防火墙技术之安全区域

Posted 世界尽头与你

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙技术之安全区域相关的知识,希望对你有一定的参考价值。

防火墙技术之安全区域

1.安全区域的概念

安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,防火墙通过安全区域来划分网络、标识报文流动的“路线”。一般来说,当报文在不同的安全区域之间流动时才会受到控制。

默认情况下,报文在不同的安全区域之间流动时受到控制,报文在同一个安全区域内流动时不受控制🦷

防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就能把安全区域和网络关联起来。通常说某个安全区域,也可以表示该安全区域中接口所连接的网络。

2.华为防火墙的安全区域实践

华为防火墙上已经默认为大家提供三个安全区域,分别是Trust、DMZ和Untrust。光从名字看就知道这三个安全区域很有内涵。

  • Trust区域。该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  • DMZ区域。该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络
  • Untrust区域。该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。

3.防火墙Local区域

防火墙上提供Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

4.报文在安全区域之间流动的方向

在华为防火墙上,每个安全区域都必须有一个安全级别,该安全级别是唯一的,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100, Trust区域的安全级别是85, DMZ区域的安全级别是50, Untrust区域的安全级别是5。

报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)👅

那么,防火墙如何判断报文在哪两个安全区域之间流动呢?

源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域。

确定目的安全区域时分两种情况:

  • 三层模式下,防火墙通过查找路由表确定报文将要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域;
  • 二层模式下,防火墙通过查找MAC地址转发表确定报文将要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。源安全区域和目的安全区域确定后,就可以知道报文是在哪两个安全区域之间流动了。

源安全区域不能简单地根据收到报文的接口来确定,此时防火墙会采用“反向查找路由表”的方式来确定原始报文的源安全区域。具体来说,防火墙会把原始报文中的源地址假设成是目的地址,然后通过查找路由表确定这个目的地址的报文将要从哪个接口发出,该接口所属的安全区域是报文将要去往的安全区域。反过来说,报文也就是从该安全区域发出的,所以反查路由表得到的这个安全区域就是报文的源安全区域👄

5.安全区域的配置

物理接口的配置

安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。接口GE0/0/1可以工作在三层模式也可以工作在二层模式。

配置命令非常简单,唯一需要注意的是,新创建的安全区域是没有安全级别的,我们必须为其设置安全级别,然后才能将接口加入安全区域。当然,鉴于安全级别的唯一性,设置的安全级别不能和已经存在的安全区域的级别相同。

[FW]firewall zone name test                       //创建安全区域test
[FW-zone-test]set priority 10                       //将安全级别设置为10
[FW-zone-test]add interface GigabitEthernet 0/0/1       //将接口GE0/0/1加入安全区域

前面我们介绍的都是将物理接口加入安全区域的内容,除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF接口等,这些逻辑接口在使用时也需要加入安全区域。下面给出了将子接口和VLANIF接口加入安全区域的示例。

子接口的配置

如图所示,PC A和PC B属于不同的子网,交换机上通过两个VLAN将PC A和PC B所属的子网隔离,交换机连接到防火墙的接口GE0/0/1上。对于防火墙来说,这种组网是典型的“单臂”环境。

我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的

其具体配置如下:

[FW]interface GigabitEthernet 0/0/1.10
[FW-GigabitEthernet0/0/1.10]vlan-type dot1q 10
[FW-GigabitEthernet0/0/1.10]ip address 192.168.10.1 24
[FW-GigabitEthernet0/0/1.10]quit
[FW]interface GigabitEthernet 0/0/1.20
[FW-GigabitEthernet0/0/1.20]vlan-type dot1q 20
[FW-GigabitEthernet0/0/1.20]ip address 192.168.20.1 24
[FW-GigabitEthernet0/0/1.20]quit
[FW]firewall zone name trust1
[FW-zone-trust1]set priority 10
[FW-zone-trust1]add interface GigabitEthernet 0/0/1.10
[FW-zone-trust1]quit
[FW]firewall zone name trust2
[FW-zone-trust2]set priority 20
[FW-zone-trust2]add interface GigabitEthernet 0/0/1.20
[FW-zone-trust2]quit

VLANIF接口的配置

我们可以在防火墙上创建两个VLAN并为各自的VLANIF接口配置IP地址,然后配置接口GE0/0/1工作在二层模式(透明模式),允许VLAN 10和VLAN 20的报文通过。将VLANIF10和VLANIF20划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的

其具体配置如下:

