目录
防火墙的工作模式
防火墙inbound和outbound
状态化信息
安全策略
防火墙最为一种安全设备被广泛使用与各种网络环境中,它在网络间起到隔离作用
防火墙的工作模式
华为防火墙有三种模式,路由模式、透明模式、混合模式
1.路由模式
如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置不同网段的IP地址,所以需要重新规划原有网络拓扑,此时防火墙首先是一台路由器,然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改(内部网络用户需要更高网关、路由器需要更改路由配置等)。
2.透明模式
如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作,只需要在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置;此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网。此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。
3.混合模式
如果华为防火墙存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。这种工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供双机热备份的特殊应用中,其他环境不太建议使用。
华为防火墙的区域划分
防火墙通过区域区分安全和不安全网络,在华为防火墙上安全区域或是一个或多个接口的集合,是防火墙区分与路由器的主要特性。
华为防火墙默认有4个区域,分别是local,trust、untrust、dmz。不同的区域拥有不同的受信优先级。防火墙根据这些区域的受信优先级来区分区域的保护级别。安全级别由1~100的阿拉伯数字来表示,数字越大,则代表该区域内的网络越可信。
trust区域:主要用于连接公司的内部网络 默认安全级别为 85。
untrust区域:定义为外部网络,安全级别为5,安全级别很低。untrust区域表示不受信任的区域,互连网上威胁较多,所以把internet等不安全网络划入该区域。
Dmz区域:非军事化区域, 在防火墙中通常定义为需要对外提供服务的网络,其安全性介于trust区域和untrust区域之间,安全级别为50
local区域:通常定义防火墙本身安全级别为100
其他区域:用户自定义的区域,默认最多定义16个区域,自定义区域没有默认优先级。
华为传统的防火墙默认情况下对从高优先级区域到低优先级区域方向的流量默认放行,但在最新的NGFW防火墙默认禁止一切流量。
防火墙inbound和outbound
不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向。
出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首个报文,安全策略一旦允许首个报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
状态化信息
防火墙对于数据流的处理,是针对首个报文在访问发起的方向检查安全策略,如果允许转发。同时将生成状态化信息-会话表,而后续的报文及返回的报文如果匹配到该会话表,将直接转发而不经过策略的检查,进而提高转发效率。
防火墙通过五元组来唯一的区分一个数据流,即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。
如果长时间没有报文匹配,则说明双方已经断开链接,不需要该会话了。此时防火墙会在一定时间后删除该会话。
安全策略
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首个报文,安全策略一旦允许首个报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
一条规则中,不需要配置所有的条件,可以指定一个或少数几个条件。如果配置规则的条件为源区域为Trust,目标区域为Untrust,而不配置其他条件,那就意味着其他条件为any,即源区域为Trust,目标区域为Untrust,用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则
条件中的各个元素如果在多条规则中重复调用,或者该元素本身包含多个相关内容,可以考虑配置为对象,对象可被多条规则调用。
动作是防火墙对于匹配的流量所采取的处理方式,包含允许、拒绝等。不同的策略可以选择不同的处理方式。如果处理方式是允许,那么还可以继续基于配置文件对报文做后续处理。
选项是规则的一些附加功能,如是否针对该规则记录日志、本条规则是否生效等。
区别与传统的安全策略,一体化策略具有以下特点:
策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
默认情况拒绝所有区域间的流量,包括Outbound流量。必须通过策略配置放行所需流量。
安全策略中的默认动作代替了默认包过滤。传统的防火墙的包过滤基于区域间的,只针对指定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许。
在USG系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间相互访问,都必须要配置安全策略,除非是同一区域报文传递。
同一域间或域内应用多条安全策略,那么防火墙在转发报文时,将按照配置安全策略规则的顺序从上到下依次匹配
华为防火墙有以下特点:
任何两个安全区域的优先级不能相同。
本域内不同接口间的报文不过滤直接转发。
接口没有加入域之前不能转发报文。
