2022年防火墙基础 .pdf

一、防火墙概述1.防火墙概述网络免受外部攻击。更加强劲。2.防火墙分类包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP 源地址、目的地址、TCP/UDP的源端口、和TCP/UDP 的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 14 页 -都需要进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对客户端来说防火墙是一个服务器，对服务器来说防火墙是一个客户端。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙二、防火墙的基础知识点1.安全区域（Zone）的概念安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域，并且定义该安全去区域的安全级别，然后将防火墙的接口关联到一个安全区域，那么该接口所连接的这个网络，就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。Eudemon 认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 14 页 -Eudemon 防火墙上预设的安全区域：非受信区（Untrust）：低级的安全区域，安全优先级为5。通常用于定义Internet等不安全的网络非军事化区（DMZ）：中度级别的安全区域，安全优先级为50。通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个安全级别比Trust低，但是比Untrust高的安全区域中。受信区（Trust）：较高级别的安全区域，安全优先级为85。通常用于定义内网终端用户所在区域。本地区域（Local）：最高级别的安全区域，安全优先级为100。【防火墙自身为Local区域】Local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由Local区域接受。用户不能改变Local区域本身的任何配置，包括向其中添加接口。用户可以自行设置新的安全区域并定义其安全优先级别，Eudemon 防火墙最多支持16 个安全区域（包括默认保存的五个安全区域）。安全区域的规划用于可自定义安全区域，也可使用系统自带的安全区域，防火墙的一个接口只能属于一个特定区域，而一个区域可以包含多个接口，接口只有划分到区域中才能正常处理报文。Local zone指的是设备本身，包括设备的各接口。凡是发给防火墙的都可认为是发向Local的，而防火墙始发的数据可以理解为来自Local。因此若要访问防火墙端口IP，需开放与Local域之间的策略内部网络应安排在安全级别较高的区域外部网络应安排在安全级别最低的区域一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 14 页 -安全区域的限制：防火墙不能够有两个拥有相同安全级别的区域防火墙的一个物理接口只能属于一个安全区域防火墙的多个接口可以同时属于一个安全区域系统自带的安全区域不能删除。我们可以根据实际环境的需求配置自定义的安全区域。相同区域内的不同接口间报文不过滤直接转发；一个报文如果在进、出端口时相同，该报文将被丢弃；接口没有加入安全区域之前不能转发包文。2.区域间（interzone）的概念安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”，如果希望对经过这条通道的流量进行控制，就必须在通道上设立“关卡”，也就是安全策略。但是对于不需要经过这条通道的流量，例如在同一个安全域间内转发的流量，在安全域间下发的安全策略是不起作用的。任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的安全功能配置都在安全域间视图下配置。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 14 页 -例如上图，内网的PC与 Internet的流量，就是需要过interzone trust untrust的策略。而内网PC访问防火墙的接口，例如ping防火墙的接口，那么这些流量需要通过interzone trust local。3.Inbound及 Outbound安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）：入方向（inbound）：数据由低级别安全区域向高级别安全区域传输的方向；低名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 14 页 -高出方向（outbound）：数据由高级别安全区域向低级别安全区域传输的方向。高低4.防火墙的工作模式路由模式防火墙每个接口连接一个网络，防火墙的接口地址是所连接子网的网关；报文首先通过入接口信息找到进入域信息，然后查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，最后按照配置在这个域间关系上的安全策略进行操作。透明模式防火墙的接口不能配置IP 地址，可被看作一台二层交换机。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。透明模式可以配置系统管理IP。混合模式名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 14 页 -防火墙一部份接口工作在透明模式，一部分接口工作在路由模式。混合模式主要是为了解决防火墙在透明模式下无法双机热备的问题，因为双机热备需要在接口上配置IP 地址。三、Eudemon 的基本配置防火墙基础配置任务1.创建安全区域，将接口划分到特定安全区域2.（可选）修改默认的interzone策略3.配置 interzone策略配置任务1：创建区域，添加接口到区域创建安全区域（如果是系统自带的安全区域，则无需创建）Eudemon firewall zone name ISP1Eudemon-zone-ISP1 set priority 20将接口加入特定安全区域Eudemon firewall zone trustEudemon-zone-trust add interface gi 1/0/1配置任务2：配置默认interzone安全策略开放所有域间默认策略（在测试阶段可以使用这个策略，但是正式上线后，禁止开放该默认名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 14 页 -策略）Eudemon firewall packet-filter default permit all开放 trust&untrust域间默认策略Eudemon firewall packet-filter default permit interzone trust untrust开放 trust&untrust域间 outbound方向默认策略Eudemon firewall packet-filter default permit interzone trust untrust direction outbound防火墙开机默认策略：1.f i r ewal lpacket-f i l t erdef aul tperm i ti nt er zone l ocalt r ustdi r ect i on i nbound#t r ust 区 域 可 以 访问 l ocal 区 域2.f i r ewal lpacket-f i l t erdef aul tperm i ti nt er zone l ocalt r ustdi r ect i on out bound#l ocal 区 域 何 以 访问 t r ust 区 域3.f i r ewal lpacket-f i l t erdef aul tperm i ti nt er zone l ocalunt r ustdi r ect i onout bound#l ocal 区 域 可 以 访问 unt r ust 区 域4.f i r ewal lpacket-f i l t erdef aul tperm i ti nt er zone l ocaldm z di r ect i on out bound#l ocal 区 域 可 以 访问 D M Z区域配置任务3：配置interzone安全策略域间策略（E1000E-U）Eudemon acl 3000Eudemon-acl-adv-3000 rule 0 permit tcp destination 192.168.20.3 0 destination-port eq ftpEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 3000 outbound域间策略（E1000E-X）Eudemon policy interzone trust untrust outbound Eudemon-policy-interzone-trust-untrust-outbound policy 