火墙同时也是路由器、交换机,与路由器交换机的区别在于:路由器交换机的主要目的是转发,防火墙的主要目的是丢弃
会话检测:
假设内网需要访问外网,那防火墙会根据内网的地址、端口等信息为这股流量建立一个会话,当外网回来的流量进入防火墙后,需要与会话中的信息完全匹配才能访问到内网。这样就可以实现内网单向访问外网,如果是外网主动访问内网(例如攻击者)则被拒绝。会话是由流量触发的
转发流程:与路由器基本一致,其中在经过交换网板时会将流量上送到SPU中进行各种策略匹配和检测,然后再转发
安全区域
local区域:设备本身以及设备所有的进程接口都属于这个区域,且不能更改
Trust区域:信任区域,将接口添加到Trust区域,连接这个接口的网络被称为Trust区域,通常将企业内网视为信任区域。注意:接口本身还是local区域
UnTrust区域:非信任区域。通常将外网视为非信任区域
DMZ区域:非军事化区域。特点是需要被访问,通常作为需要被外网访问的服务器所在的区域。该区域中有一台重要原则,不允许主动访问Trust区域,所以即使该区域被攻击者攻陷,也不会被当做跳板机攻击Trust区域
通常配置策略时不允许其他区域主动访问Trust区域,其他区域依靠会话进行通信
以上四种是华为防火墙设备的默认安全区域,每个区域有不同的优先级,优先级越大则安全优先级越高,但华为下一代USG防火墙已不再使用优先级这个概念了
防火墙中流量的路径以区域为单位,从一个区域到另一个区域
安全策略
在对区域间访问做好策略后,还可以根据流量的属性(五元组、用户、时间段等)进行更细致的安全策略匹配。安全策略由匹配条件、动作和安全配置文件组成。匹配条件可以匹配的内容非常广泛,匹配后的动作如果是允许则配置安全配置文件实现内容安全,动作是禁止(拒绝)则可配置反馈报文
匹配过程按顺序从顶端往下匹配,如果匹配成功将不再继续往下匹配,如果没有匹配上则继续匹配。所以越是精细的策略越需要先配置,宽泛的策略后配置
会话表
流量触发,防火墙根据流量首包建立会话后放行首包,对端回复,回程报文匹配会话表项(不再匹配策略)后放行。会话表创建和包处理过程:
会话存在老化时间,一条会话超时后被删除。但是某些多通道协议(FTP的20、21)业务中,会话上间隔很长时间才会有第二个报文经过(例如FTP的控制平面报文),此时就不应该删除会话了,而是采用一种“长链接”机制给这些协议设置超长的老化时间解决这个问题
由于防火墙执行严格的区域访问策略,多通道协议还存在其他问题,比如FTP
ftp客户端使用随机端口向ftp服务器的21端口建立控制通道,这里是trust区域主动向UnTrust区域发起的连接,可以建立会话。
当ftp客户端需要下载文件时会与ftp服务器协商数据通道的随机端口号。这里也是在上述会话中进行,可以协商成功。
然后ftp服务器的20端口根据协商的随机端口号发送文件数据,此时是ftp服务器先发起的数据连接,由于服务器在UnTrust区域中,无法建立会话,导致文件数据无法传输
ASPF与server-map
为解决上述多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口,需要开启ASPF针对应用层的包过滤功能,ASPF可以自动检测某些报文中的应用层信息自动生成server-map表,是简化的会话表,在流量到达之前提前生成。当流量到达后成功匹配server-map表后基于这个表生成会话表,然后执行转发