安全2.1 防火墙安全策略

上传人:n**** 文档编号:89217127 上传时间:2019-05-21 格式:PDF 页数:32 大小:3.52MB
返回 下载 相关 举报
安全2.1 防火墙安全策略_第1页
第1页 / 共32页
安全2.1 防火墙安全策略_第2页
第2页 / 共32页
安全2.1 防火墙安全策略_第3页
第3页 / 共32页
安全2.1 防火墙安全策略_第4页
第4页 / 共32页
安全2.1 防火墙安全策略_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《安全2.1 防火墙安全策略》由会员分享,可在线阅读,更多相关《安全2.1 防火墙安全策略(32页珍藏版)》请在金锄头文库上搜索。

1、 3 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一 个最基本的控制。 传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地 址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等,然后和预 先设定的过滤规则进行匹配,并根据匹配结果对报文采取转发或丢弃处理。 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查,所以转发效率低下。目前防 火墙基本使用状态检查机制,将只对一个连接的首包进行包过滤检查,如果这个首包能够 通过包过滤规则的检查,并建立会话的话,后续报文将不再继续通过包过滤机制检测,而 是直接通过会话表进行转发。 4 包

2、过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口 号、目的端口号、上层协议等信息组合定义网络中的数据流,其中源IP地址、目的IP地址 、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组,也是 组成TCP/UDP连接非常重要的五个元素。 5 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允 许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检 验,符合安全策略的合法数据流才能通过防火墙。 通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间 的访问权限等。同时也能够对设

3、备本身的访问进行控制,例如限制哪些IP地址可以通过 Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。 6 防火墙安全策略定义数据流在防火墙上的处理规则,防火墙根据规则对数据流进行处 理。因此,防火墙安全策略的核心作用是:根据定义的规则对经过防火墙的流量进行筛选 ,由关键字确定筛选出的流量如何进行下一步操作。 在防火墙应用中,防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本 手段,决定了后续的应用数据流是否被处理。安全策略根据通过报文的源地址、目的地址 、端口号、上层协议等信息组合定义网络中的数据流。 思考:五元组在安全策略中是如何进行匹配的? 7 域

4、间安全策略用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同 安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多 种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用 层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地 址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包 过滤控制(permit/deny),允许或拒绝与设备本身的互访。 缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。 与域间安全策略一样可以按IP地址、时间段和服务

5、(端口或协议类型)、用户等多种方式 匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域 Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务 器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问 。 当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可 以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作( permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC 地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(p

6、ermit/deny)。硬件包过滤 是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件 包过滤直接通过硬件实现,所以过滤速度更快。 9 早期包过滤防火墙采取的是“逐包检测”机制,即对设备收到的所有报文都根据包过 滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率,使 包过滤防火墙成为网络中的转发瓶颈。 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。“状态检测”机 制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文进行包过滤规则检 查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据 这个“状

7、态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。这个“状态”就 是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已 经成为目前主流的包过滤机制。 在防火墙一般是检查IP报文中的五个元素,又称为“五元组”,即源IP地址和目的IP地 址,源端口号和目的端口号,协议类型。通过判断IP数据报文报文的五元组,就可以判断 一条数据流相同的IP数据报文。 其中TCP协议的数据报文,一般情况下在三次握手阶段除了基于五元组外,还会计算 及检查其它字段。三次握手建立成功后,就通过会话表中的五元组对设备收到后续报文进 行匹配检测,以确定是否允许此报文通过。 10 可以看出,对于已

8、经存在会话表的报文的检测过程比没有会话表的报文要短很多。而 通常情况下,通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都 不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的 “逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速提 升。 对于TCP报文 开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文 ,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已老化),则予以 丢弃,也不会建立会话表项。 关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各 项安全机制的检查,都可

9、以为其建立会话表项。 对于UDP报文 UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要 通过各项安全机制的检查,都可以为其建立会话表项。 对于ICMP报文 开启状态检测机制时,没有对应会话的ICMP应答报文将被丢弃。 关闭状态检测机制时,没有对应会话的应答报文以首包形式处理 11 12 会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个 会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值,通过建立动态的会 话表提供域间转发数据流更高的安全性。 会话表包括五个元素: 源IP地址 源端口 目的IP地址 目的端口 协议号 13 d

