哈喽!大家好,又来给大家更新内容了。快来搬小板凳敲黑板吧。
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。
本期我们一起来总结下防火墙的配置,非常全面,以华为为例。
防火墙的相关知识
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实际防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目的是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。 许多传统风格的企业和数据中心都制定了计算机安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Int-ernet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。 最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、 whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。 一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。 防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸的是,对于这些人来说,一盘磁带可以很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。 防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费 PostScript阅读器的这类攻击。 对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。 尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。 首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。 第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。 第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。 出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与内部网络之间存在的静态传输路由服务,因此基于这一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。 需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
华为防火墙配置防火墙的分类
目前防火墙主要分为三种,包过滤、应用代理、状态监测
包过滤防火墙:现在静态包过滤防护墙市面上已经看不到了,取而代之的是动态包过滤技术的防火墙。
代理防火墙:因为一些特殊的报文可以轻松突破包过滤防火墙的保护,比如SYN攻击、ICMP洪水攻击,所以代理服务器作为专门为用户保密或者突破访问权限的数据转发通道应用防火墙出现了。其实是用了一种应用协议分析的新技术。
状态监测防火墙:基于动态包过滤发展而来,加入了一种状态监测的模块,近一点发展会话过来功能,会话状态的保留是有时间限制的。
1.防火墙的工作模式
路由模式:如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下。
透明模式:如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。
混合模式:如果华为防火墙既存在工作在路由模式的接口(接口具有IP地址) 又存在工作在透明模式的接口(接口无P地址) 则防火墙工作在混合模式下。
2.华为防火墙的安全区域划分
在学习防护墙之前先要了解关于安全区域的概念,安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。
华为防火墙默认情况下提供了三个安全区域,分别是Trust、DMZ和Untrust,光从名字看就知道这三个安全区域很有内涵。
Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高。
DMZ区域:在防火墙中通常定义为需要对外提供服务的网络,其安全性介于Trust区域和Untrust区域之 间优先级为50,安全等级为中等
Untrust区域:通常定义外部网络,优先级功5,安全级别很低,Untrust区域表示不受信任的区域。
Local区域:通常定义防火墙本身,优先级为100。防火墙除了转发区域之间的报文之外还需要自身接收或发送流量。
其他区域:用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定。
防火墙有多种部署模式,每个部署模式适用于不同的应用场景。主要的应用场景分为以下几种:
1、部署透明模式
适用于用户不希望改变现有网络规划和配置的场景。透明模式中,防火墙是“不可见的”,不需配置新的IP地址,只利用防火墙做安全控制。
2、部署路由模式
适用于需要防火墙提供路由和NAT功能的场景。路由模式中,防火墙连接不同网段的网络,通常为内部网络和互联网,且防火墙的每一个接口都分配IP地址。
3、部署混合模式
如果防火墙在网络中既有二层接口,又有三层接口,那么防火墙就处于混合模式。
4、部署旁路(Tap)模式
用户希望使用防火墙的监控、统计、入侵防御功能,暂时不将防火墙直连在网络里,可以选用旁路模式。
3.防火墙Inbound和Outbound
入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向 。出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
1.Telnet管理方式及配置
(1)配置初始管理密码
(2)配置防火墙的接口IP地址
(3)打开防火墙的Telnet功能
(4)配置防火墙允许远程管理
(5)将防火墙接口GigabitEthernet0/0/0加入安全区域
(6)将接口加入安全区域
(7)将防火墙配置于间包过滤,以保证网络基本通信正常
(8)配置认证模式及本地用户信息
(9)测试从telnet登录防火墙,首次登录需要修改密码,然后再重新用新密码连接
2.配置Web方式登录设备
由于华为防护墙管理口默认地址是192.168.0.1。由于我这里使用的模拟器,我需要把地址改成和我物理机地址同一个网段才行。
通过上图可以看到GE0/0/0是防火墙的管理口。执行如下命令修改IP地址。
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.56.12 24
[USG6000V1-GigabitEthernet0/0/0]
然后通过浏览器访问
https://192.168.56.12:8443。
3.配置SSH方式登录设备
4.配置安全策略
(1)让内部的pc1可以ping通外部的主机
查看会话
(2)让外部的主机可以访问dmz中的ftp,http以及ping
1.NAT分类
(1)、NAT No- PAT:类似于Cisco的动态转换,只转换源IP地址不转换端口,属于多对多转换。(2)、NAPT(网络地址和端口转换) :类似于Cisco 的PAT转换,NAPT既转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换。(3)、出接口地址(Easy-IP):和NAPT— 样,既转换源IP地址又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对—转换。(4)、Smart NAT (智能转换):通过预留一个公网地址进行NAPT转换而其他的公网地址用来进行NAT No-PAT转换。(5)、三元组NAT:与源IP地址源端口和协议类型有关的—种转换,将源IP地址和源端口转换为固定公网IP地址和端口。
2.NAT配置
(1)NAT No- PAT方式的地址转换
配置网络参数及路由
配置安全策略
配置NAT地址组
配置NAT策略
针对转换后的全局地址(NAT地址组中的地址)配置黑洞路由
(2)出接口地址(easy-ip)方式的地址转换,之前同上,配置NAT策略
3.NAT Server
配置网络参数及路由
配置安全策略
配詈FTP应用层检测(默认已开启)
配置 NAT Server
配置黑洞路由
查看名称为natpolicy的NAT策略
1双机热备配置
模式
(1)热备模式:同一时间只有一台防火场转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。(2)负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。
接口加入安全区域并配置安全策略
配置VRRP备份组
查看双机设备的状态信息
查看心跳接口状态
好了今天的分享就到这里,感谢你的持续关注,我们下期再会!
