目录
概念:
什么是防火墙?
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
在数据通信过程中,由于网络中的不安全因素将会导致信息泄密、信息不完整,信息不可用等问题,因此在部署网络时需要用到防火墙设备
特征:
逻辑区域过滤器
隐藏内网网络结构
自身安全保障
主动防御攻击
作用:
保障网络安全
USG5000系列---称为上一代FW
称为下一代防火墙 NGFW
基本功能:
访问控制,对于经过防火墙的流量进行过滤
支持VPN技术
防病毒
防火墙的分类:
性能划分:
百兆防火墙
千兆防火墙
万兆防火墙
设备形态分类:
软件防火墙
硬件防火墙
技术划分:
包过滤防火墙:
包过滤的本质就是ACL(访问控制列表)
基于报文的头部特征及其他参数对流量进行过滤
permit S.IP Client D.IP server
D.port 21
包过滤缺点:
1、无法关联数据之间的关系
2、通常只检查头部,不检查数据
3、无法适用于多通道协议
所以包过滤防火墙已经被淘汰了
ACL七元组:
S.MAC、P.MAC , S.IP、D.IP , S.PORT、D.PORT , 协议
ACL五元组:
S.IP、D.IP , S.PORT、D.PORT , 协议
不包含二层的信息
应用代理防火墙
本质为中间人代理
缺陷:
1、传输效率低
2、每种不同的应用/协议研发不同的代理防火墙
HTTP WEB非要我也去--->WAF Web应用代理防火墙
状态检测防护墙
状态检测技术
首包检测:
针对数据流的第一个进行检测
创建会话表:
记录访问关系
TCP:SYN消息
UDP:每一个UDP消息都是首包
ICMP:ICMP Request消息
优势:
处理后续包的效率高
检测应用data,安全性高
状态检测防火墙转发的唯一依据:
会话表
防火墙收到数据包:
1、匹配会话表项
存在会话表则进行内容安全检查,检查通过刷新会话表老化时间,并转发数据
不存在会话表则需判断是否可以床架会话表项
2、创建会话表条件:
1、首包
2、路由
3、包过滤规则
逻辑区域:
默认存在4个逻辑区域,每个区域有不同的安全级别,不同区域的安全级别不能冲突。
但安全级别在下一代防火墙中无意义(只在上上一代防火墙有效)。
上一代防火墙:默认安全级别高的区域可以访问安全级别低的区域。
下一代防火墙:默认所有区域之间都不能互相理解。
Local本地区域:
防火墙自身,管理员无法干预
安全级别:100
Trust信任区域:
一般将内网设为信任区域
安全级别:85
DMZ非军事化管理区域:
一般将服务器设为DMZ区域
安全级别:50
Untrust非信任区域:
一般将外网设为untrust非信任区域
安全级别:5
自定义安全区域:
除默认区域外吗,防火墙还支持自定义安全区域
自定义安全区域可以修改或删除,默认的四个安全区域不可以删除和修改安全级别
如何去划分区域:
区域和接口
区域以接口为单位:
一个区域包含多个接口;一个接口只能属于一个区域
子主题 2
安全产品:
硬件防火墙、软件防火墙(360)
上网行为管理器(ASG)
Anti-DDos -- 防DDos攻击
沙箱(病毒检测)
配置方式:
firewall zone trust #进入trust区视图
add interface g1/0/0 #区域内添加接口(将1/0/0接口添加到trust区域里)
自定义安全区域:
firewall zone name +名字(中英文都可) #创建自定义安全区域
set priority +安全级别(不能和原有的四个安全级别相同)
add interface g1/0/1 #区域内添加接口
删除自定义安全区域:
undo firewall zone name +区域名
不允许删除默认的四个区域
接口开启ping功能:
防火墙接口默认不开启ping功能,所以要手动开启
service-manage ping permit防火墙组网方式:
单机组网:
双机热备:
部署方式:
直路部署
防火墙串联在网络中,流量直接经过防火墙,防火墙可以实时控制数据
对网络影响较大
旁路部署
防火墙并联在网络边缘,流量不直接经过防火墙,通过镜像技术,复制一份网络流量到防火墙上,实时性较差
对网络几乎没有影响
防火墙工作模式:
路由模式:
防火墙工作在网络层
二层模式:
防火墙工作在数据链路层
安全策略:
包过滤规则:
通过报文特征匹配定义规则,实现流量控制
内容安全检查:
通过报文携带的应用数据进行检查
默认区域内部允许通信,不同区域之间不允许通信
安全策略类别:
域内安全策略:
针对同一个区域内的流量进行控制
域间安全策略:
针对域间流量进行控制
接口安全策略:
针对访问防火墙的流量进行控制
配置方式:
安全策略匹配顺序:
子主题 1
配置命令:
firewall session aging-time service-set #修改会话表项老化时间
display firewall session aging-time #查看会话表项老化时间分片报文:
避免非首片到达防火墙被丢弃
长连接:
针对一些需要长时间建立连接的服务,会话表会老化,采用长连接去维护会话表
ASPF(应用层包过滤)
概述:
1、识别应用层数据
2、根据应用层,生成server-map表
3、匹配server-map,匹配成功创建会话直接转发。
开启方法:
firewall detect ftp #系统默认开启