0Eudemon-policy-interzone-trust-untrust-outbound-0 policy destination 名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 14 页 -192.168.20.3 0Eudemon-policy-interzone-trust-untrust-outbound-0 policy service service-set ftpEudemon-policy-interzone-trust-untrust-outbound-0 action permitInterzone策略Interzone策略中的转发策略名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 14 页 -四、Eudemon 基础配置示例防火墙FW的配置如下：#配置各接口IPFW interface GigabitEthernet0/0/1FW-GigabitEthernet0/0/1 ip address 192.168.1.254 24FW interface GigabitEthernet0/0/2FW-GigabitEthernet0/0/2 ip address 10.1.1.254 24FW interface GigabitEthernet0/0/3名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 14 页 -FW-GigabitEthernet0/0/3 ip address 172.16.1.254 24#向安全区域中添加接口FW firewall zone trustFW-zone-trust add interface GigabitEthernet0/0/1FW firewall zone untrustFW-zone-untrust add interface GigabitEthernet0/0/2 FW firewall zone dmzFW-zone-dmz add interface GigabitEthernet0/0/3#配置 interzone策略，使得trust区域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段。FW policy interzone trust untrust outbound FW-policy-interzone-trust-untrust-outbound policy 0FW-policy-interzone-trust-untrust-outbound-0 policy destination 10.1.1.0 0.0.0.255FW-policy-interzone-trust-untrust-outbound-0 policy source 192.168.1.0 0.0.0.255FW-policy-interzone-trust-untrust-outbound-0 action permit#配置 interzone策略，使得untrust区域的10.1.1.0/24网段用户能够访问DMZ区域的web 服务FW policy interzone dmz untrust inboundFW-policy-interzone-trust-untrust-outbound policy 0FW-policy-interzone-trust-untrust-outbound-0 policy source 10.1.1.0 0.0.0.255FW-policy-interzone-trust-untrust-outbound-0 policy service service-set http#若不指定service默认为service-set IPFW-policy-interzone-trust-untrust-outbound-0 action permit完成上述配置后，PC1即可主动发起访问PC2，而 PC2无法主动访问PC1；另外，PC2能够访问 WebServer的 HTTP服务。下面做一些简单的验证及查看：FW display zone local priority is 100#trust priority is 85名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 14 页 -interface of the zone is(2):GigabitEthernet0/0/0 GigabitEthernet0/0/1#untrust priority is 5 interface of the zone is(1):GigabitEthernet0/0/3#dmz priority is 50 interface of the zone is(1):GigabitEthernet0/0/2通过命令display zone，可以查看防火墙的安全区域、安全等级，以及每个安全区域下的接口。FW display firewall packet-filter default all Firewall default packet-filter action is:-packet-filter in public:local-trust:inbound :default:permit;|IPv6-acl:null outbound:default:permit;|IPv6-acl:null local-untrust:inbound :default:deny;|IPv6-acl:null outbound:default:permit;|IPv6-acl:null local-dmz:inbound :default:deny;|IPv6-acl:null outbound:default:permit;|IPv6-acl:null trust-untrust:inbound :default:deny;|IPv6-acl:null outbound:default:deny;|IPv6-acl:null trust-dmz:inbound :default:deny;|IPv6-acl:null名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 14 页 -outbound:default:deny;|IPv6-acl:null dmz-untrust:inbound :default:deny;|IPv6-acl:null outbound:default:deny;|IPv6-acl:null packet-filter between VFW:使用 display firewall packet-filter default 命令，能查看防火墙的默认安全策略。当数据包经过防火墙且从一个安全区域试图访问另一个安全区域时，防火墙会根据数据包的流向首先检查用于定义的policy interzone，如果没有，则会看根据防火墙的默认安全策略进行处理。例如从上面的显示中，我们可以看到local-trust的 inbound及 outbound都是 permit，因此即使我们没有显式的定local及 trust安全区域的区域间策略，但是由于默认的策略就是放行，因此trust区域的用户可以ping通防火墙的接口。如果要让防火墙默认放行所有安全区域间的流量，可以使用：firewall packet-filter default permit all命令，值得注意的是，在网络正式投入使用之前，此命令必须关闭，针对需要放行的流量，需通过interzone policy的配置来放行。使用 display policy命令，能查看我们定义的区域间安全策略，例如：FW display policy interzone trust untrust outboundpolicy interzone trust untrust outbound firewall default packet-filter is deny policy 0(15 times matched)action permit policy service service-set ip policy source 192.168.1.0 0.0.0.255 policy destination 10.1.1.0 0.0.0.255FW display policy interzone dmz untrust inbound policy interzone dmz untrust inbound firewall default packet-filter is deny policy 0(1 times matched)action permit 名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 14 页 -policy service service-set http(predefined)policy source 10.1.1.0 0.0.0.255 policy destination any上面都是我们通过命令定义的区域间安全策略。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 14 页 -