华为防火墙技术概述
[TOC]
防火墙概述
防火墙是一种安全设备。用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域
防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU Line Processing Unit、交换网板等外,防火墙还特有SPU Service Processing Unit,用于实现防火墙的安全功能
数据中心网络一般采用Spine-Leaf架构。Spine为骨干节点负责流量高速转发,Leaf为叶子节点负责服务器、防火墙或其他设备接入。Spine-Leaf之间全三层互联
防火墙介绍:
- 防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:
- 访问控制越来越精细
- 防护能力越来越强
- 性能越来越高
包过滤防火墙
包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包
包过滤防火墙的基本原理是:通过配置访问控制列表(Access Control List,ACL)实施数据包的过滤
包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息
包过滤防火墙的设计简单,非常易于实现,而且价格便宜
包过滤防火墙的缺点主要表现以下几点:
- 随着ACL复杂度和长度的增加,其过滤性能呈指数下降
- 静态的ACL规则难以适应动态的安全要求
- 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
状态检测防火墙
- 状态检测考虑报文前后的关联性,检测的是连接状态而非单个报文,状态检测防火墙就是支持状态检测功能的防火墙
NGFW也是状态检测防火墙的一种。NGFW在内容安全和处理性能有极大的提升,此处存疑,下一代防火墙的定义随时代发展定义也在变化,望读者读到自行判断
AI防火墙
AI防火墙是结合AI技术的新一代防火墙它通过结合AI算法或AI芯片等多种方式,进一步提高了防火墙的安全防护能力和性能
此处也是存有一些需要自行考证,NGFW这个定义在我本科阶段大创中以经开始尝试实现结合人工智能和状态检查技术和大数据的网络态势感知系统,AI 防火墙或许以及无法担起NGFW(下一代防火墙)的称呼,以经从学科前沿,转为可以方便接触的内容
华为AI防火墙,内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针,支持与沙箱和华为大数据分析平台CIS联动检测,打造智能防御体系
防火墙的基本概念
安全区域 Security Zone,简称为区域 Zone,是防火墙的重要概念。防火墙大部分安全策略都基于安全区域实施
一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性
默认安全区域
华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域
安全区域有以下特性:
- 默认的安全区域不能删除,也不允许修改安全优先级
- 每个Zone都必须设置一个安全优先级Priority,值越大,则Zone的安全优先级越高
- 用户可根据自己的需求创建自定义的Zone
| 区域名称 | 默认安全优先级 |
|---|---|
| 非受信区域 | 低安全级别区域,优先级为5 |
| 非军事化区 | 中等安全级别区域,优先级为50 |
| 受信区域 | 较高安全级别区域,优先级为85 |
| 本地区域 | Local区域定义的是设备本身,Local区域是最高安全级别区域,优先级为100 |
防火墙默认安全区域均为小写字母,且大小写敏感,包括:
- 非受信区域(untrust):通常用于定义Internet等不安全的网络
- 非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中
- DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域
- DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全
- 受信区域(trust):通常用于定义内网终端用户所在区域
- 本地区域(local):local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口
由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略
防火墙基本概念:安全策略
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作
五元组 即IP协议五元组 分别是 源端口 目的端口 源IP 目的IP 及协议字段组成,用于标识一个会话
安全策略执行过程:
- 安全策略的组成有匹配条件、动作和安全配置文件,安全配置文件实现内容安全
- 安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文
动作说明:
允许:如果动作为允许,则对流量进行如下处理:
- 如果没有配置内容安全检测,则允许流量通过
- 如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的
- 如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量
- 如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发
禁止:表示拒绝符合条件的流量通过
- 如果动作为“禁止”,防火墙可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断
- Reset客户端:防火墙向TCP客户端发送TCP reset报文
- Reset服务器:防火墙向TCP服务器发送TCP reset报文
- ICMP不可达:FW向报文客户端发送ICMP不可达报文
- 如果动作为“禁止”,防火墙可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断
当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配
安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略
防火墙基本概念:会话表
- 会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据
防火墙采用了基于状态的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制
这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施
会话表的创建和包处理过程
- 防火墙状态检测开启情况下,流量的首包会创建会话表项,后续包即可直接匹配会话表项。
会话表的老化时间与长连接
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。
对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长
