华为NP课程笔记22-防火墙

一、防火墙

1、“防火墙”一词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

 

2、防火墙、路由器、交换机三者区别

防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in one的目标，华为也发布了一系列中低端设备

 

3、华为防火墙产品简介

华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9500四大系列，涵盖低、中、高端设备，型号齐全功能丰富，完全能够满足各种网络环境的需求。其中，USG2000和USG5000系列定位于UTM产品，USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。

USG2100集防火墙、UTM、v*n、路由、无线（WIFI/3G）等于一身，即插即用，配置方便，可以为为客户提供安全、灵活、便捷的一体化组网和接入解决方案。

USG6000作为华为面向下一代网络环境的防火墙产品，提供以应用层威胁防护为核心的下一代网络安全，让网络管理员重新掌控网络，看得更清、管得更细、用得更易。具有最精准的应用访问控制、6000+应用识别、多种用户认证技术、全面的未知威胁防护、最简单的安全管理、最高的全业务性能体验等优点。

USG9500是业界首款T级数据中心防火墙，成功通过了业界权威第三方安全测评机构美国NSS实验室的测试，获评为业界最快的防火墙。USG9500采用分布式软硬件设计，融合了多种行业领先的专业安全技术，将交换、路由、安全服务整合到统一的设备中，在大型数据中心、大型企业、教育、*、广电等行业和典型场景得到广泛应用。

 

4、安全区域

为了在防火墙上区分不同的网络，引入了安全区域（security zone），简称为区域（zone）。区域是一个或多个接口的集合，是区别于路由器的主要特性。

华为防火墙默认提供三个安全区域：

Trust区域，该区域内网络受信任程度高，常用来定义用户所在的网络

DMZ区域，该区域受信任程度中等，常用来定义内部服务器所在网络

Untrust区域，该区域代表不受信任网络，常用来定义Internet等不安全的网络。

防火墙上提供了Local区域，代表防火墙本身。

在华为防火墙上，每个区域都有唯一的安全级别，用1～100的数字表示，数字越大，则该区域内的网络越可信。对于默认的安全区域，他们的安全级别是固定的。Local是100，Trust是85，DMZ是50，Untrust是5。

 

5、安全域间（interzone）

任意两个安全区域都构成一个安全域间，并具有单独的安全域间视图，大部分的安全策略都需要在安全域间视图下配置。安全域间用来描述流量的传输通道，是两个区域间的唯一道路，在道路上配置安全策略，从而控制信息的流动。我们规定，报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound），反之为出方向（Outbound）。报文在两个方向上流动会触发不同的安全策略。通常，通信双方一定会交互报文，判断一条流量的方向以发起该流量的第一个报文为准。

配置命令：

int g1/0/1

  ip address 10.1.1.1 255.255.255.0

int g1/0/2

  ip address 1.1.1.1 255.255.255.0

firewall zone trust

   set priority 85

   add interface g1/0/1

 

firewall zone untrust

   set priority 5

   add interface g1/0/2

 

如果防火墙域间没有配置安全策略，或查找安全策略时，都没有命中，则默认执行域间的缺省包过滤动作（拒绝通过）。

安全策略配置：

security-policy

   rule name policy_sec_1

     source-zone trust

     destination-zone untrust

     source-address 10.1.1.0 24

     action permit

 

包过滤：实现包过滤的核心技术是访问控制列表，包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，它认为报文都是无状态的孤立个体，不关注报文产生的前因后果。“逐包检测”机制，即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行，严重影响了设备转发效率，使包过滤防火墙成为网络中的转发瓶颈。

 

状态监测和会话机制：如果规则允许功过，状态监测防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。为数据流的第一个报文建立会话，数据流内的后续报文直接根据会话进行转发，提高了转发效率。

 

6、会话

    会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就叫做会话表（Session table）。

    源地址、源端口、目的地址、目的端口和协议这五个元素是会话的重要信息，我们将这五个元素称之为“五元组”。只要这五个元素相同的报文即可认为属于同一条流，在防火墙上通过这五个元素就可以唯一确定一条连接。

    会话是动态生成的，但不是永远存在的。如果长时间没有报文匹配，则说明通信双方已经断开了连接，不再需要该条会话了。此时，为了节约系统资源，防火墙会在一段时间后删除会话，该时间称为会话的老化时间。

 

7、安全策略

 

   安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。规则的本质是包过滤。

    防火墙能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。流量匹配安全策略后，设备将会执行安全策略的动作。

