HC120115027--华为防火墙技术基础

版权所有©2016华为技术有限公司华为防火墙技术基础第1页版权所有©2016华为技术有限公司前言“防火墙”一词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然，这种隔离是高明的，既能阻断网络中的各种攻击又能保证正常通信报文的通过。如何使用防火墙保护网络免受攻击和入侵？如何对外隐藏企业的内部网络？如何从应用层对用户的行为进行控制？这些都是本课程所要讲述的内容。第2页版权所有©2016华为技术有限公司目标学完本课程后，您将能够：掌握防火墙的基础知识与安全策略配置掌握防火墙上NAT功能的原理与配置掌握防火墙上攻击防范的原理与配置掌握防火墙上应用行为控制的原理与配置第3页版权所有©2016华为技术有限公司目录1.防火墙基础知识为什么需要防火墙防火墙的发展历史华为防火墙产品安全区域安全策略2.NAT3.攻击防范4.应用行为控制第4页版权所有©2016华为技术有限公司为什么需要防火墙防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。第5页版权所有©2016华为技术有限公司防火墙与交换机、路由器对比交换机汇聚组建局域网二/三层快速转发报文防火墙控制报文转发防攻击病毒木马路由器寻址和转发保证网络互联互通×路由器与交换机的本质是转发，防火墙的本质是控制。第6页版权所有©2016华为技术有限公司防火墙和路由器实现安全控制的区别防火墙路由器背景产生于人们对于安全性的需求。基于对网络数据包路由而产生的。目的保证任何非允许的数据包“不通”。保持网络和数据的“通”。核心技术基于状态包过滤的应用级信息流过滤。路由器核心的ACL列表是基于简单的包过滤。安全策略默认配置即可以防止一些攻击。默认配置对安全性的考虑不够周全。对性能的影响采用的是状态包过滤，规则条数，NAT的规则数对性能的影响较小。进行包过滤会对路由器的CPU和内存产生很大的影响。防攻击能力具有应用层的防范功能。普通路由器不具有应用层的防范功能。第7页版权所有©2016华为技术有限公司目录1.防火墙基础知识为什么需要防火墙防火墙的发展历史华为防火墙产品安全区域安全策略2.NAT3.攻击防范4.应用行为控制第8页版权所有©2016华为技术有限公司防火墙的发展历史第9页版权所有©2016华为技术有限公司目录1.防火墙基础知识为什么需要防火墙防火墙的发展历史华为防火墙产品安全区域安全策略2.NAT3.攻击防范4.应用行为控制第10页版权所有©2016华为技术有限公司华为防火墙产品第11页版权所有©2016华为技术有限公司目录1.防火墙基础知识为什么需要防火墙防火墙的发展历史华为防火墙产品安全区域安全策略2.NAT3.攻击防范4.应用行为控制第12页版权所有©2016华为技术有限公司MarketingManufactureResearchUntrustDMZTrust为什么需要安全区域服务器区生产部研发部市场部老板防火墙防火墙上如何来区分不同的网络呢？第13页版权所有©2016华为技术有限公司安全区域接口安全区域网络防火墙通过安全区域来划分网络、标识报文流动的“路线”。第14页版权所有©2016华为技术有限公司将接口划分到安全区域12防火墙安全区域A安全区域B安全区域C34通过把接口划分到不同的安全区域中，就可以在防火墙上划分出不同的网络。第15页版权所有©2016华为技术有限公司默认安全区域：Trust、DMZ和Untrust如何表示防火墙本身？12防火墙TrustDMZUntrust34华为防火墙产品默认提供了Trust、DMZ和Untrust三个安全区域。第16页版权所有©2016华为技术有限公司Local区域Local12防火墙TrustDMZUntrust34防火墙上提供了Local区域，代表防火墙本身。第17页版权所有©2016华为技术有限公司安全区域、受信任程度与安全级别安全区域安全级别说明Local100设备本身，包括设备的各接口本身。Trust85通常用于定义内网终端用户所在区域。DMZ50通常用于定义内网服务器所在区域。Untrust5通常用于定义Internet等不安全的网络。受信任程度：LocalTrustDMZUntrust第18页版权所有©2016华为技术有限公司Local100安全域间、安全策略与报文流动的方向防火墙DMZ50Trust85Untrust5InboundInboundInboundInboundInboundOutboundOutboundOutboundOutboundOutboundInboundOutbound“安全域间”是两个安全区域之间的唯一“道路”；“安全策略”即在“道路”上设立的“安全关卡”。第19页版权所有©2016华为技术有限公司UntrustTrust安全区域配置案例如图所示，在一个测试用的网络环境中，NGFW作为安全网关。为了使10.1.1.0/24网段的用户可以正常访问Server（1.1.1.10），需要在NGFW上配置安全区域。网络环境如图所示。GE1/0/21.1.1.1/24GE1/0/110.1.1.1/24HostServerFWIntranet10.1.1.0/24第20页版权所有©2016华为技术有限公司UntrustTrustGE1/0/21.1.1.1/24GE1/0/110.1.1.1/24HostServerFWIntranet10.1.1.0/24安全区域配置命令配置接口IP地址并将接口加入相应安全区域：interfaceGigabitEthernet1/0/1ipaddress10.1.1.1255.255.255.0#interfaceGigabitEthernet1/0/2ipaddress1.1.1.1255.255.255.0#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/2PCping1.1.1.10Ping1.1.1.10:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!Requesttimeout!