03章防火墙技术.docx

1、03章防火墙技术第3章 防火墙技术本章主要介绍防火墙的发展背景及技术演进，包括为什么需要防火墙，什么是防火墙及发展历程，重点是防火墙应具备的重要功能，包括包过滤技术、黑名单、ARP防攻击、NAT、ALG、ASPF、安全域策略、攻击防范、负载均衡、Web过滤、双机热备等。最后阐述防火墙的三种工作模式，即透明模式、路由模式和混合模式。1 防火墙的发展背景及技术演进1.1 什么是防火墙 防火墙(FireWall)：为了保护网络应用的安全，阻止计算机之间直接通信的技术。具体是指一种放置于本地网络和外部网络之间的防御系统，实现对本地网络的保护功能。1.2 为什么需要防火墙主要是由于网络安全危胁的出现 未

2、授权资源访问：对非法用户的非法使用资源行为。 ARP攻击：是指恶意的网络用户通过伪造其它用户的ARP报文，使被攻击的用户不能正常进行网络通讯，或通过伪造网关的ARP应答(在ARP应答报文中把网关的IP对应的MAC地址设置成自己的MAC地址)，使网络中的所有用户都将数据发送到恶意用户的主机上。 拒绝服务攻击：使服务器拒绝合法用户正常访问信息或资源的请求。 各种协议漏洞攻击： 非法资源访问：防止内网用户非法访问一些不合法的网站，网络管理员用灵活的信息流控制手段(如：URL网站过滤、内容过滤等)进行控制访问。1.3 防火墙技术演进(防火墙技术的分类) (1)第一代防火墙包过滤防火墙：是最基本的包过滤

3、防火墙，只能工作在网络层和传输层。根据OSI模型中的网络层参数(IP地址)和传输层参数(端口号)来检查数据包，根据预先定义的报文规则进行报文过滤。优点：设置简单，易理解与维护。缺点：不能判断和识别高层协议中的数据危害。应用设备：包过滤防火墙可应用设置在路由器、三层交换机和防火墙等三层以上设备。(2)应用代理防火墙：也称为应用层网关防火墙或基于代理服务器的防火墙。他的所有访问都在应用层中控制，因此可实现更高级的数据检测过程。当外网数据进入代理防火墙时，防火墙的“应用协议分析”模块便根据应用层协议处理该数据，通过预置的处理规则查询数据是否带有危害。同时也可以监控内部网络信息，进一步防止内部网络信息

4、的泄露。优点：过滤技术较为完善。缺点：以牺牲速度为代价换取比包过滤更安全的性能。很难适用高强度数据流量的网络。(3)状态检测防火墙：工作方式类似于包过滤防火墙，只是采用了更为复杂的访问控制算法。状态检测技术相当结合了包过滤技术和应用代理技术，因此是最先进的防火墙技术。状态检测可以对数据包的内容进行分析，摆脱了传统防火墙仅局限于几个包头部信息的检测弱点。优点：技术先进。缺点：实现技术复杂，实际应用或硬件实现难度大。2 防火墙应具备的重要功能 功能主要有：安全域、安全域策略、包过滤技术、黑名单、ASPF、NAT、ALG、ARP防攻击、常见攻击防范技术、web过滤、P2P流量监管、双机热备等。3 防

5、火墙工作模式防火墙根据其工作层次和有无IP地址等因素的设置可分三种工作模式：路由模式、透明模式和混合模式。3.1 路由模式防火墙除了在实现安全检测和防御功能的基础上，也需要实现将一个数据包从一个网络转发到另一个网络的功能即路由功能。防火墙与路由器一样维护着一张由静态配置或由路由协议产生的路由表防火墙工作在路由模式的特点：防火墙作为三层设备对外连接，接口有IP地址，此时防火墙工作在路由模式。在路由模式下，防火墙可以使用的功能有：包过滤、网络地址转换NAT、应用层网关ALG、状态过滤ASPF、攻击防范等功能。但需要在防火墙上配置路由信息，防火墙连接的内部网络用户需要更改网关等。3.2 透明模式透明

6、：是指对用户而言，防火墙的接入是透明的，网络和用户都不需要做任何的设置和改动，也根本意识不到防火墙的存在。 防火墙工作在透明模式的特点：防火墙做为二层交换设备对外连接，无需配置IP地址或修改路由。在透明模式下，防火墙获取MAC地址和端口的对应关系后，依据MAC地址表进行转发，当报文在二层接口进行转发前，将收到的报文送到上层进行相应过滤等处理(但是IP报文中的源或目的地址不会改变)，通过检查会话表或ACL规则以确定是否允许该报文通过。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查等功能。3.3 混合模式一台防火墙可以同时工作在路由模式和透明模式。即防火墙上同时存在有IP地址的接

