防火墙的基本特性,USG防火墙基础

图片 8

防火墙的基本特性,USG防火墙基础

| 0 comments

图片 1

 

一、FirewallD简介

FirewallD
提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持
IPv4, IPv6
防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
以前的 system-config-firewall/lokkit
防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核
netfilter
防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon
动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用
firewall daemon
就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall
daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。
守护进程通过 D-BUS 提供当前激活的防火墙设置信息,也通过 D-BUS 接受使用
PolicyKit 认证方式做的更改。

防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。今天贤集网小编就给大家介绍下防火墙的基本特性,希望本小编的讲解对将要学习使用防火墙的朋友们有所帮助!

http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html

二、FirewallD特性

  • 守护进程
    应用程序、守护进程和用户可以通过 D-BUS
    请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP
    拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。
    通过所谓的直接接口,其他的服务(例如 libvirt )能够通过 iptables
    变元(arguments)和参数(parameters)增加自己的规则。
    amanda 、ftp 、samba 和 tftp 服务的 netfilter
    防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪连接信息很重要,需要列入考虑范围。

  • 静态防火墙(system-config-firewall/lokkit)
    使用 system-config-firewall 和 lokkit
    的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
    在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。
    firewall daemon 独立于 system-config-firewall,但二者不能同时使用。

  • 区域
    网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。

  • 预定义服务
    服务是端口和/或协议入口的组合。备选内容包括 netfilter 助手模块以及
    IPv4、IPv6地址。

  • 端口和协议
    定义了 tcp 或 udp 端口,端口可以是一个端口或者端口范围。

  • ICMP阻塞
    可以选择 Internet
    控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。

  • 伪装
    私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。

  • 端口转发
    端口可以映射到另一个端口以及/或者其他主机。

  • 哪个区域可用?
    由firewalld 提供的区域按照从不信任到信任的顺序排序。

  • 丢弃
    任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。

  • 阻塞
    任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited
    报文或者 IPv6 的 icmp6-adm-prohibited
    报文。只允许由该系统初始化的网络连接。

  • 公开
    用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。

  • 外部
    用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的连接接入。

  • 隔离区(dmz)
    用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。

  • 工作
    用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

  • 家庭
    用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

  • 内部
    用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

  • 受信任的
    允许所有网络连接。

  • 我应该选用哪个区域?
    例如,公共的 WIFI
    连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。

  • 由NetworkManager控制的网络连接
    防火墙不能够通过 NetworkManager
    显示的名称来配置网络连接,只能配置网络接口。因此在网络连接之前
    NetworkManager 将配置文件所述连接对应的网络接口告诉 firewalld
    。如果在配置文件中没有配置区域,接口将配置到 firewalld
    的默认区域。如果网络连接使用了不止一个接口,所有的接口都会应用到
    fiwewalld。接口名称的改变也将由 NetworkManager
    控制并应用到firewalld。

  • 由脚本控制的网络
    对于由网络脚本控制的连接有一条限制:没有守护进程通知 firewalld
    将连接增加到区域。这项工作仅在 ifcfg-post
    脚本进行。因此,此后对网络连接的重命名将不能被应用到firewalld。同样,在连接活动时重启
    firewalld
    将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。

  • 使用firewalld
    图形界面工具:firewall-config
    firewall-cmd命令行工具:firewall-cmd

基本特性

 

三、FirewallD配置

  • Firewalld命令:

#进程与状态相关
systemctl start firewalld.service            #启动防火墙  
systemctl stop firewalld.service             #停止防火墙  
firewall-cmd --state                         #查看防火墙状态  
firewall-cmd --reload                        #更新防火墙规则  
firewall-cmd --state                         #查看防火墙状态  
firewall-cmd --reload                        #重载防火墙规则  
firewall-cmd --list-ports                    #查看所有打开的端口  
firewall-cmd --list-services                 #查看所有允许的服务  
firewall-cmd --get-services                  #获取所有支持的服务  

#区域相关
firewall-cmd --list-all-zones                    #查看所有区域信息  
firewall-cmd --get-active-zones                  #查看活动区域信息  
firewall-cmd --set-default-zone=public           #设置public为默认区域  
firewall-cmd --get-default-zone                  #查看默认区域信息  
firewall-cmd --zone=public --add-interface=eth0  #将接口eth0加入区域public

#接口相关
firewall-cmd --zone=public --remove-interface=eth0       #从区域public中删除接口eth0  
firewall-cmd --zone=default --change-interface=eth0      #修改接口eth0所属区域为default  
firewall-cmd --get-zone-of-interface=eth0                #查看接口eth0所属区域  

