防火墙基础之安全策略和GRE隧道
Posted 晚风挽着浮云
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙基础之安全策略和GRE隧道相关的知识,希望对你有一定的参考价值。
防火墙之GRE隧道
原理概述:
通用路由封装(GRE)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。
在大多数常规情况下,系统拥有一个有效载荷(或负载)包,需要将它封装并发送至某个目的地。首先将有效载荷封装在一个GRE 包中,然后将此GRE 包封装在其它某协议中并进行转发。此外发协议即为发送协议。当IPv4 被作为GRE 有效载荷传输时,协议类型字段必须被设置为0x800。当一个隧道终点拆封此含有 IPv4 包作为有效载荷的GRE 包时,IPv4 包头中的目的地址必须用来转发包,并且需要减少有效载荷包的TTL。值得注意的是,在转发这样一个包时,如果有效载荷包的目的地址就是包的封装器(也就是隧道另一端),就会出现回路现象。在此情形下,必须丢弃该包。当 GRE 包被封装在IPv4 中时,需要使用IPv4 协议47。
GRE 下的网络安全与常规的IPv4 网络安全是较为相似的,GRE 下的路由采用IPv4 原本使用的路由,但路由过滤保持不变。包过滤要求防火墙检查 GRE 包,或者在GRE 隧道终点完成过滤过程。在那些这被看作是安全问题的环境下,可以在防火墙上终止隧道。
GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议。
Tunnel 是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel 的两端分别对数据报进行封装及解封装。 一个X协议的报文要想穿越IP网络在Tunnel中传输,必须要经过加封装与解封装两个过程。
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。
日志记录与事件通知
进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。
配置思路:
1:FW_A和FW_B分别创建一个Tunnel接口。在Tunnel接口指定源IP地址和目的IP地址等封装参数;
2:配置OSPF动态路由,启用一个OSPF进程,指定运行OSPF协议的接口。网络1中的私网网段10.1.1.0/24和Tunnel地址所在的网络172.168.2.0/24需要通过GRE隧道发布哥网络2,隧道两端的Tunnel接口通过GRE隧道建立起邻接关系。
3:配置安全策略,允许GRE隧道的建立和流量转发。
4:整个网络的互联互通,在此基础上才能建立GRE隧道的有效转发。
实验目的:
网络1和网络2实现互通,配置网络1与网络2之间的安全策略,配置GRE隧道;
实验拓扑:
基础配置:
FW1:
1:配置接口地址:
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.1 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
Web页面配置:
2:配置GRE隧道:
#
interface Tunnel1
ip address 172.16.2.1 255.255.255.0
tunnel-protocol gre
keepalive
source 1.1.1.1
destination 5.5.5.5
gre key cipher %^%#l(e=J~PYh5%ZXVRCsV92T&IhL_*C4XG^L`C7@G^G%^%#
Web页面配置:
3:将接口划分进安全区域:
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface Tunnel1
Web页面配置:
4:配置OSPF路由协议:
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 172.16.2.0 0.0.0.255
Web页面配置:
5:配置静态路由(默认路由)
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
Web页面配置:
6:配置安全策略:
#
security-policy
rule name trust-dmz
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
rule name local-untrust
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
Web页面配置:
FW2:
1:配置接口地址:
Web页面配置:
2:配置GRE隧道:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.2 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.2.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 5.5.5.5 255.255.255.0
2:配置GRE隧道:
#
interface Tunnel1
ip address 172.16.2.2 255.255.255.0
tunnel-protocol gre
keepalive
source 5.5.5.5
destination 1.1.1.1
gre key cipher %^%#NY+6$I]+;;NnZgXv7t#7!u9A*c/":F_>I$Vr2<,%^%#
Web页面配置:
3:将接口划分进安全区域:
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface Tunnel1
Web页面配置:
4:配置OSPF路由协议:
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
network 172.16.2.0 0.0.0.255
Web页面配置:
5:配置静态路由(默认路由):
#
ip route-static 0.0.0.0 0.0.0.0 5.5.5.1
Web页面配置:
6:配置安全策略:
#
security-policy
rule name trust-dmz
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
rule name loacl-untrust
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
Web页面配置:
配置ISP:
interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 5.5.5.1 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 1.1.1.0 0.0.0.255
network 5.5.5.0 0.0.0.255
查看ISP的路由表:
查看FW1路由表:
查看防火墙会话表:
查看FW2路由表:
验证实验
数据包捕获
配置DNS、FTP、HTTP,实验拓扑将PC换成Client和Server
配置Client IP地址 网关及相关信息
配置Server
配置FTP和HTTP服务
配置DNS服务
验证DNS
实验结束;
备注:如有错误,请谅解!
此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人
以上是关于防火墙基础之安全策略和GRE隧道的主要内容,如果未能解决你的问题,请参考以下文章