7、口和无IP地址的接口。例在下面组网模式中：(1)Trust区域与另外两个Untrust区域和DMZ区域属于不同网段，它们之间通过路由模式通信，实现IP报文的路由转发和安全状态检查。(2)连接DMZ区域和Untrust区域的防火域接口属于同一个网段，两个区域之间通过透明模式通信，实现同一网段内的包转发和安全状态检查。4 安全域策略传统的防火墙的策略配置是基于报文出/入接口进行的。对于多物理端口的防火墙使用基于端口方式的配置会成倍增加工作量。相反先根据接口的安全程序需求进行分类，形成不同安全程度(即安全域Security Zone)的域后，围绕安全域进行配置。(安全域的操作只能在Web下进行)安全

8、域：将安全需求相同的接口或IP地址进行分类划分形成不同的域，从而实现策略的分层管理。4.1 安全域的划分及创建 (一)安全域的划分方式(1)按接口划分：安全域可以包含三层普通物理接口和逻辑接口，也可以包括二层物理Trunk接口+VLAN。划分到同一个安全域中的接口通常在安全策略控制中具有一致的安全需求。(2)按照IP地址划分：根据IP地址划分不同的安全域，以实现按业务报文的源IP地址或目的IP地址进行安全策略控制。(二)默认安全域(Security Zone)种类(1)Management：管理域，将对设备的Web管理端口置于此域。常为G0/0(2)Trust：内网域，也称为信任域。通常将内部

9、网络设备置于该区域。(3)Untrust：外网域，也称为非信任域。通常将连接公网的接口加入该区域。(4)DMZ：(非军事区)是指一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常将需要被公共访问的如WWW服务器等设备放置于DMZ域中。(三)创建安全域：在Web导航栏中选择“设备管理-安全域-新建”(1)安全域ID：在同一个虚拟设备中必须唯一(1-256之间)。(2)安全域名：安全域名称(1-20字符)。(3)优先级：(取值1-100)设置安全域的优先级。缺省情况下，允许从高(100)优先级安全域到低(1)优先级安全域方向的报文通过。(4)共享：指定安全域是否可以被其他虚拟设备引用。(5)

10、虚拟设备：指定安全域所属的虚拟设备。4.2 安全域基本配置实验操作(P498)实验组网图如下：PC1网口与UTMG0/0相连，通过Web登陆UTM设备在PC1在使用IE浏览器(URL为：http:/192.168.0.1)，初次使用默认用户名与密码均为admin，验证码不区分大小写。如图：步骤一：接口加入安全域在左侧导航栏中点击“设备管理接口管理”点击G0/1栏中的编辑图标，进入“接口编辑”界面，设置接口G0/1后，点击“确定”按钮后返回到“接口管理”界面。 点击左侧导航栏“设备管理-安全域”，进入下图点击上图中的Trust栏中的编辑安全域图标后，将G0/1端口前打勾，如下图所示，点击“确定”

11、后返回“安全域”界面，完成了将G0/1端口加入Trust域的操作。步骤二：配置管理(1)将当前配置保存操作：“设备管理-配置管理-配置保存-确定”(2)“配置备份”、“配置恢复”、“恢复出厂配置”均在此界面操作4.3 安全域策略规则安全域策略是在源安全域和目的安全域之间维护的ACL集合，该ACL集合中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。与包过滤防火墙一样，域间策略根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性(如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码)等信息制定匹配

12、规则。每条规则还可以引用一个时间段，来指定这条规则在该时间段定义的时间范围内有效。5 包过滤(详参见路由交换“第38章用访问控制列表ACL实现包过滤”)5.1 什么是包过滤包过滤：是指利用ACL技术，对需要转发数据包的源地址、目的地址、源端口、目的端口等信息设定允许或拒绝通过策略来实现数据包的过滤。包过滤只能对包头信息进行判断，因此在二层到四层之间工作。使用包过滤的防火墙称为包过滤防火墙。5.2 ACL分类根据ACL序号来区分不同的ACL可分为五种类型：常用的类型如下表：ACL类型ACL序号范围区分报文的依据基本ACL2000-2999只根据报文的源IP地址信息制定匹配规则高级ACL3000-