    如果动作为“允许”，则对流量进行内容安全检测。如果内容安全检测也通过，则允许流量通过；如果内容安全检测没有通过，则禁止流量通过。

如果动作为“禁止”，则禁止流量通过。

   内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理，就可以获取到后续所有内容安全功能所需的数据，就能实现包括反病毒、入侵防御在内的内容安全功能，从而大幅提升设备处理性能。

    由于一体化检测的高效性，我们往往可以通过配置较宽泛的安全策略条件来匹配一类流量，然后再通过各种内容安全功能来保证网络安全。

    

8、多通道协议

 

1. 大部分多媒体应用协议（如H.323、SIP）、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配置ACL过滤规则匹配单通道协议的应用传输，保障内部网络不受攻击，但只能阻止一些使用固定端口的应用，无法匹配使用协商出随机端口传输数据的多通道协议应用，留下了许多安全隐患。
2. 单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口。
3. 多通道协议：通信过程中需占用两个或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口。
4. FTP协议是一个典型的多通道协议，在其工作过程中，FTP Client和FTP Server之间将会建立两条连接：控制连接和数据连接。控制连接用来传输FTP指令和参数，其中就包括建立数据连接所需要的信息；数据连接用来获取目录及传输数据。数据连接使用的端口号是在控制连接中临时协商的。根据数据连接的发起方式FTP协议分为两种工作模式：主动模式（PORT模式）和被动模式（PASV模式）。主动模式中，FTP Server主动向FTP Client发起数据连接；被动模式中，FTP Server被动接收FTP Client发起的数据连接。模式在一般的FTP客户端中都是可以设置的，这里我们以主动模式为例进行讲解。
   1. 首先FTP客户端向FTP服务器的21端口发起连接建立控制通道，然后通过PORT命令协商客户端使用的数据传输端口号。协商成功后，服务器主动向客户端的这个端口号发起数据连接。 而且每次数据传输都会协商不同的端口号。
   2. 而我们配置的安全策略仅开放了FTP协议，也就是21端口。当FTP客户端向服务器发起控制连接时建立了会话。
   3. 而服务器向客户端发起数据连接的源/目的端口号分别是20和临时协商的端口号yyyy，显然不是这条连接的后续报文，无法命中此会话转发。因此会出现可以验证用户密码，但是无法获取目录列表的现象。
   4. 如果在服务器到客户端的方向也配置安全策略，就必须开放客户端的所有端口，有安全隐患。

 

1. 由于某些特殊应用会在通信过程中临时协商端口号等信息，所以需要设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用的正常通信。这个功能称为ASPF（Application Specific Packet Filter），所创建的会话表项叫做Server-map表。
   1. 对于多通道协议，例如FTP，ASPF功能可以检查控制通道和数据通道的连接建立过程，通过生成server-map表项，确保FTP协议能够穿越设备，同时不影响设备的安全检查功能。
   2. Server-map表相当于在防火墙上开通了“隐形通道”，使得像FTP这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的，是防火墙分析了报文的应用层信息之后，提前预测到后面报文的行为方式，所以才打开了这样的一个通道。
   3. Server-map通常只是用检查首个报文，通道建立后的报文还是根据会话表来转发。
   4. Server-map表在防火墙转发中非常重要，不只是ASPF会生成，NAT Server等特性也会生成Server-map表。

 

1. 如图所示：
   1. Server-map表中记录了FTP服务器向FTP客户端的2071端口号发起的数据连接，服务器向客户端发起数据连接时将匹配这个Server-map表转发，而无需再配置反向安全策略。
   2. 数据连接的第一个报文匹配Server-map表转发后，防火墙将生成这条数据连接的会话，该数据连接的后续报文匹配会话表转发，不再需要重新匹配Server-map表项。
   3. Server-map表项由于一直没有报文匹配，经过一定老化时间后就会被删除。这种机制保证了Server-map表项这种较为宽松的通道能够及时被删除，保证了网络的安全性。当后续发起新的数据连接时会重新触发建立Server-map表项。

 

 

 

二、NAT

 

1、NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。通常情况下，利用NAT技术将IPv4报文头中的私网地址转换为公网地址，可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此，NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。

在学校、公司中经常会有多个用户共享少量公网地址访问Internet的需求，通常情况下可以使用源NAT技术来实现。源NAT技术只对报文的源地址进行转换。通过源NAT策略对IPv4报文头中的源地址进行转换，可以实现私网用户通过公网IP地址访问Internet的目的。