- 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文
- 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间
如果会话表项被删除,则上述业务会中断,长连接 Long Link机制可以给部分连接设定超长的老化时间,解决解决因会话不爱老化导致的链接中断问题。
多通道协议在防火墙上的问题
如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作
通信过程中需占用两个或两个以上端口的协议被称为多通道协议,多通道协议需要考虑双向安全策略问题
- 单通道协议:通信过程中只需占用一个端口的协议
- 多通道协议:通信过程中需占用两个或两个以上端口的协议
- 多通道协议存在时,防火墙配置较为宽泛的安全策略也可以解决协议不可用问题,但是存在安全隐患
ASPF与Server-map
为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口,需要开启ASPF(针对应用层的包过滤)功能
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表
Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。
开启ASPF解决多通道协议问题,是生成Server-map表的一种方式
- Server-map表与会话表的关系如下:
- Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
- 会话表是通信双方连接状态的具体体现;
- Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;
- 防火墙收到报文先检查是否命中会话表;
- 如果没有命中则检查是否命中Server-map表;
- 命中Server-map表的报文不受安全策略控制;
- 防火墙最后为命中Server-map表的数据创建会话表。
Server-map表与简化的包转发过程:
当防火墙接收到一个报文且没有命中会话表时,防火墙进入首包处理流程,查询是否有命中的Server-map表。如果有,则会生成会话表转发报文;如果没有,则执行其他包处理过程
防火墙的基础配置
防火墙基础配置命令
防火墙基础配置 - 接口
1 创建接口/进入接口视图
[R1] interface interface-type interface-number和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图
2 配置接口允许通过的协议
[R1-G0/0/1] service-manage {http|https|ping|ssh|snmp|netconf|telnet|all } {permit|deny}service-manage命令用来允许或拒绝管理员通过HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备
缺省情况下,接口开启了访问控制管理功能。仅有管理接口下 HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙
防火墙基础配置 - 安全区域
1 创建安全区域
[R1] firewall zone name zone-name [ id id ] firewall zone name命令创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增
firewall zone命令用来并进入安全区域视图。防火墙默认的四个区域无需创建也不能删除
2 设置安全区域优先级
[R1-zone-name] set priority security-priority优先级取值范围为1~100,全局唯一,值越大优先级越高。系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除
3 添加接口到安全区域
[R1-zone-name] add interface interface-type {interface-number|interface-number.subinterface-number}安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。该接口既可以是物理接口,也可以是逻辑接口
防火墙基础配置 - 安全策略
1 进入安全策略视图
[R1] security-policy- 安全策略规则的创建、复制、移动和重命名都在此视图下完成。
2 创建规则
[R1-policy-security] rule name rule-name- rule name命令用来创建安全策略规则,并进入安全策略规则视图。
3 配置安全策略规则的源安全区域
[R1-policy-security-rule-name] source-zone { zone-name &<1-6> | any }- 命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域
4 配置安全策略规则的目的安全区域
[R1-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }5 配置安全策略规则的源IP地址
[R1-policy-security-rule-name] source-address ipv4-address {ipv4-mask-length|mask mask-address} - 命令中mask-address使用反掩码
6 配置安全策略规则的目的IP地址
[R1-policy-security-rule-name] destination-address ipv4-address {ipv4-mask-length|mask mask-address} - 命令中mask-address使用反掩码
7 配置服务
[Huawei] service { service-name &<1-6> | any }- service命令用来配置服务,如service protocol用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议
8 配置安全策略规则的动作
[Huawei] action { permit | deny }- 防火墙默认的动作为deny
防火墙安全策略配置实验
R1属于DMZ(Demilitarized Zone,非军事化)区域、R2属于Untrust区域,在FW1上配置源NAT使得R1以FW1的GE0/0/2接口地址访问Untrust区域,同时配置NAT Server,使得R2可以通过FW1的GE0/0/2接口地址访问R1上开启的FTP服务。
在FW1上配置安全策略,限制R1、R2之间的访问:DMZ区域的R1对Untrust区域的访问不受任何限制,但是Untrust区域只能主动访问DMZ区域中R1上的FTP服务。
实验背景
为了保护企业网络安全,需要在企业网络边界部署一台防火墙,限制外部网络对企业内部网络的主动访问,同时作为出口设备,需要在防火墙上部署源NAT[用于内部用户访问Internet]、NAT Server[将内网服务器映射到公网]