13、3999根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则二层ACL4000-4999根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。5.3 ACL命名 每个ACL只能有一个唯一的名称，用户在创建ACL时，用户可以选择是否配置名称。ACL创建后，不允许用户修改或者删除ACL名称，也不允许为未命名的ACL添加名称。5.4 ACL步长ACL步长是指自动为ACL的rule规则分配编号时，相邻编号间的差值。默认值为5，例：rule规则编号为0、5、10、15。当撤消自定义步长后，设备将自动恢复默认值5。5

14、.5 ACL匹配顺序在一个ACL访问控制中，可能有多rule规则，而规则中对一个报文的匹配项可能出现重复或交差矛盾的地方，此时就应该规定其具体有匹配规则，IPv4 ACL支持两种匹配顺序：(1)按用户配置规则的先后顺序匹配(config)：是H3C设备默认匹配顺序。(2)按自动排序(auto)：即按照“深度优先”(通配符掩码范围小优先)。在ACL的规则中，使用通配符掩码(与子网掩码相反)来划分IP地址的范围，子网掩码先“1”后“0”，通配符掩码是先“0”后“1”。通配符掩码每组值的计算方法=255 每组子网掩码值。例：某子网掩码为255.255.224.0，则通配符掩码为：0.0.31.255

15、不同类别的ACL在“深度优先”顺序判断原则上是不同的，具体如下：5.5.1 基本ACL的“深度优先”顺序判断原则(1)首先看规则中是否带有VPN实例，带VPN实例的规则优先；(2)其次比较源IP地址范围，范围小(通配掩码中0的位数多)的规则优先。(3)若源IP地址范围相同，则先配置的规则优先。5.5.2 高级ACL的“深度优先”顺序判断原则(1)首先看规则中是否带有VPN实例，带VPN实例的规则优先；(2)其次比较协议范围，指定IP协议承载的协议类型的规则优先；(3)若协议范围相同，则比较源IP地址范围，范围小(通配掩码中0的位数多)的规则优先；(4)若协议范围和源IP地址范围都相同，则比较目

16、的IP地址范围，范围小(通配掩码中0的位数多)的规则优先；(5)若协议范围、源IP地址范围和目的IP地址范围都相同，则比较四层端口号(TCP/UDP端口号)范围，端口号范围小的优先。(6)当上述均相同时，则先配置的规则优先。5.5.3 二层ACL的“深度优先”顺序判断原则(1)先比较源MAC地址范围，范围小(掩码中1的位数多)的规则优先。(2)若源MAC地址范围相同，则比较目的MAC地址范围，范围小的规则优先。(3)若源MAC地址和目的MAC地址相同，则先配置的规则优先。5.6 基本ACL基本IPv4 ACL的序号取值范围为：2000-2999，只能根据源IP地址信息制定匹配规则并对报文做出相

17、应分析处理规则。上例中只允许办公楼和宿舍楼可以访问internet，实验楼则不允许访问5.6.1 新建ACL在导航栏中选择“防火墙-ACL-新建”出现下图5.6.2 配置基本ACL规则在导航栏中选择“防火墙-ACL”出现如下图所示的ACL访问控制列表ID在上图选择“基本访问控制列表ACL2001”行后，单击本行末的图标，进入规则配置页面后，单击“新建”按钮后出现下列界面：5.7 高级ACL高级IPv4 ACL的序号取值范围为：3000-3999，可根据源IP地址、目的IP地址信息、IP承载的协议类型、协议的特性(如：TCP或UDP的源端口、目的端口、TCP标记、ICMP协议的消息类型、消息码等

18、)等信息来制定匹配规则并对报文做出相应分析处理规则。上例中只允许财务部门访问工资查询服务器，其它部门不允许。5.7.1 配置高级ACL规则在导航栏中选择“防火墙-ACL”出现如下图所示的ACL访问控制列表，选择“高级访问控制列表ACL3001”行后，单击本行末的图标，进入规则配置页面后，单击“新建”按钮后出现下列界面：5.8 二级ACL 二层ACL序号范围4000-4999，可根据源MAC、目的MAC地址、802.1p优先级、二层协议类型等信息制定匹配规则，对报文进行相应分析处理。上例中只允许网络实验室主管登录防火墙设备进行管理，其它职员不允许访问。5.8.1 配置二级ACL规则在导航栏中选择

