防火墙技术

马秋贤

目录

  • 1 基础知识
    • 1.1 什么是防火墙
    • 1.2 防火墙的发展历史
    • 1.3 华为防火墙产品一览
    • 1.4 安全区域
    • 1.5 状态检测和会话机制
    • 1.6 状态检测和会话机制补遗
  • 2 安全策略
    • 2.1 安全策略初体验
    • 2.2 安全策略发展历程
    • 2.3 Local区域的安全策略
    • 2.4 ASPF
  • 3 攻击防范
    • 3.1 DoS攻击简介
    • 3.2 单包攻击机防御
    • 3.3 流量型攻击之SYN Flood攻击及防御
  • 4 NAT
    • 4.1 源NAT
    • 4.2 NAT Serve
    • 4.3 双向NAT
  • 5 GRE&L2TP VPN
    • 5.1 VPN简介
    • 5.2 GRE
    • 5.3 L2TP VPN的诞生及演进
  • 6 IPSec VPN
    • 6.1 IPSec简介
    • 6.2 手工方式IPS ec VPN
    • 6.3 IKE和ISAKMP
    • 6.4 IKEvl
  • 7 DSVPN
    • 7.1 DSVPN简介
    • 7.2 Normal方式的DSVPN
  • 8 SSL VPN
    • 8.1 SSLVPN原理
    • 8.2 文件共享
    • 8.3 WEB代理
  • 9 双机热备
    • 9.1 双机热备概述
    • 9.2 VRRP与VGMP的故事
    • 9.3 VGMP招式详解
    • 9.4 HRP协议详解
  • 10 出口选路
    • 10.1 出口选路总述
    • 10.2 就近选路
    • 10.3 策略路由选路
  • 11 防火墙在校园网中的应用
    • 11.1 组网需求
    • 11.2 组网规划
    • 11.3 配置步骤
安全区域

      防火墙主要部署在网络边界起到隔离的作用,那么在防火墙上如何来区分不同的网络呢?

      为此,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查1

我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。

 

通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络。如下图所示,我们把接口1和接口2放到安全区域A中,接口3放到安全区域B中,接口4放到安全区域C中,这样在防火墙上就存在了三个安全区域,对应三个网络。

 

华为防火墙产品上默认已经为大家提供了三个安全区域,分别是Trust、DMZ和Untrust,光从名字看就知道这三个安全区域很有内涵,下面强叔就为大家逐一介绍:

  • Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。

  • DMZ区域2,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。

  • Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

在网络数量较少、环境简单的场合中,使用默认提供的安全区域就可以满足划分网络的需求。当然,在网络数量较多的场合,您还可以根据需要创建新的安全区域。
如下图所示,假设接口1和接口2连接的是内部用户,那我们就把这两个接口划分到Trust区域中;接口3连接内部服务器,将它划分到DMZ区域;接口4连接Internet,将它划分到Untrust区域。

 

 

由此我们可以得知,不同网络间互访时报文在防火墙上所走的路线。例如,当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。
除了在不同网络之间流动的报文之外,还存在从某个网络到达防火墙本身的报文(例如我们登录到防火墙上进行配置),以及从防火墙本身发出的报文,如何在防火墙上标识这类报文的路线呢?
如下图所示,防火墙上提供了Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

 

关于Local区域,强叔还要再提醒一句,Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。


现在我们就可以把经过防火墙的流量和防火墙本身的流量都标识出来了,前面介绍过,不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。

 

级别确定之后,安全区域就被分成了三六九等,高低有别。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound)报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。下图标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。

 

通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文进行安全检查和实施管控策略。
下面给出了防火墙部署在企业内部的真实环境组网图。从图中我们可以看出,企业内部网络中的用户、服务器,以及位于外部的Internet,都被划分到不同的安全区域中了,防火墙对各个安全区域之间流动的报文进行安全检查。

 

上面我们花了很大的篇幅来介绍安全区域,主要目的还是要说明安全区域的重要性。希望通过强叔的介绍,可以让大家了解安全区域的作用,掌握安全区域之间的关系,为后面进一步学习防火墙知识打好基础。

 

1:默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查,更加灵活实用。
2:DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种部分管制的区域。防火墙引用了这一术语,指代一个与内部网络和外部网络分离的安全区域。

 

强叔提问:
如下图所示,安全区域的名称和级别都已经注明,请问A、B、C之间互访时报文流动的路线(包括方向)是什么样的呢?
强叔先给出一个例子:A访问B时的路线是Trust区域到Untrust区域的Outbound方向。