企业内部对外提供访问的服务为FTP服务,FTP协议为多通道协议,对于多通道协议,除了部署安全策略之外,还需要借助NAT ALG才能实现经过防火墙NAT之后依旧能够正常通信。
任务步骤
步骤 1 基础连通性配置
- 完成互联接口IP地址配置、交换机VLAN划分配置,在R1、FW1上配置默认路由。
交换机基础配置
[S1]vlan 10
[S1-vlan10] description DMZ
[S1-vlan10] quit
[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1] port link-type access
[S1-GigabitEthernet0/0/1] port default vlan 10
[S1-GigabitEthernet0/0/1] quit
[S1]interface GigabitEthernet0/0/14
[S1-GigabitEthernet0/0/14] port link-type access
[S1-GigabitEthernet0/0/14] port default vlan 10
[S1-GigabitEthernet0/0/14] quit
[S1]vlan 20
[S1-vlan20] description Untrust
[S1-vlan20] quit
[S1]interface GigabitEthernet0/0/2
[S1-GigabitEthernet0/0/2] port link-type access
[S1-GigabitEthernet0/0/2] port default vlan 20
[S1-GigabitEthernet0/0/2] quit
[S1]interface GigabitEthernet0/0/15
[S1-GigabitEthernet0/0/15] port link-type access
[S1-GigabitEthernet0/0/15] port default vlan 20
[S1-GigabitEthernet0/0/15] quitR1 配置
[R1]interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3] ip address 10.0.11.11 24
[R1-GigabitEthernet0/0/3] quit
[R1]ip route-static 0.0.0.0 0.0.0.0 10.0.11.1- 配置用于访问Internet的默认路由。
R2 配置
[R2]interface GigabitEthernet0/0/4
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 255.255.255.0
[R2-GigabitEthernet0/0/3] quitFW1登录配置
Login authentication
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: Y
Please enter old password:
Please enter new password:
Please confirm new password:
防火墙的Console接口默认存在认证配置,默认账号密码为:admin/Admin@123登录之后需要修改密码才可以正常登录配置FW1接口IP、默认路由
[FW1]interface GigabitEthernet0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.0.11.1 255.255.255.0
[FW1-GigabitEthernet0/0/1] quit
[FW1]interface GigabitEthernet0/0/2
[FW1-GigabitEthernet0/0/2] ip address 10.0.12.1 255.255.255.0
[FW1-GigabitEthernet0/0/2] quit
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2配置FW1接口允许通过ping报文
[FW1]interface GigabitEthernet0/0/1
[FW1-GigabitEthernet0/0/1] service-manage ping permit
[FW1-GigabitEthernet0/0/1] quit
[FW1]interface GigabitEthernet0/0/2
[FW1-GigabitEthernet0/0/2] service-manage ping permit
[FW1-GigabitEthernet0/0/2] quit防火墙的接口缺省开启service-manage,service-manage在接口层面进行安全把控,它决定用户是否能通过该接口管理/访问防火墙(例如通过ping、ssh、telnet、snmp等方式)。GE0/0/0接口是设备的网管接口,该接口缺省便配置了service-manage ping permit、service-manage ssh permit等命令,因此用户能够通过该接口管理防火墙。但是对于其他接口,缺省时防火墙禁止用户从该接口管理/访问自己,除非显式地配置service-manage命令。例如,如果希望允许用户Ping GE1/0/1接口,则需在GE1/0/1接口上配置service-manage ping permit命令,同理如果希望允许用户SSH GE1/0/1接口,则需配置service-manage ssh permit
步骤 2 配置Local域到其他区域的安全策略规则
将接口加入到安全域,同时创建一个安全策略规则local_to:
源、目IP不做任何限制
目的安全域不限制
服务不做任何限制
源安全域为Local
动作为允许
将接口加入到安全域中
[FW1]firewall zone dmz
[FW1-zone-dmz] description DMZ
[FW1-zone-dmz] add interface GigabitEthernet0/0/1
[FW1-zone-dmz] quit
[FW1]firewall zone untrust
[FW1-zone-untrust] description Untrust
[FW1-zone-untrust] add interface GigabitEthernet0/0/2
[FW1-zone-untrust] quit创建安全策略规则local_to
[FW1]security-policy
[FW1-policy-security] rule name local_to
[FW1-policy-security-rule-local_to] source-zone local
[FW1-policy-security-rule-local_to] action perit- 未配置源、目IP,目的安全域,服务,默认情况下这些参数为any。
测试FW1与R1、R2接口IP地址的连通性
<FW1>ping -c 1 10.0.11.11步骤 3 配置源NAT、NAT Server
- 配置NAPT用于私网用户(R1)访问Internet,配置NAT Server将R1的FTP服务映射到公网。
