HCIA-Security_V4.0 | 04_防火墙安全策略

1 防火墙基础原理

1.1 安全区域

产生背景

  • “入口的屏障”。
  • 多个网络的接入控制点。
  • 部署在企业网络出口,与 Internet 连接。

基本概念

安全区域(Security Zone):

  • 一个或多个接口的集合(区别于路由器的主要特性)。
  • 通过安全区域划分网络、标识报文流动的“路线”。
  • 报文在不同安全区域之间流动时触发检查。

默认安全区域

华为防火墙产品默认提供 Trust、DMZ 和 Untrust 三个可配置的安全区域。

  • Trust 区域
    • 网络受信任程度高。
    • 通常用来定义内部用户所在的网络。
  • DMZ 区域
    • 网络受信任程度中等。
    • 通常用来定义内部服务器所在的网络。
  • Untrust 区域
    • 网络的受信任程度低。
    • 通常用来定义 Internet 等不安全的网络

Local 安全区域

  • 代表防火墙本身。
  • 防火墙主动发出的报文为从 Local 区域发出;需要防火墙响应并处理(非转发)为由 Local 区域接收。
  • Local 区域中不能添加任何接口,但防火墙上所有业务接口本身都属于 Local 区域。
  • 由于 Local 区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与 Local 区域之间的安全策略。例如 Telnet 登录、网页登录、接入 SNMP 网管等。

安全区域、受信任程度与优先级

华为防火墙每个安全区域都有一个唯一的优先级,用 1 至 100 的数字表示。数字越大则该区域内的网络越可信。

  • 默认安全区域受信任程度:Local > Trust > DMZ > Untrust
  • 用户可根据实际组网需要,自行创建安全区域并定义其优先级。
安全区域 优先级 说明
Local 100 设备本身,包括设备的各接口本身。
Trust 85 通常用于定义内网终端用户所在的区域。
DMZ 50 通常用于定义内网服务器所在的区域。
Untrust 5 通常用于定义 Internet 等不安全的网络。

1.2 安全策略

域间通信 - 安全策略

安全策略:控制进出网络的访问行为。

安全策略是由匹配条件(源 IP 地址 + 目的 IP 地址 + 源端口号 + 目的端口号 + 传输协议 五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。

安全策略的匹配条件包括以下要素:

  • Who:谁发出的流量,即用户
  • Where:流量的来源和目的,包括源/目的安全区域源/目的 IP 地址源/目的地区VLAN
  • What:访问的服务应用或者 URL 分类
  • When:即时间段

在一条安全策略中,匹配条件都是可选的。安全策略具体可参考 什么是安全策略?如何创建安全策略?-华为

若所有条件都匹配,则此流量成功匹配安全策略。

防火墙缺省安全策略的动作为禁止(deny),且仅对单播报文进行控制。流量匹配安全策略后,设备将会执行安全策略的动作:

  • 如果动作为“允许(permit)”,且没有配置内容安全检测,则允许流量通过。
  • 如果动作为“允许”,且配置了内容安全检测,则根据内容安全检测的结论来判断是否对流量进行放行。
  • 如果动作为“禁止”,则禁止流量通过。报文被立即丢弃,不会继续往下执行其他域间安全策略。

安全域间、安全策略与报文流动方向

安全域间用来描述流量的传输通道,是两个区域之间的唯一“道路”。

安全策略作为“关卡”之一检测通道上的流量。

  • 任意两个安全区域构成一个安全域间(Interzone),具有单独的安全域间视图。
  • 安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。

安全策略的匹配过程

最基本设计原则:没有明确允许的流量默认禁止。

通过创建安全策略允许某流量通过,针对不同的业务流量配置多条安全策略。

安全策略匹配过程:

安全策略工作流程:

缺省安全策略控制流量:

  • 不同安全区域间(包括但不限于从防火墙发出的流量、防火墙接收的流量、不同安全区域间传输的流量):受缺省安全策略控制;
  • 同一安全区域内:默认不受缺省安全策略控制。

缺省安全策略可以修改默认动作、日志记录功能(包括策略命中日志、会话日志和流量日志)。

举例

需求描述

  • 某公司在网络边界处部署了防火墙作为安全网关。为了使私网中 172.16.1.0/24 网段的用户可以正常访问 Internet,要在防火墙上配置相应安全策略;
  • 在此网络中 172.16.1.1、172.16.1.2 和 172.16.1.3 的 3 台 PC 对安全性要求较高,不允许上网。

网络中可能存在多种业务流量,针对不同的业务流量,设备上会配置多条安全策略。为了保证安全策略配置的正确性,管理员需要在配置安全策略前,完成安全策略的规划。安全策略的规划思路如下:

  • 了解企业的信息资产和服务,评估可能的风险;
  • 了解企业的业务,识别需要保护的信息资产,包括该资产可能面临的威胁;
  • 使用安全区域划分网络,简化管理。管理员应首先明确需要划分哪几个安全区域,接口如何连接,分别加入哪些安全区域。定义细粒度的区域,该区域仅允许特定用户访问特定应用和资源。
  • 识别业务和应用,确定业务黑白灰名单
    • 白名单根据业务分类,应用到不同策略中;
    • 黑名单应用到不同策略中;
    • 灰名单是未知的,用于发现在企业运作过程中遗漏的其他合法应用。

