访问控制功能
防火墙的主要功能是策略(policy)和机制(mechanism)的集合,它通过对流经数据流的报文头标识进行识别,以允许合法数据流对特定资源的授权访问,从而防止那些无权访问资源的用户的恶意访问或偶然访问。
实现访问控制的工作过程:
①对于需要转发的报文,防火墙先获取报文头信息,包括IP层所承载的上层协议的协议号、报文的源IP地址、目的IP地址、源端口号和目的端口号(即五元组)。
②将报文头信息和设定的访问控制规则进行比较。
③根据比较结果、按照访问控制规则规定的动作,允许或拒绝对报文的转发。
业务感知功能
业务感知(SA, Service Awareness)是相对普通报文分析而言的一种新技术,普通报文检测仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而SA则在此基础上,增加了对应用层的分析,可识别出各种应用及其内容。
针对不同的协议类型,识别技术一般可分为以下三类:
- 基于特征字的识别技术:不同的应用通常会采用不同的协议,而各种协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术,正是通过识别数据报文中的指纹信息来确定业务流所承载的应用。
- 基于应用层网关识别技术:我们知道,有一类业务的控制流与业务流是分离的,其业务流没有任何特征。例如,SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的,只有通过检测SIP或H323的协议交互,才能得到其完整的分析。
- 基于行为模式识别技术:在实施行为模式识别技术之前,必须首先对终端的各种行为进行研究,并在此基础上建立起行为识别模型。从E-mail的内容看,垃圾邮件(SPAM)业务流发送邮件的速率、目的邮件地址数目、变化频率等参数,建立起行为识别模型,并以此分拣出垃圾邮件。
安全接入控制网关(SACG)
安全接入控制网关(Security Access Control Gateway,简称SACG):控制终端的网络访问权限,对不同的用户,不同安全状况的用户开放不同的权限。由SC控制服务器对终端进行认证,并把结果通知SACG,SACG根据UCL策略决定终端的访问权限,防止外部用户访问企业内部网络,防止内部合法但不安全用户连接到企业网络进一步感染公司网络。
以SACG接入设备为参考点,内部网络划分为主要的三个逻辑区域:
- 接入区域:接入区域由一组客户端组成,这些客户端安装了TSM代理Agent,通过二层交换或者三层交换组成一个本地网络。
- 认证前域:认证前域是一个逻辑区域,通过对SACG进行ACL配置,可以确保用户在获得接入授权以前,只能访问ACL指定的网络或者主机。终端安全管理系统的认证前域主要包括SM管理服务器、SC控制服务器、AD域管理服务器、防病毒服务器、补丁服务器等。
- 认真后域:认证后域是一个逻辑区域,与认证前域相对应。通过对SACG进行配置,当用户获得业务授权后,就可以访问认证后域的业务资源。比如OA业务服务器、ERP业务服务器、财务服务器等。
双机热备技术
虚拟路由冗余协议(VRRP, Virtual Router Redundancy Protocol)将局域网的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中,仅有一台设备处于活动状态,称为主用设备(Active);其余设备都处于备份状态(Standby)。借助VGMP机制,可以实现对多个VRRP备份组的状态一致性管理、抢占管理和通道管理等,保证一台防火墙上的接口同时处于主用或备用状态,实现防火墙防火墙VRRP状态的一致性。另外,启动HRP功能后,Active和Standby设备之间将实时同步关键配置命令和会话表状态信息。如果Active设备发生故障,导致VRRP管理组状态改变,引起VRRP备份组抢占,从而实现Standby设备平滑地接替工作
IP Link技术
IP-Link自动侦测是利用ICMP或者ARP协议的特征对业务链路正常与否进行的自动侦测。它定时地向指定的目的IP地址发送ICMP或者ARP请求,等待相应目的IP地址的回应,根据回应的情况判断网络的连通状况。如果在设定的时限内未收到回应报文,则认为链路发生故障,并进行后续相应的操作。当原来认为发生故障的链路,在之后设定的时限内,有连续3个回应报文返回,则认为发生故障的链路已经恢复正常,此后进行链路恢复的相关操作。
Qos技术
主要功能:
- 流分类:流分类依据一定的匹配规则识别出对象,是有区别地实施服务的前提。
- 流量监管:流量监管对进入网络的特定流量的规格进行监管。当流量超出规格时,可以采取限制或惩罚措施,以保护客户的商业利益和网络资源不受损害。
- 流量整型:流量整型限制从某一网络流出的某一连接的流量,使这一流量的报文以比较均匀的速度向外发送,是一种主动调整流量输出速率的措施。
- 拥塞管理是一种当拥塞发生时指定资源调度策略从而决定报文转发时处理次序的机制。主要调度策略包括FlFO(先进现出队列)、PQ (Priority Queueing,优先队列)、CQ(Customized Queue,用户定制队列)、WFQ(Weighted Fair Queueing,加权公平队列)、5、CBWFQ(class-based weighted fair queuing,基于类的加权公平队列)、6、LLQ(Low Latency Queueing,低延迟队列)。
- 拥塞避免:拥塞避免是指通过监视网络资源(如队列或内存缓冲区)的使用情况,在拥塞有加剧趋势时,主动丢弃报文,通过调整网络的流量来接触网络过载的一种流控机制。
攻击防范功能
网络攻击主要分为四大类:
- 流量型攻击:指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的。
- 扫描窥探攻击:主要包括IP地址扫描和端口扫描,从而准确的发现潜在的攻击目标。
- 畸形报文攻击:指通过向目标系统发送有缺陷的IP报文。主要的畸形报文攻击有Ping of Death、Teardrop等。
- 特殊报文攻击:指攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。
防火墙黑名单
黑名单是一个IP地址列表。防火墙将检查报文源地址,如果命中,则丢弃所有报文,可以凯苏屏蔽特定IP地址的用户。
防火墙动态创建黑名单的工作过程:
①根据报文的行为特征检测到来自特定IP地址的攻击企图。
②自动将这一特定IP地址插入黑名单表项。
③防火墙根据黑名单丢弃从该IP地址发送的报文。
注:通过在黑名单中引用高级ACL,可绑定黑名单和高级ACL,确保一些特殊用户免受黑名单的干扰。此时的安全策略是根据高级ACL规则确定是否允许该报文通过。对于ACL规则拒绝的流量进行丢弃,而ACL规则允许的流量则允许通过,此时即使用户被加入黑名单,仍能正常通信。
负载均衡
负载均衡将访问同一个IP地址的用户分配到不同的服务器上。
负载均衡采用的技术:
- 虚服务技术:防火墙配置负载均衡功能后,多个服务器公用一个公网的IP地址(即虚拟IP地址),这些服务器被称作真是服务器。用户对这些真实服务器上内容的访问都通过该虚拟IP地址进行。每一个真实服务器使用冉的私网IP地址(即实IP地址),由多层交换机、防火墙将访问虚拟IP地址的流量按照预先配置的算法分配到每一个真实服务器。
- 服务器健康性检测:即防火墙通过周期性的探测真实服务器,实现健康性检查功能。真实服务器如果可用,则返回应答报文;如果不可用,一段时间后防火墙将禁止该真实服务器,将流量按配置好的策略分配到其他的真实服务器上。
- 基于流的转发:即通过制定算法,将数据流发送到各个真实服务器进行处理。
应用控制
通过SA(Service Awareness)技术对数据流进行业务感知,识别出应用层协议,并对指定类型的数据流量进行控制。