2、源NAT

源NAT有多种转换方式。

No-PAT：不带端口转换的地址池方式，内部私网用户共享地址池中的IP地址，按照一个私网地址对应一个公网IP地址的方式进行转换。地址转换的同时不进行端口转换，地址池中的IP的个数就是最多可同时上网的私网用户数。适用于某些服务需要使用特定的源端口，不允许进行源端口转换的场景。

 

NAPT：带端口转换的地址池方式，多个私网用户可以使用一个公网IP地址，根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

 

NAPT配置示例：

（1）配置接口IP地址并将接口加入相应安全区域

int g1/0/1

  ip address 10.1.1.1 255.255.255.0

int g1/0/2

  ip address 1.1.1.1 24

firewall zone trust

  set priority 85

  add int g1/0/1

 firewall zone untrust

   set priority 5

   add int g1/0/2

（2）配置安全策略

security-policy

  rule name policy_sec_1

    source-zone trust

    destination-zone untrust

    source-address 10.1.1.0 24

    action permit

3、配置NAT地址池

nat address-group addressgroup1

  section 0 1.1.1.10 1.1.1.11

4、配置源NAT策略

nat-policy

 rule name policy_nat_1

   source-zone trust

   destination-zone untrust

   source-address 10.1.1.0 24

   action nat address-group addressgroup1

 

（5）配置缺省路由

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

（6）配置黑洞路由

ip route-static 1.1.1.10 255.255.255.255 NULL0

ip route-static 1.1.1.11 255.255.255.255 NULL0

 

3、NAT Server（服务器映射）

NAT Sserver将某个公网IP地址映射为服务器的私网IP地址，实现外部网络用户通过公网地址访问私网内部服务器的功能。

 

（1）配置接口IP地址并将接口加入相应安全区域

int g1/0/1

  ip address 1.1.1.1 255.255.255.0

int g1/0/2

  ip address 10.2.0.1 24

firewall zone untrust

  set priority 5

  add interface g1/0/1

firewall zone dmz

   set priority 50

   add int g1/0/2

 

（2）配置安全策略

security-policy

  rule name policy_sec_1

   source-zone untrust

   destination-zone dmz

   destination-address 10.2.0.0 24

   action permit

 

（3）配置服务器映射

nat server policy nat web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse

//指定no-reverse参数后，可以配置多个global地址和同一个inside地址建立映射关系，另外，指定no-reverse后，设备生成的server-map表只有正方向，内部服务器主动访问外部网络时，设备无法将内部服务器的私网地址转换成公网地址，内部服务器也就无法主动向外发起连接。

（4）配置缺省路由

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

（5）配置黑洞路由

iproute-static 1.1.1.10 255.255.255.255 NULL0

 

 

三、攻击防范

1、通常情况下，在大中型企业、数据中心等网络中往往部署着服务器，而服务器（如邮件服务器、Web服务器等）已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的DDoS类型的攻击，如常见的SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击，这些DDoS类型的攻击不仅造成网络带宽拥塞，同时还严重威胁着服务器正常提供业务，甚者造成服务器宕机。

通过在以上网络的内网出口处部署FW设备，可以很好的防范各种常见的DDoS攻击，而且还可以对传统单包攻击进行有效的防范。

FW部署在企业内网出口处并开启攻击防范功能，FW能够区分出正常流量和攻击流量，对正常流量进行放行，对于攻击流量进行阻断。从而有效保障了企业内网服务器和PC的正常运行，使服务器能够响应正常用户的业务需求，内网用户的PC能够正常工作。在这里我们主要介绍常见单包攻击的防御配置。

2、DDoS

DDoS（Distributed Denial of Service）分布式拒绝攻击，指攻击者通过控制大量的僵尸主机向目标发送大量的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。根据攻击方式的不同，分为流量型攻击（如SYN Flood 、UDP Flood）和应用层攻击（如HTTP Flood、HTTPS Flood、DNS Flood）等攻击类型。NGF可以防范SYS Flood、UDP Flood等常见的DDoS攻击。

SYN Flood和UDP Flood攻击防御配置命令

 

四、应用行为控制

传统防火墙可以较好的防御自外至内的攻击，但是对于不属于前面任何一种攻击形式的企业内部的信息泄露等问题却较难控制。NGFW的应用行为控制功能能够有效的对内网用户的上网行为进行管理。