---1.1.1.10pingstatistics---5packet(s)transmitted0packet(s)received100.00%packetloss问题：10.1.1.0/24网段的用户为什么无法ping通Server？第21页版权所有©2016华为技术有限公司目录1.防火墙基础知识为什么需要防火墙防火墙的发展历史华为防火墙产品安全区域安全策略2.NAT3.攻击防范4.应用行为控制第22页版权所有©2016华为技术有限公司缺省包过滤如果防火墙域间没有配置安全策略，或查找安全策略时，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作（拒绝通过）。类型源地址源端口目的地址目的端口动作缺省包过滤任意允许/拒绝第23页版权所有©2016华为技术有限公司UntrustTrustGE1/0/21.1.1.1/24GE1/0/110.1.1.1/24HostServerFWIntranet10.1.1.0/24安全策略配置命令1.配置接口IP地址并将接口加入相应安全区域interfaceGigabitEthernet1/0/1ipaddress10.1.1.1255.255.255.0#interfaceGigabitEthernet1/0/2ipaddress1.1.1.1255.255.255.0#firewallzonetrustsetpriority85addinterfaceGigabitEthernet1/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/2PCping1.1.1.10Ping1.1.1.10:32databytes,PressCtrl_CtobreakFrom1.1.1.10:bytes=32seq=1ttl=127time1msFrom1.1.1.10:bytes=32seq=2ttl=127time=15msFrom1.1.1.10:bytes=32seq=3ttl=127time=15msFrom1.1.1.10:bytes=32seq=4ttl=127time1msFrom1.1.1.10:bytes=32seq=5ttl=127time1ms---1.1.1.10pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=0/6/15ms10.1.1.0/24网段的用户可以ping通Server。2.配置安全策略security-policyrulenamepolicy_sec_1source-zonetrustdestination-zoneuntrustsource-address10.1.1.024actionpermit问题：为什么只配置了PC到Server单方向的安全策略，就可以实现互通？第24页版权所有©2016华为技术有限公司包过滤技术实现包过滤的核心技术是访问控制列表。包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。PC1.1.1.1Web服务器2.2.2.2防火墙编号源地址源端口目的地址目的端口动作11.1.1.1*2.2.2.280允许通过22.2.2.2801.1.1.1*允许通过第25页版权所有©2016华为技术有限公司编号源地址源端口目的地址目的端口动作11.1.1.1*2.2.2.280允许通过状态检测和会话机制PC1.1.1.1Web服务器2.2.2.2防火墙1.PC访问Web服务器2.3.Web服务器回应PC4.允许通过建立会话匹配会话允许通过如果规则允许通过，状态检测防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。第26页版权所有©2016华为技术有限公司会话表项中的五元组信息httpVPN:public--public1.1.1.1:2049--2.2.2.2:80协议源地址源端口目的端口目的地址五元组通过会话中的五元组信息可以唯一确定通信双方的一条连接。防火墙将要删除会话的时间称为会话的老化时间。一条会话表示通信双方的一个连接。多条会话的集合叫做会话表。会话表项：第27页版权所有©2016华为技术有限公司UntrustTrustDMZ安全策略安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。规则的本质是包过滤。192.168.1.0/2410.1.1.0/24InboundOutbound×√第28页版权所有©2016华为技术有限公司内容安全一体化检测一体化检测是指对一条流量的内容只进行一次检测和处理，就能实现包括反病毒、入侵防御在内的内容安全功能。入侵防御检测处理反病毒检测处理URL过滤检测处理传统UTM产品……下一代防火墙一体化检测入侵防御处理反病毒处理URL过滤处理……入侵行为病毒URL……第29页版权所有©2016华为技术有限公司NGFW安全策略构成源安全区域目的安全区域源地址/地区目的地址/地区条件用户服务应用时间段允许拒绝动作反病毒入侵防御URL过滤文件过滤配置文件内容过滤应用行为控制邮件过滤安全策略流量第30页版权所有©2016华为技术有限公司源安全区域|目的安全区域|源地址（地区）|目的地址（地区）|用户