防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程
一、安全策略匹配机制
简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
在配置安全策略的时候简历把精细的策略写到前面,没那么精细的策略放到后面,否则可能会先命中粗略的策略,进而报文匹配不到精细的策略,无法实现我们的需求。
二、什么是防火墙转发策略
防火墙转发策略是指控制哪些流量可以经过设备转发的域间安全策略。防火墙通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息的安全性。在这个过程中,防火墙会对域间(除Local域外)转发流量进行安全检查,例如控制哪些内网用户可以访问Internet。
防火墙转发策略的核心作用是根据一定规则对流量进行筛选,由动作来确定下一步操作。具体来说,防火墙会对收到的流量进行检测,识别流量的属性,如源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段等。然后,根据这些属性和预设的安全策略,防火墙决定是否转发、丢弃或执行其他操作。
防火墙的转发策略对于确保计算机网络运行的安全性至关重要。通过精心配置防火墙的安全策略,可以隔离并保护内部网络免受潜在的安全威胁,同时记录与检测网络中的各项活动,为用户提供更安全、更可靠的计算机网络使用体验。
三、什么是防火墙安全区域
防火墙安全区域(Security Zone)是防火墙功能实现的基础之一,它是一个逻辑概念,代表一个或多个接口的集合。这些接口所包含的用户具有相同的安全属性。防火墙通过安全区域来划分网络,并标识报文流动的“路线”。每个安全区域具有全局唯一的安全优先级。
在防火墙的配置中,设备认为在同一安全区域内部发生的数据流动是可信的,因此不需要实施任何安全策略。然而,当不同安全区域之间发生数据流动时,防火墙会触发安全检查,并根据预定义的安全策略来实施相应的安全控制。
安全区域的设置使得防火墙能够更有效地管理和控制网络流量,保护关键资源和信息免受潜在的网络攻击和威胁。通过合理划分安全区域并配置相应的安全策略,可以提高网络的整体安全性。
防火墙使用安全区域来区分一个网络是否安全,一般有4个默认的安全区域。
3.1 Local区域
Local表示本地,防火墙所有的接口都属于local区域。即使防火墙接口划分到了其他的安全区域,那么接口永远也属于local区域。
3.2 Trust区域
Trust为受信任的区域,一般会把防火墙连接内网的接口划分到trust区域。
3.3 DMZ区域
Dmz为非军事化区域。一般把连接到数据中心的接口划分到dmz区域。这个区域的信任程度优于untrust,次于trust。因为服务器是内部的设备认为是可信的,可是服务器又会有让外网用户访问的需求,所以把dmz区域定义为中等信任的区域。
3.4 Untrust区域
Untrust为不受信任的区域,由于Internet非常不安全,所以一般把连接Internet的接口划分到untrust区域。
每个安全区域都会有一个优先级,默认安全区域优先级从高到低为:local>trust>dmz>untrust
防火墙除了以上4个默认的安全区域之外,用户还可以根据自己的需求自行创建安全区域,创建的安全区域需要设置安全区域优先级,优先级不可以和已有的安全区域优先级相同。
四、什么是防火墙域间转发
默认情况下,相同安全区域之间的网络可以相互通信。例如,两台位于Trust区域的计算机可以互相访问。
但是,如果需要不同安全区域之间的通信(例如,Trust区域与Untrust区域之间),默认情况下是被隔离的。
为了实现不同安全区域之间的通信,需要配置安全策略。
安全策略由匹配条件(例如五元组、用户、时间段等)和动作组成,用于控制流量。当防火墙收到流量时,会根据安全策略的匹配条件对流量进行识别和匹配。
例如,可以创建一条安全策略,允许从Trust区域访问Untrust区域的流量,从而实现不同安全区域之间的通信。
五、报文转发的流程
如果防火墙接收到一个数据包,那么会根据下面的流程进行处理:
如果报文从某个接口接收到或者准备从这个接口发送出去的时候,检查这个接口是否加入了安全区域,如果这个接口并没有加入任何的安全区域,那么这个直接把这个报文丢弃;如果该接口已经加入了安全区域,解析报文的目的IP地址在防火墙的路由表是否可以查询到对应的出接口,如果查询不到也是直接丢弃;如果有路由则查询防火墙的会话表,如果会话表有匹配的条目那么可以直接根据会话表进行转发,就不需要匹配安全策略了,如果会话表没有,那么就需要匹配安全策略了!
希望对您有用,有不对的地方希望不吝赐教,欢迎在评论区留言,分享你的看法。