10、isplay firewall session table verbose 用来显示系统当前的会话表项信息,verbose参数来控制是否显示详细的信息。 icmp 表示会话表的应用类型为ICMP协议。 trust untrust 表示从Trust区域到Untrust区域方向的流量建立的会话。 Interface 表示流量的出接口。 Nexthop 表示流量的下一跳地址。 packets 表示正向报文命中的会话数,即从Trust到Untrust方向的报文数。 107.229.15.100:1280 表示源IP地址和源端口 107.228.10.100:2048 表示目的IP地址和目的端口 res

11、et firewall session table 清除系统当前会话表项。 Reset Session表项操作得谨慎,因为会导致在运行业务中断。 15 域间缺省包过滤 当数据流无法匹配域间安全策略时,会按照域间缺省包过滤规则来转发或丢弃该 数据流的报文。 转发策略 转发策略是指控制哪些流量可以经过设备转发的域间安全策略,对域间(除 Local域外)转发流量进行安全检查,例如控制哪些Trust域的内网用户可以访问 Untrust域的Internet。 本地策略 本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身 的互访。 16 报文入站后,将首先匹配会话表,如果命中会话表

12、,将进入后续包处理流程,刷新会 话表时间,并直接根据会话表中的出接口,转发数据。 报文入站后,将首先匹配会话表,如果没有命中会话表,将进入首包包处理流程。依 次进行黑名单检查,查找路由表,匹配域间安全策略,新建会话表,转发数据。 黑名单的实现原理就是:设备上建立一个黑名单表。对于接收到的报文的源IP地址存 在于黑名单中,就将该报文予以丢弃。 黑名单分类: 静态黑名单 管理员可以通过命令行或Web方式手工逐个将IP地址添加到黑名单中。 动态黑名单 转发策略和缺省域间包过滤优先级 转发策略优先于缺省域间包过滤匹配。设备将首先查找域间的转发策略,如果没有找 到匹配项将匹配缺省包过滤进行处理。 刷新会

13、话表 刷新会话表主要是刷新会话表老化时间,老化时间决定会话在没有相应的报文匹配的 情况下,何时被系统删除。 转发策略的配置流程如图所示。 有两种思路来配置转发策略,根据需要选择。 思路1:对安全性要求不高,开放缺省转发策略,然后只把个别需要拒绝的流量 拒绝掉,出于安全性考虑不建议这种方式。 思路2:关闭缺省转发策略,然后根据需要配置严格的转发策略。 17 举例: policy interzone trust untrust outbound policy 0 action permit policy source 192.168.168.0 0.255.0.255 policy service

14、 service-set http 同一个域间包过滤策略视图下可以为不同的流量创建不同的策略。缺省情况下,越先 配置的策略,优先级越高,越先匹配报文。一旦匹配到一条Policy,就直接按照该Policy的 定义处理报文,不再继续往下匹配。各个policy之间的优先级关系可以通过命令进行调整 。 在包过滤策略视图下执行policy policy-id enable | disable ,启用或者禁用一条自定 义策略。 18 source-wildcard点分十进制格式的通配符。 例如:192.168.1.0 0.0.0.255,这里的0.0.0.255就是通配符。并且通配符的二进 制形式支持1不

15、连续,例如:0.255.0.255。 通配符转换为二进制后,为“0”的位 是匹配值(源IP)中需要匹配的位,为“1”的位表示不需要关注。0.0.0.255的二 进 制 形 式 是 00000000 00000000 00000000 11111111 , 所 以 源 IP 地 址 是 192.168.1.*的报文均能匹配到。 0通配符,表示主机。 mask mask-address 指定掩码。 点分十进制格式,形如255.255.255.0表示掩码长度为 24。 mask mask-len 指定掩码长度。 整数形式,取值范围是132。 address-set 指定地址集作为源IP地址。 可以指

16、定1256个地址集。 address-set-name 地址集名称。 字符串形式,不支持空格,支持除“-”、“?”和 “,”以外的任意字符,长度范围是131个字符,不能以数字开头。 range 指定源IP地址范围。 - begin-address 起始IP地址。 点分十进制格式。 end-address 结束IP地址。 点分十进制格式。 any 指定策略的源IP地址为任意IP地址。 - 19 20 举例: 192.168.10.0 0.0.0.255表示一个网段 192.168.10.1 0表示一个IP 为简化配置和维护,防火墙支持引用地址集和服务集。除了提升配置和维护效率外, 还使规则项更具可读性。 通过源/目的IP地址对流量进行控制时,可以将连续或不连续的地址加入地址集,然后 在策略或规则中引用。 通过流量的服务类型(端口或协议类型)对流量进行控制时,可以使用预定义的知名 服务集,也可以根据端口等信息创建自定义服务集,然后在策略或规

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号