[FW]vlan 10
[FW-vlan-10]quit
[FW]interface Vlanif 10
[FW-Vlanif10]quit
[FW]vlan 20
[FW-vlan-20]quit
[FW]interface Vlanif 20
[FW-Vlanif20]quit
[FW]interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1]portswitch
[FW-GigabitEthernet0/0/1]port link-type trunk
[FW-GigabitEthernet0/0/1]port trunk permit vlan 10 20
[FW-GigabitEthernet0/0/1]quit
[FW]firewall zone name trust1
[FW-zone-trust1]set priority 10
[FW-zone-trust1]add interface Vlanif 10
[FW-zone-trust1]quit
[FW]firewall zone name trust2
[FW-zone-trust2]set priority 20
[FW-zone-trust2]add interface Vlanif 20
[FW-zone-trust2]quit

防火墙基础之路由模式和透明模式部署

防火墙部署模式

原理概述:

安全策略(缺省情况下,域内安全策略缺省动作为允许):
1、域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、Web过滤、应用控制等进一步的应用层检测的作用。
域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。
2.应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于IP、MAC地址等二、三层报文属性直接允许或拒绝报文通过。

域间安全策略(需要设置转发出入口方向(即inbound和outbound)):
1.转发策略:控制设备转发的流量,包括传统的包过滤和应用层的UTM检测。(UTM仅在该策略中实现)
2.本地策略:控制外界与设备的互访,只根据五元组进行控制。

域内安全策略:

基本策略同上,唯一区别是不需要设置转发出入口,且不能对local域内流量控制。
UTM策略(应用层检测):通过设置policy对匹配条件进行判断(actionpermit|denyIPS、AV等UTM策略,默认action为permit)

安全策略应用方向:

由于USG是基于对话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。
所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
注:配置安全策略时,先配置明细策略,在配置宽泛策略,避免屏蔽了对特定流量的细化控制

防火墙的三种工作模式:

1、路由模式:防火墙以第三层对外连接(接口具有IP地址),此时可以完成ACL包过滤,ASPF动态过滤、NAT转换等功能。
注:路由模式需要对网络拓扑进行修改
2、透明模式:防火墙以第二层对外连接(接口没有IP地址),此时相当于交换机,部分防火墙不支持STP

3、混合模式:混合上面两种

防火墙概述:

防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

监控审计

如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。

日志记录与事件通知

进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。


实验目的:

理解掌握防火墙的部署模式(此次实验防火墙FW1路由模式部署,FW2透明模式部署)

实验拓扑:

防火墙基础之路由模式和透明模式部署_包过滤


基础配置:

防火墙接口配置:

FW1:

#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 10.1.1.1 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 gateway 10.1.1.2

防火墙基础之路由模式和透明模式部署_安全策略_02

将接口划分进安全区域:

#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

防火墙基础之路由模式和透明模式部署_网络安全_03

配置静态路由:

#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 10.1.1.2
ip route-static 192.168.0.0 255.255.255.0 GigabitEthernet1/0/0 192.168.1.1

防火墙基础之路由模式和透明模式部署_包过滤_04

配置安全策略:

#
security-policy
 rule name 内网到外网
 source-zone trust
 destination-zone untrust
 action permit

防火墙基础之路由模式和透明模式部署_包过滤_05

配置NAT:

#
nat address-group snat 0
 mode pat
 section 0 10.1.1.3 10.1.1.10

防火墙基础之路由模式和透明模式部署_部署模式_06

#
nat-policy
 rule name 内网到外网
 source-zone trust
 destination-zone untrust
 action source-nat address-group snat


防火墙基础之路由模式和透明模式部署_防火墙_07

FW2:

#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 10.1.1.2 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 portswitch
 undo shutdown
 port link-type trunk
 link-group 1
 detect-mode inline
#
interface GigabitEthernet1/0/1
 portswitch
 undo shutdown
 port link-type trunk
 link-group 1
 detect-mode inline

防火墙基础之路由模式和透明模式部署_网络安全_08

配置安全策略:

防火墙基础之路由模式和透明模式部署_包过滤_09

R1:

#
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.0.2 255.255.255.0


R2:

#
interface GigabitEthernet0/0/0
 ip address 10.1.1.2 255.255.255.0


R1上配置静态路由:

ip route-static 10.1.1.0 255.255.255.0 192.168.1.2

PC配置:

防火墙基础之路由模式和透明模式部署_安全策略_10

在防火墙接口上抓包:

防火墙基础之路由模式和透明模式部署_包过滤_11


防火墙基础之路由模式和透明模式部署_防火墙_12


防火墙基础之路由模式和透明模式部署_包过滤_13


可以看到内网192.168.0.1ping外网10.1.1.2,连通性正常;

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人

以上是关于防火墙技术之安全区域的主要内容,如果未能解决你的问题,请参考以下文章

华为防火墙查看和调整安全域策略优先级

防火墙基础之华为防火墙分支与分支IPSec 对接

网络安全之防火墙

防火墙基础之交换机和防火墙安全组网安全防护虚拟专用网络

华为防火墙IPSec网络安全协议

防火墙基础之中型企业网络架构安全防护