#端口控制
firewall-cmd --add-port=80/tcp --permanent               #永久添加80端口例外(全局)
firewall-cmd --remove-port=80/tcp --permanent            #永久删除80端口例外(全局)
firewall-cmd --add-port=65001-65010/tcp --permanent      #永久增加65001-65010例外(全局)  

firewall-cmd  --zone=public --add-port=80/tcp --permanent            #永久添加80端口例外(区域public)
firewall-cmd  --zone=public --remove-port=80/tcp --permanent         #永久删除80端口例外(区域public)
firewall-cmd  --zone=public --add-port=65001-65010/tcp --permanent   #永久增加65001-65010例外(区域public) 

注:如果某个接口不属于任何Zone,那么这个接口的所有数据包使用默认的Zone的规则。

  • 命令含义:
    –zone #作用域
    –add-port=80/tcp #添加端口,格式为:端口/通讯协议
    –permanent #永久生效,没有此参数重启后失效

  • Systemctl命令:

systemctl start firewalld.service               #启动服务
systemctl stop firewalld.service                #关闭服务
systemctl reloadt firewalld.service             #重载配置
systemctl restart firewalld.service             #重启服务
systemctl status firewalld.service              #显示服务的状态
systemctl enable firewalld.service              #在开机时启用服务
systemctl disable firewalld.service             #在开机时禁用服务
systemctl is-enabled firewalld.service          #查看服务是否开机启动
systemctl list-unit-files|grep enabled          #查看已启动的服务列表
systemctl --failed                              #查看启动失败的服务列表
  • 关闭CentOS7自带Firewall启用iptables:

yum install iptables-services           #安装iptables  
systemctl stop firewalld.service        #停止firewalld  
systemctl mask firewalld.service        #禁止自动和手动启动firewalld  
systemctl start iptables.service        #启动iptables
systemctl start ip6tables.service       #启动ip6tables  
systemctl enable iptables.service       #设置iptables自启动  
systemctl enable ip6tables.service      #设置ip6tables自启动  
注:静态防火墙规则配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables    

内部网络和外部网络之间的所有网络数据流都必须经过防火墙

华为防火墙产品线

 图片 2

这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。

安全区域

1.     默认防火墙区域

  • Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  • DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
  • Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

 

特殊区域Local区域:(防火墙上提供了Local区域,代表防火墙本身)

  • 凡是由防火墙主动发出的报文均可认为是从Local区域中发出
  • 凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

 

也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。

 图片 3

 

 

2.     安全级别

每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:

  • Local区域的安全级别是100
  • Trust区域的安全级别是85
  • DMZ区域的安全级别是50
  • Untrust区域的安全级别是5。

 

  • inbound/outbound

报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。

 

默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查

 图片 4

3.     状态检测和会话机制

 

display firewall session table

Current Total Session:  1

http  VPN:public –> public 1.1.1.1:2049–>2.2.2.2:80

 

http表示协议,1.1.1.1表示源地址,2049表示源端口,2.2.2.2表示目的地址,80表示目的端口。

其实通过“–>”符号就可以直观区分源和目的,符号前面的是源,符号后面的是目的。

 

会话是动态生成的,但不是永远存在的。如果长时间没有报文匹配,则说明通信双方已经断开了连接,不再需要该条会话了。此时,为了节约系统资源,防火墙会在一段时间后删除会话,该时间称为会话的老化时间。

 

根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。

防火墙安全策略

 

1.     缺省策略:

  • 缺省情况下,所有域间的所有方向都禁止报文通过,可以根据需求配置允许哪些数据流通过防火墙的安全策略。
  • 对于路由、ARP等底层协议一般是不受安全策略控制的,直接允许通过。当然这和具体产品实现有关,产品间可能有差异。
  • 除了经过防火墙转发的数据流,设备本身与外界互访的数据流也同样受安全策略的控制!例如当登录设备、网管与设备对接时,需要配置登录PC/网管所在安全区域与Local域之间的安全策略。
  • 域内流量默认允许。可以通过配置对域内流量进行检测

2.     安全策略的应用方向

对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需要额外的策略。

这点和路由器、交换机包过滤不一样,主要原因就是防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。

 图片 5

Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

如果确实需要开放Server主动访问PC的权限,这时才需要在Inbound方向上也应用安全策略。

 

3.     安全策略的匹配

  • 防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则未匹配安全策略。
  • 同一域间或域内应用多条安全策略,策略的优先级按照配置顺序进行排列,越先配置的策略优先级越高,越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略,如果没有匹配到任何策略就按缺省包过滤处理。

 

 

典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

防火墙策略的发展

 图片 6

 

 

 

基於ACL的包過濾:

1.     基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作

2.     然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

 

发展中期的UTM设备安全策略:

将防火墙包过滤功能和内容安全功能进行了融合,不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。

 

 

UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。

 

另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

 

NGFW的一体化安全策略 :

 

 

 

1.     NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

2.     缺省包过滤也是全局只有一条,不再区分域间

3.     增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。

4.     增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的

5.     通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。

 图片 7

 

 图片 8

 

 

 

 

 

 

 

 

 

只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。

防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。

相关文章

发表评论

Required fields are marked *.


网站地图xml地图