信安学习

信安学习

华为防火墙

一、防火墙概述

1.防火墙作用

• 防火墙（Firewall）是干什么的？

  • 一个封闭的网络环境，不用担心外部的威胁

  • 局域网连接互联网，黑客攻击在所难免

2.防火墙功能

• 防火墙用于隔离LAN与WAN

  • 所有进出内网的流量都要经过防火墙

• 强化安全策略

  • 防火墙使用策略（Policy）限制内网和外外网的互访

  • 可以有效防止来自外部的威胁

• 记录用户的上网行为

  • 防火墙可以记录用户的上网活动

  • 方便管理员监视局域网用户的上网行为

• 隐藏内部站点或拓扑

  • 防火墙支持NAT功能

  • 还能缓解公网IP地址不足的问题

3.防火墙与交换机、路由器对比

• 防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

• 现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in one的目标，华为也发布了一系列中低端设备。

• 路由器与交换机的本质是转发，防火墙的本质是控制。

4.防火墙和路由器实现安全控制的区别

• 背景：

  • 防火墙：产生于人们对于安全性的需求

  • 路由器：基于对网络数据包路由产生的

• 目的：

  • 防火墙：保证任何非允许的数据包“不通”

  • 路由器:保持网络和数据的“通”

• 核心技术：

  • 防火墙：基于状态包过滤的应用级信息流过滤

  • 路由器：路由器核心的ACL列表是基于简单的包过滤

• 安全策略：

  • 防火墙：默认配置即可以防止一些攻击

  • 路由器：默认配置对安全性的考虑不够周全

• 对性能的影响：

  • 防火墙：采用的是状态包过滤，规则条数，NAT的规则数对性能的影响较小

  • 路由器：进行包过滤会对路由器的CPU和内存产生很大的影响

• 防攻击能力：

  • 防火墙：具有应用层的防范功能

  • 路由器：普通路由器不具有应用层的防范功能

5.防火墙的发展历史

• 最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史。在这二十多年间，防火墙的发展过程大致可以划分为下面三个时期：

  • 1989年至1994年：

    • 1989年产生了包过滤防火墙，实现简单的访问控制，称之为第一代防火墙。

    • 随后出现了代理防火墙，在应用层代理内部网络和外部网络之间的通信，属于第二代防火墙。代理防火墙安全性较高，但处理速度慢，而且对每一种应用开发一个对应的代理服务是很难做到的，因此只能对少量的应用提供代理支持。

    • 1994年业界发布了第一台基于状态检测技术的防火墙，通过动态分析报文的状态来决定对报文采取的动作，不需要为每个应用程序都进行代理，处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。

  • 1995年至2004年：

    • 在这一时期，状态检测防火墙已经成为趋势。除了访问控制功能之外，防火墙上也开始增加一些其他功能，如VPN。

    • 同时，一些专用设备也在这一时期出现了雏形。例如，专门保护Web服务器安全的WAF（Web Application Firewall，Web应用防火墙）设备。

    • 2004年业界提出了UTM（United Threat Management，统一威胁管理）的概念，将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。

  • 2005年至今：

    • 2004年后，UTM市场得到了快速的发展，UTM产品如雨后春笋般涌现，但面临新的问题。首先是对应用层信息的检测程度受到限制，此时就需要更高级的检测手段，这使得DPI（Deep Packet Inspection，深度报文检测）技术得到广泛应用。其次是性能问题，多个功能同时运行，UTM设备的处理性能将会严重下降。

    • 2008年业界发布了下一代防火墙，解决了多个功能同时运行时性能下降的问题。同时，还可以基于用户、应用和内容来进行管控。

    • 2009年业界对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品，防火墙进入了一个新的时代。

6.防火墙的分类

• 传统防火墙

  • 具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等功能

• UTM防火墙

  • 融合传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能

  • UTM产品针对每一个功能采用一个安全引擎，只是把多种安全引擎叠加在了一起，因此在每个UTM模块（AV、IPS、URL过滤）都进行分别执行解码、状态复原等操作，导致大量的资源消耗。

• NGFW防火墙

  • 全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

7.防火墙对比

• 传统UTM产品

  • 一个功能处理完了在进行下一个功能的处理

• 下一代防火墙

  • 一体化检测，把功能融合在一起

  • 一体化检测是指对一条流量的内容进行一次检测和处理，就能实现包括反病毒、入侵防御在内的内容安全功能

8.防火墙厂商

• 进口产品

  • Cisco ASA、PIX、Firepower

  • Juniper SRX系列、Datacenter系列

• 国内产品

  • 华为USG系列

  • 天融信NGFW系列

  • H3C FW

  • 深信服系列

  • 启明星辰

• 软件防火墙

  • Netfilter/Iptables、 ISA、TMG、Squit、Windows防火墙

二、防火墙的工作原理

1.防火墙的工作模式

• 路由模式

• 透明模式

• 混合模式

2.安全区域概念

• 安全区域划分

  • Trust：用于连接内部网络

  • Untrust：用于连接外部网络，安全性最低

  • DMZ ：用于连接需对外发布的服务器区，安全性中等

  • Local：用于连接防火墙自身网络，安全性最高

3.Local区域

• 防火墙上提供了Local区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收。

• Local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于Local区域。也就是说，报文通过接口去往某个网络时，目的安全区域是该接口所在的安全区域；报文通过接口到达防火墙本身时，目的安全区域是Local区域。