配置思路

  • 明确划分的安全区域、接口如何连接、分别加入哪些安全区域;
  • 根据“源地址”或“用户”区分企业员工;
  • 根据网络“允许”与“禁止”配置安全策略;
  • 列出上述步骤的安全策略参数,并按先精确再宽泛的顺序排序,以此顺序配置安全策略。

例:

  • 先精确:创建拒绝特殊的 3 个 IP 地址访问 Internet 的安全策略规则。

  • 再宽泛:创建允许 172.16.1.0/24 网段访问 Internet 的安全策略规则。

配置安全策略时,一条安全策略可以引用地址集或配置多个目的 IP 地址。

1.3 状态检测和会话机制

状态检测机制

使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待,同一个数据流内的报文存在联系。

  • 状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。

  • 状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项

报文来回路径不一致的组网中,防火墙可能只会收到通信过程中的后续报文。在这种情况下,为了保证业务正常,就需要关闭防火墙的状态检测功能。当关闭状态检测功能后,可以通过后续报文建立会话,保证业务的正常运行。

会话机制

会话表:记录 TCP、UDP、ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。

会话表项中的五元组信息

一条会话就表示通信双方的一个连接。

  • 通过会话中的五元组信息可以唯一确定通信双方的一条连接;
  • 防火墙将要删除会话的时间称为会话的老化时间
  • 一条会话表示通信双方的一个连接,多条会话的集合叫做会话表

会话老化机制避免防火墙设备资源被无端消耗,但某些特殊业务中一条会话的两个连续报文可能间隔很长,如:

  • 用户通过 FTP 下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文;
  • 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于 TCP 的会话老化时间。

以上场景通过长连接(Long Link)机制解决。

会话表项中的其他信息

display firewall session table 命令查看正常建立的会话。

  • Current Total Sessions:当前会话表数统计;
  • telnet:协议名称,例中为 telnet;
  • VPN:public-->public:VPN 实例名称,表示方式为:源方向-->目的方向;
  • 192.168.3.1:2855-->192.168.3.2:23:会话表信息。

在防火墙上通过 display firewall session table verbose 可以显示会话表详细信息。verbose 参数可以看到除五元组之外的其他信息。

  • Current Total Sessions:当前会话表数统计;
  • icmp:协议名称,举例中为 icmp;
  • VPN:public-->public:VPN 实例名称,表示方式为:源方向-->目的方向;
  • ID:当前会话 ID;
  • Zone: local--> trust:会话的安全区域,表示方式为:源安全区域-->目的安全区域;
  • TTL:该会话表项总的生存时间;
  • Left:该会话表项剩余生存时间;
  • Interface:正向报文的出接口;
  • NextHop:正向报文的下一跳 IP 地址。

1.4 ASPF(Application Specific Packet Filter,特定应用包过滤器)技术

产生背景

TCP/IP 模型中,应用层协议根据占用的端口数量分为单通道应用层协议与多通道应用层协议。

传统包过滤防火墙针对多通道应用层协议访问控制的不足:

  • 只能实现简单的访问控制;
  • 只能阻止一些使用固定端口的单通道协议的应用数据。

多通道协议为了保证数据通道的顺利建立需开放所有端口,增加了服务器或客户端的攻击风险。

在多通道应用协议的应用

ASPF 是针对应用层的包过滤。

  • 通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的 Server-map 表
  • 当数据通道的首包经过防火墙时,防火墙根据 Server-map 生成一条 session,用于放行后续数据通道的报文,相当于自动创建了一条精细的“安全策略”。
  • 对于特定应用协议的所有连接,每一个连接状态信息都将被 ASPF 维护并用于动态的决定数据包是否被允许通过防火墙或丢弃

FTP 主动模式的 ASPF

Server-map 表是通过 ASPF 功能自动生成的精细安全策略。

Server-map 表与会话表的关系

  • Server-map 表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制
  • 会话表是通信双方连接状态的具体体现;
  • Server-map 表不是当前的连接信息,是防火墙对当前连接分析后得到的即将到来报文的预测

Server-map 表配置举例

2 防火墙在网络安全方案中的应用场景

校园出口安全方案

从网络层到应用层的安全威胁:

  • 网络边界防护
  • 内容安全防护

防火墙作为安全网关部署在校园网出口:

  • 提供内、外网互访的安全隔离和防护。
  • 提供基于用户的访问控制和行为溯源。

云计算网络

云计算网络中部署防火墙可以实现:

  • 不同外网企业用户访问虚拟机,时,相互之间不能影响,业务隔离;
  • 外网企业用户能够通过公网地址访问企业内部虚拟机和 Portal 系统;
  • 提高业务可靠性,不能因为一台设备出现故障而导致业务中断。

posted @ 2024-09-19 14:53  Guanz  阅读(5)  评论(0编辑  收藏  举报