配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用
[FW1]nat address-group 1
[FW1-address-group-1] mode pat
[FW1-address-group-1] section 0 10.0.12.1 10.0.12.1
[FW1-address-group-1] quit配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换
[FW1]nat-policy
[FW1-policy-nat] rule name 1
[FW1-policy-nat-rule-1] source-zone dmz
[FW1-policy-nat-rule-1] destination-zone untrust
[FW1-policy-nat-rule-1] source-address 10.0.11.0 24
[FW1-policy-nat-rule-1] action source-nat address-group 1
[FW1-policy-nat-rule-1] quit配置NAT Server功能,创建静态映射,映射R1的FTP服务
[FW1]nat server policy_ftp protocol tcp global 10.0.12.1 ftp inside 10.0.11.11 ftp开启FTP协议的NAT ALG功能
[FW1]firewall zone dmz
[FW1-zone-dmz] detect ftp
[FW1-zone-dmz] quit
[FW1]firewall interzone dmz untrust
[FW1-interzone-dmz-untrust] detect ftp
[FW1-interzone-dmz-untrust] quit步骤 4 配置DMZ、Untrust区域之间的安全策略规则
配置安全策略DMZtoUntrust,源地址限制为10.0.11.0/24,动作为允许;配置安全策略Untrust_DMZ,只允许R2访问R1提供的FTP服务。
- 防火墙安全策略实验 需要使用USG6000V防火墙 USG5500没有security-policy及之后的一些指令
- 同时ENSP软件,并不自带USG6000V防火墙的.vdi文件需要自行下载安装
- 防火墙的Console接口默认存在认证配置,默认账号密码为:admin/Admin@123,登录之后需要修改密码才可以正常登录
创建安全策略规则DMZtoUntrust
[FW1]security-policy
[FW1-policy-security] rule name DMZtoUntrust
[FW1-policy-security-rule-DMZtoUntrust] source-zone dmz
[FW1-policy-security-rule-DMZtoUntrust] destination-zone untrust
[FW1-policy-security-rule-DMZtoUntrust] source-address 10.0.11.0 24
[FW1-policy-security-rule-DMZtoUntrust] action permit创建安全策略规则Untrust_DMZ
[FW1]security-policy
[FW1-policy-security-rule] rule name Untrust_DMZ
[FW1-policy-security-rule-Untrust_DMZ] source-zone untrust
[FW1-policy-security-rule-Untrust_DMZ] destination-zone dmz
[FW1-policy-security-rule-Untrust_DMZ] destination-address 10.0.11.11 24
[FW1-policy-security-rule-Untrust_DMZ] service ftp
[FW1-policy-security-rule-Untrust_DMZ] action permit注意目的IP地址为映射的内部地址,安全策略对报文的处理在NAT Server修改报文的目的IP地址之后。
步骤 5 查看FW1会话
在R1上ping R2,查看FW1会话的详细信息。
测试R1访问R2
<R1>ping -c 100 10.0.12.2R1能够经过FW1正常访问R2,此时在FW1上查看相关会话的详细信息。
查看FW1会话
<FW1>display firewall session table verbose destination global 10.0.12.2查看目的global IP为10.0.12.2的会话详细信息,在输出信息中可以看到该会话的安全域方向:从dmz到untrust,该会话的老化时间(TTL)为20s,接收到报文的接口为GigabitEthernet0/0/1,发送报文的接口为GigabitEthernet0/0/2,一共存在100个匹配中该会话的报文,一共8400Byte。可以看到该会话匹配的安全策略规则名称为:DMZtoUntrust。
同时从会话中我们可以看到该报文进行了源地址转换,源IP10.0.11.11转换为了10.0.12.1 FW1的GE0/0/2接口地址
步骤 6 观察NAT ALG工作过程
在R1上开启FTP服务,R2作为FTP客户端通过FW1映射出的地址登录R1的FTP服务,并执行命令dir查看文件列表,观察FW1的ASPF如何处理多通道协议。
R1上开启FTP服务
[R1]aaa
[R1-aaa] local-user ftp service-type ftp
[R1-aaa] local-user ftp password cipher ftp@123
[R1-aaa] local-user ftp privilege level 15
[R1-aaa] local-user ftp ftp-directory flash:
[R1-aaa] quitR2访问R1开启的FTP服务,注意是通过FW1上映射的地址进行访问
<R2>ftp 10.0.12.1 若实验成功实现,则R2可以成功通过FW1的NAT Server映射访问R1开启的FTP服务
查看FW1的会话表
<FW1>display firewall session table verbose protocol tcp destination-port global- 当实验完成,执行上述命令可以看到FTP的控制通道已经建立
在R2上执行命令dir
[ftp]dir- 能够看到R1的文件列表,此时已经使用了FTP的传输通道。
再次查看FW1的会话表
<FW1>display firewall session table - 依旧只存在FTP控制通道会话,并无传输通道会话。
查看NAT ALG生成的Server-map表项
<FW1>display firewall server-map - FW1上已经生成了FTP数据通道的Server-map表项
- 注意在查看之前需要在R2上执行dir触发传输通道的流量。
思考题
在防火墙上放通local安全域到其他区域的目的是什么?
在防火墙上放通local安全域到其他区域,主要的目的是为了允许该安全域内的计算机或设备与其他区域的计算机或设备进行通信和交互某ChatGPT给出的答案不一定准确