19、“防火墙-ACL”出现如下图所示的ACL访问控制列表，选择“二层访问控制列表ACL4021”行后，单击本行末的图标，进入规则配置页面后，单击“新建”按钮后出现下列界面：5.9 基于时间段的包过滤时间段用于描述一个特殊的时间范围，主要是针对需要按时间段过滤。方法是先配置一个时间段，然后在相应的规则下通过时间段名称引用该时间段，从而实现基于时间段的ACL过滤。配置时间段的形式：(1)周期时间段：采用每周的周几的形式。如：每周一的8:30到18:00；(2)绝对时间段：采用从起始时间到结束时间的形式。如：从2009年1月1日0点0分到2009年12月31日24点0分。5.10 ACL典型配置举例组网

20、需求：如下图，要求正确配置ACL，禁止研发部门在上班时间(8:00至18:00)访问工资查询服务器(IP地址为10.1.1.1/24)。配置步骤：(一)配置上班时间段：定义8:00至18:00的周期时间段：方法：在导航栏中选择“资源管理-时间段-新建”后出现“创建时间段”窗口，然后输入名称为：worktime；选中“周期时间段”前复选框；设置“开始时间”为：8:0；“结束时间”为：18:0；选中周一到周五前的复选框；单击“确定”后完成操作，如下图所示：返回后显示为：(二)配置到工资服务器的ACL。#先创建高级ACL：在导航栏中选择“防火墙-ACL-新建”后输入ID=3000#配置其它部门到工资

21、服务器的访问规则。选中ACL3000后单击编辑修改图标，点击“新建”配置访问规则：选中“规则ID”复选框，输入规则ID为：0；选择“操作”为：禁止；选择“时间段”为：worktime；选择“目的IP地址”前的复选框，输入目的IP地址为：“10.1.1.1”； “目的地址的通配符”为：“0.0.0.0”；单击“确定”后完成操作。结果如下图所示：6 黑名单6.1 什么黑名单同ACL包过滤功能相同，是根据报文的源IP地址进行过滤的一种方式，行为规则是拒绝(deny)。特点：可以有效地屏蔽特定IP地址发送来的报文。6.2 黑名单表项的生成(1)由网络管理员手工添加(静态)(2)由防火墙动态添加。若使用

22、“扫描攻击防范”等功能配合，先根据报文的行为特征找出有攻击企图(如：地址扫描、端口扫描、试图以暴力猜测方式登录防火墙设备等)之后，便主动将攻击者的IP地址加入黑名单中，之后，该IP地址发送的所有报文都将被过滤掉。可有效加强网络的安全。6.3 黑名单表项的老化黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项：建立后一直存在，直至手工删除。非永久黑名单表项：指定生存时间，若超出生存时间，防火墙会自动将黑名单表项删除，黑名单表项对应的IP地址发送的报文即可正常通过。6.4 启用黑名单过滤功能在导航栏中选择“攻击防范-黑名单”后，在“全局配置”窗口中，选中“启用黑名单过滤功能”前的复选框

23、，单击“确定”，可启用黑名单过滤功能。6.5 手动新建黑名单表项在导航栏中选择“攻击防范-黑名单”后，在“黑名单配置”窗口中，单击“新建”，出现下图后，即可手工添加黑名单表项。7 网络地址转换(NAT)7.1 为什么需要NAT (1)IPv4地址的枯竭，大量使用私网地址，因为网络流量内网占80%，外网仅占20%，私网地址访问外网，必须使用NAT地址转换。(2)NAT技术可以隐藏私网内部网络结构，防止外部攻击源对内部服务器的攻击行为。私网IP地址段：A类：10.X.X.XB类：172.16-31.X.XC类：192.168.X.X7.2 基本NATBasic NAT是最简单的一种地址转换方式，它

24、只对数据包的IP层参数进行转换。只能实现私网地址与公网地址一对一转换。(通常只转换IP地址，对TCP/UDP协议的端口号不处理，一个公网IP地址不能同时被多个用户使用。没有NAPT普及)处理过程如下：(1)防火墙设备接收到私网侧主机访问公网侧服务器的报文。(2)防火墙设备从NAT地址池中选取一个空闲的公网IP地址，建立与私网侧报文源IP地址间的NAT转换表项(Inbound和Outbound两个方向)，并根据查找Outbound方向NAT表项的结果将报文转换后，向公网发送。(3)防火墙设备接收到公网侧的应答报文后，根据其目的IP地址查找Inbound方向NAT表项，并依据查询结果将报文转换后私

