目录
[2. 安全策略](#2. 安全策略)
安全域间是用来描述流量的传输通道,它是两个"区域"之间的唯一"道路"。如果希望对经过这条通
道的流量进行检测,就必须在通道上设立"关卡",如防火墙安全策略。
[3. 防火墙的发展史](#3. 防火墙的发展史)
[1. 传统防火墙的功能](#1. 传统防火墙的功能)
[2. IPS 与防火墙的深度集成](#2. IPS 与防火墙的深度集成)
[3. 应用感知与全栈可视化](#3. 应用感知与全栈可视化)
[4. 利用防火墙以外的信息,增强管控能力](#4. 利用防火墙以外的信息,增强管控能力)
[4. 状态检查详解](#4. 状态检查详解)
[6. ASPF技术](#6. ASPF技术)
1.防火墙的安全区域
在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为 " 可信任的 " ,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的" 策略 " 进行访问。
安全区域( Security Zone ):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的" 路线 " ,当报文在不同的安全区域之间流动时,才会触发安全检查。
Trust区域
网络的受信任程度高;通常用来定义内部用户所在的网络。
DMZ区域
网络的受信任程度中等;通常用来定义内部服务器所在的网络。
Untrust区域
网络的受信任程度低;通常用来定义 Internet 等不安全的网络。
Local区域
防火墙上提供的 Local 区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从 Local 区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local 区域接收。 Local 区域中不能添加任何接口,但防火墙上所有业务接口本身都属于Local 区域。由于 Local 区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与Local 区域之间的安全策略。例如 telnet登录、网页登录、接入 SNMP 网管等。
安全区域的受信任程度与优先级
安全区域都有一个唯一的优先级,用 1至100的数字表示,数字越大,则代表该区域内的网络越可信。(用户可以根据实际组网需要,自行创建安全区域并定义其优先级。)
**2.**安全策略
- 防火墙的基本作用是对进出网络的访问行为进行控制,保护特定网络免受"不信任"网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。
- 安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。
安全域间、安全策略与报文流动方向
安全域间是用来描述流量的传输通道,它是两个"区域"之间的唯一"道路"。如果希望对经过这条通
道的流量进行检测,就必须在通道上设立"关卡",如防火墙安全策略。
- 任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图;
- 安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
对于防火墙流量有俩种
- 穿过防火墙的
- 到达防火墙或从防火墙出发的
安全策略的匹配过程
防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过,可以创建安全策略。一般针对不同的业务流量,设备上会配置多条安全策略。
**3.**防火墙的发展史
包过滤防火墙**----访问控制列表技术---**三层技术
- 简单、速度慢
- 检查的颗粒度粗--5元组
代理防火墙**----中间人技术---**应用层
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
- 代理技术只能针对特定的应用来实现,应用间不能通用。
- 技术复杂,速度慢
- 能防御应用层威胁,内容威胁
状态防火墙**---会话追踪技术---**三层、四层
在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
- 首包机制
- 细颗粒度
- 速度快
**UTM---深度包检查技术----**应用层
统一威胁管理
把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
- 把原来分散的设备进行统一管理,有利于节约资金和学习成本
- 统一有利于各设备之间协作。
- 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
下一代防火墙
2008 年 Palo Alto Networks 公司发布了下一代防火墙( Next-Generation Firewall ),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年 Gartner(一家 IT 咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。Gartner把 NGFW 看做不同信任级别的网络之间的一个线速( wire-speed )实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner 认为, NGFW 必须具备以下能力:
**1.**传统防火墙的功能
NGFW 是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT 、 VPN 等。
2. IPS****与防火墙的深度集成
NGFW 要支持 IPS 功能,且实现与防火墙功能的深度融合,实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防火墙的" 集成 " 而不仅仅是 " 联动 " 。例如,防火墙应根据 IPS 检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS 的防火墙将更加智能。 Gartner 发现, NGFW 产品和独立 IPS 产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW 正在吸收独立 IPS 产品的市场。
**3.**应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是 NGFW 引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW 能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
**4.**利用防火墙以外的信息,增强管控能力
防火墙能够利用其他 IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。
**4.**状态检查详解
状态检测机制
状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
会话机制
防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录 TCP 、 UDP、 ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。
会话表项中的五元组信息
会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的
一个连接。
- 通过会话中的五元组信息可以唯一确定通信双方的一条连接;
- 防火墙将要删除会话的时间称为会话的老化时间;
- 一条会话表示通信双方的一个连接,多条会话的集合叫做会话表。
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。
例如:
- 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文;
- 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间
在以上的场景中,如果会话表项被删除,则对应的业务就会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题
5.防火墙配置策略
安全策略配置
安全策略工作流程
查询和创建会话
6. ASPF****技术
FTP 协议
主机之间传输文件是 IP 网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。
然而在互联网早期, Web ( World Wide Web ,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP ( File Transfer Protocol ,文件传输协议)以及TFTP ( Trivial File Transfer Protocol ,简单文件传输协议)。
FTP 采用典型的 C/S 架构(即服务器端与客户端模型),客户端与服务器端建立 TCP 连接之后即可实现文件的上传、下载。
针对传输的文件类型不同, FTP 可以采用不同的传输模式:
- ASCII模式:传输文本文件(TXT、LOG、CFG )时会对文本内容进行编码方式转换,提高传输效率。当传输网络设备的配置文件、日志文件时推荐使用该模式。
- Binary(二进制)模式:非文本文件(cc、BIN、EXE、PNG),如图片、可执行程序等,以二进制直接传输原始文件内容。当传输网络设备的版本文件时推荐使用该模式。这些文件无需转换格式即可传输。
FTP存在两种工作方式:主动模式(PORT)和被动模式(PASV)。
- 主动模式
- 被动模式
多于多通道协议比如 FTP 、 VOIP 等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表 。
解决办法,使用 ASPF 技术,查看协商端口号并动态建立 server-map 表放过协商通道的数据。
ASPF ( Application Specific Packet Filter ,针对应用层的包过滤)也叫基于状态的报文过滤, ASPF 功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则, 开启 ASPF 功能后, FW 通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map 表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的" 安全策略 " 。
通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的 Server-map 表,当数据通道的首包经过防火墙时,防火墙根据Server-map 生成一条 session ,用于放行后续数据通道的报文,相当于自动创建了一条精细的" 安全策略 " 。对于特定应用协议的所有连接,每一个连接状态信息都将被 ASPF 维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
Server-map 表与会话表的关系如下:
- Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
- 会话表是通信双方连接状态的具体体现;
- Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测。
防火墙接收报文的处理过程如图所示:防火墙收到报文先检查是否命中会话表;如果没有命中则检查是 否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命Server-map表的数据创建会话表
STUN类型协议与server-map****表
转发 QQ/MSN 等 STUN ( Simple Traversal of UDP over NATs , NAT 的 UDP 简单穿越)类型会生成的三元组Server-map 表项
要实现 QQ2 在外网主动向 QQ1 内网的语音或者视频连接,也需要防火墙对该应用采用 ASPF 的方式处理来监听协商端口。 MSN 等用户连接服务器时,设备会记录下用户的 IP 地址和端口信息,并动态生成 STUN 类型的 Server-map。这个 Server-map 表项中仅包含三元组信息,即通信一方的 IP 地址,端口号和协议号。这样其他用户可以直接通过该IP 和端口与该用户进行通信。只要有相关的流量存在, STUN 动态的 Server-map 就将一直存在。在所有相关流量结束后,Server-map 表开始老化。
抓包结果: