,阻断火势从一个区域蔓延到另一个区域。引入到通讯领域中,用通讯的语言来定义,防火墙主要用于保护一个网络区域免受来自另外一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活的用于网络的边界、子网隔离等位置。具体的如企业网络的出口、大型网络内部子网隔离、 数据中心边界等等。
路由器和交换机的本质是转发,防火墙的本质是控制!!
二、防火墙的安全区域
1、安全区域(security zone),或简称为区域(zone)。
2、zone是一个或多个接口所连接的网。
zone的作用:安全策略都是基于安全区域实施的,在同一个安全区域内部发生的数据流动是不存在安全风险的,不需要任何安全策略。只有当不同的安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 在防火墙中,同一个接口所连接的网络的所有网络设备一定位于同一个安全区域中,而一个安全区域 可以包含多个接口所连接的网络。
3、防火墙缺省的安全区域:
(1)非受信区域untrust(安全级别值为5)
(2)非军事化管理区DMZ(安全级别值为50)
(3)非军事化管理区DMZ(安全级别值为50)
(4)受信区域trust(安全级别值为85)
(5)本地区域local(安全级别值为100)
默认区域不允许删除和修改,手工创建的安全区域名字、安全级别值不能与默认的安全区域相同!
4、安全区域与接口的对应关系:
1、防火墙不允许同一个物理接口分属于两个不同的安全区域。
2、防火墙的不同接口可以属于同一个安全区域。
三、防火墙的分类(按照访问控制方式)
1、包过滤防火墙
2、代理防火墙
3、状态检测防火墙
四、防火墙的安全策略
1、定义: 安全策略是按照一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略 规则的本质是包过滤
2、主要应用:(1)对跨防火墙的网络互访进行控制 (2)对设备本身的访问进行控制。
3、防火墙的安全策略原理: 防火墙一般是检查IP报文中的五个元素,又称之为“五元组”,即源IP地址、目的IP地址、源端口号、目的端 口号、协议类型。通过判断IP数据的五元组,就可以判断一条数据流相同的IP报文。下一代防火墙处理检查五元 组,还会检测报文的用户、应用和时间段等。然后根据定义的规则对经过防火墙的流量进行筛选,由关键字确定筛 选出的流量如何进行下一步操作。
五、实操
查询和创建会话表项: 防火墙收到报文,首先查询会话表项,匹配会话表,如果能够匹配上则执行对应的安全检测,刷新会话表,然 后进行转发报文;若没有匹配到会话表,检查是否可以创建会话表,查看server-map表、查找路由表、包过滤规 则、nat等,创建对应的会话表项,然后转发报文。