25、网侧发送。说明：基本NAT方式是一对一转换方式，未实现公网地址的复用，不能有效解决IPv4地址短缺问题，因此，在实际应用中并不常用。7.3 NAPT方式NAPT与Basic NAT相似，能实现私网地址与公网地址动态转换(非一对一，允许多对一的IP地址转换)，它通过使用“IP地址 + 端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网，因此是地址转换实现的主要形式。地址池中的IP地址可以是一个或多个。NAPT方式处理过程如下：(1)防火墙收到私网侧主机发送的访问公网侧服务器的报文。(2)防火墙从地址池中选取一对空闲的“公网IP地址 + 端口号”，建立与私网侧报文“源IP地址 +

26、 源端口号”间的NAPT转换表项(正反向)，并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。(3)防火墙接收到公网侧的回应电文后，根据其“目的IP地址 + 目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。7.4 NAT Server方式Basic NAT、NAPT和Easy IP三种的地址转换，只适用于私网对公网的访问，无法实现公网对私网。当私网中有服务器时，外网(公网)需要访问内网(私网)时，只能使用NAT Server的地址转换方式。NAT Server方式需要指定协议类型、公网IP和端口、私网IP和端口配置在网络出接口上。建立“公网地址IP + 端口号

27、”与“私网IP地址 + 端口号”间的映射关系。NAT Server方式的处理过程如下：(1)在防火墙上手工配置静态NAT转换表项(正反向)。进入通向公网出接口的视图，配置NAT Server 命令：nat server protocol 协议类型 global 公网IP地址 端口号 inside 内网服务器主机IP地址端口号例：当外网主机访问内网www服务器时，NAT Server配置方法为：nat server protocol tcp global 198.76.28.11 www inside 10.0.0.1 www(2)防火墙接收到公网侧主机发送的访问私网侧服务器的报文。(3)防火墙

28、根据公网侧报文的“目的IP地址+目的端口号”查找反向静态NAT表项，并依据查表结果将报文转换后向私网侧发送。(4)防火墙收到私网侧的回应报文后，根据其“源IP地址+源端口号”查找正向静态NAT表项，并依据查表结果将报文转换后向公网侧发送。7.5 IP Easy方式 Easy IP方式是指直接使用接口的公网IP地址(动态地址)作为转换后的源地址进行地址转换，它可以动态获取出接口地址，从而有效支持出接口通过拨号或DHCP方式获取公网IP地址的应用场景。同时，Easy IP方式也可以利用访问控制列表ACL来控制哪些内部地址可以进行地址转换。适用于内部主机少使用临时性公网IP地址的中小型局域网访问in

29、ternet的情况。Easy IP方式的处理过程如下：(1)防火墙收到私网侧主机发送的访问公网侧服务器的报文。(2)防火墙利用公网侧接口的“公网IP地址+端口号”，建立与私网侧报文“源IP地址+源端口号”间的Easy IP转换表项(正反向)，并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。(3)防火墙收到公网侧的回应报文后，根据其“目的IP地址+目的端口号”查找反向Easy IP表项，并依据查表结果将报文转换后向私网侧发送。7.6.1 地址转换典型配置举例如图所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公司IP地址，内部网址为：10.110.0.0

30、/16，通过配置NAT使得仅内部网络中10.110.10.0/24网段的用户可以访问internet。配置步骤：(1)：配置ACL2001，仅允许内部网络中10.110.10.0/24网段的用户可以访问internet： 在导航栏中选择“防火墙-ACL”，单击“新建”按钮,建立ACL2001： 修改ACL2001，建立允许(permit)禁止(deny)匹配规则，如图所示：(2)：配置NAT地址池0，包括两个公网地址202.38.1.2和202.38.1.3 方法：在导航栏中选择“防火墙-NAT-动态地址转换”，在“地址池”中单击按钮，结果如图所示：(3)：配置动态地址转换 方法：在导航栏中选

31、择“防火墙-NAT-动态地址转换”，在“地址转换关联”中单击按钮，出接口为：G0/2；地址转换方式为：PAT(转换端口号)。结果如图所示：点击确定后完成了全部配置操作。命令代码配置方式：#首先定义ACL2001及应用在G0/2出口的规则，实现报文匹配 acl number 2001 rule 0 permit ip source 10.110.10.0 0.0.0.255 rule 5 deny any quit #配置NAT地址池0，地址池中放入两个地址202.38.1.2、202.38.1.3 nat address-group 0 202.38.1.2 202.38.1.3 #进入接口模式视图，将地址池0与acl2001关联，并在出接口方向上应用NAT interface G0/2 nat outbound