4.安全区域、受信任程度与安全级别

安全区域	安全级别	说明
Local	100	设备本身，包括设备的各接口本身。
Trust	85	通常用于定义内网终端用户所在区域。
DMZ	50	通常用于定义内网服务器所在区域。
Untrust	5	通常用于定义Internet等不安全的网络。

• 受信任程度：Local > Trust > DMZ > Untrust

5.安全域间、安全策略与报文流动的方向

• 任意两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的安全策略都需要在安全域间视图下配置。

• “安全域间”是两个安全区域之间的唯一“道路”；

• “安全策略”即在“道路”上设立的 “安全关卡”。

6.防火墙出接口流量

• Inbound和Outbound

  • 入方向（inbound）

  • 出方向（outbound）

7.安全策略配置命令

[FW1]firewall zone trust //进入安全区域

[FW1-zone-trust]add int g0/0/0 //将g0接口加入该区域，会报错，因为该接口默认在这个区域

[FW1]security-policy //配置安全策略实现流量通过

[FW1-policy-security]rule name yes_telnet //配置安全策略名称，随便取名

[FW1-policy-security-rule-yes_telnet]source-zone trust //定义来源区域，为客户机所在区域

[FW1-policy-security-rule-yes_telnet]destination-zone local //定义目标区域，即防火墙本身

[FW1-policy-security-rule-yes_telnet]action permit //定义该规则的动作，是拒绝还是允许，允许！

[FW1-policy-security-rule-yes_telnet]q

[FW1-policy-security]q

8.包过滤技术

• 实现包过滤的核心技术是访问控制列表。

• 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。

9.缺省包过滤

• 如果防火墙域间没有配置安全策略，或查找安全策略时，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作（拒绝通过）。

10.状态检测和会话机制

• 客户端：

  • ①客户端发起到Web服务器的请求

  • ②防火墙检查安全策略，放行流量,并保存该会话的状态化信息

  • ③Web服务器收到数据，并响应客户端

  • ④防火墙收到Web服务器的回复，该流量因匹配连接表，所以跳过安全策略的检查

  • ⑤客户端收到服务器响应

  • 因为首个数据包成功被安全策略放行，所以返回流量可以通过状态化信息直接放行

• 黑客：

  • ①黑客尝试攻击公司内部网络

  • ②防火墙收到数据包，因无法匹配连接表，然后经过安全策略检测，丢弃流量

• 五元组：

  • 协议

  • 源地址

  • 源端口

  • 目标地址

  • 目标端口

11.安全策略

• 安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。

• 规则的本质是包过滤

• 具体看ppt（华为防火墙概述）

12.FW安全策略的处理流程

• 具体看ppt（华为防火墙概述）

13.安全策略配置流程图

14.多通道协议

• 遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。

• 具体看ppt（华为防火墙概述）

15.ASPF与Server-map表

• 设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用的正常通信。这个功能称为ASPF，所创建的会话表项叫做Server-map表。

• 具体看ppt（华为防火墙概述）

16.Server-map表

• Server-map表与会话表的关系如下：

  • Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制；

  • 会话表是通信双方连接状态的具体体现；

  • Server-map表不是当前的连接信息，而是防火墙对当前连接分析后得到的即将到来报文的预测；

  • 防火墙收到报文先检查是否命中会话表；

  • 如果没有命中则检查是否命中Server-map表；

  • 命中Server-map表的报文不受安全策略控制；

  • 防火墙最后为命中Server-map表的数据创建会话表。

华为防火墙基本配置

一、基础命令

• USG6000V防火墙认证信息

  • admin Admin@123

  • 登录后需要重置密码且最少8位字符及满足密码复杂性要求

• 管理接口配置

  • [USG6000V1-GigabitEthernet0/0/0]service-manage all permit

• 系统超时时间

  • [USG6000V1]user-interface console 0

  • [USG6000V1-ui-console0]idle-timeout 0

• 查看正在运行的配置

  • <USG6000V1>display current-configuration

• 查看已经保存的配置

  • <USG6000V1>display saved-configuration

• 清除配置文件

  • <USG6000V1>reset saved-configuration

• 保存配置文件

  • <USG6000V1>save all

二、设备管理

• 设备认证

  • AAA(Authentication Authorization Accounting)

  • Passwd

  • AAA优先于passwd

• 管理方式

  • Console

  • Telnet

  • Web

  • SSH

• Telnet管理方式及配置

  • 登陆Console控制台

  • 配置防火墙的接口

  • 打开防火墙的Telnet功能

  • 配置防火墙允许远程管理

  • 接口加入安全区域

  • 配置安全策略

  • 配置认证方式及用户

  • 客户端测试

• Web管理方式及配置

  • 网页页面进入

• SSH管理方式及配置

三、安全策略配置

• 见ppt和文档