中國專業(yè)IT外包服務

加入收藏??

公司微博

網站地圖??

IT外包價格計算器

您當前位置：主頁 > 資訊動態(tài) > 艾銻分享 >

網絡運維|防火墻技術

2020-04-30 21:13 作者：admin

網絡運維|防火墻技術

大家好，我是一枚從事IT外包的網絡運維工程師，今天和大家聊點安全方面的技術，這次咱們就聊一聊防火墻技術。

防火墻簡介

定義

防火墻（Firewall）是一種隔離技術，使內網和外網分開，可以防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，保護內網免受外部非法用戶的侵入。

目的

在大廈構造中，防火墻被設計用來防止火從大廈的一部分傳播到另一部分。網絡中的防火墻有類似的作用：
· 防止因特網的危險傳播到私有網絡。
· 在網絡內部保護大型機和重要的資源（如數(shù)據）。
· 控制內部網絡的用戶對外部網絡的訪問。

防火墻原理安全域的描述

安全區(qū)域

安全域是防火墻功能實現(xiàn)的基礎，防火墻的安全域包括安全區(qū)域和安全域間。
在防火墻中，安全區(qū)域（Security Zone），簡稱為區(qū)域（zone），是一個或多個接口的組合，這些接口所包含的用戶具有相同的安全屬性。每個安全區(qū)域具有全局唯一的安全優(yōu)先級。
設備認為在同一安全區(qū)域內部發(fā)生的數(shù)據流動是可信的，不需要實施任何安全策略。只有當不同安全區(qū)域之間發(fā)生數(shù)據流動時，才會觸發(fā)防火墻的安全檢查，并實施相應的安全策略。

安全域間

任何兩個安全區(qū)域都構成一個安全域間（Interzone），并具有單獨的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。
例如：配置了安全區(qū)域zone1和zone2，則在zone1和zone2的安全域間視圖中，可以配置ACL包過濾功能，表示對zone1和zone2之間發(fā)生的數(shù)據流動實施ACL包過濾。
在安全域間使能防火墻功能后，當高優(yōu)先級的用戶訪問低優(yōu)先級區(qū)域時，防火墻會記錄報文的IP、VPN等信息，生成一個流表。當報文返回時，設備會查看報文的IP、VPN等信息，因為流表里記錄有發(fā)出報文的信息，所以有對應的表項，返回的報文能通過。低優(yōu)先級的用戶訪問高優(yōu)先級用戶時，默認是不允許訪問的。因此，把內網設置為高優(yōu)先級區(qū)域，外網設置為低優(yōu)先級區(qū)域，內網用戶可以主動訪問外網，外網用戶則不能主動訪問內網。

基于安全域的防火墻的優(yōu)點

傳統(tǒng)的交換機/路由器的策略配置通常都是圍繞報文入接口、出接口展開的，隨著防火墻的不斷發(fā)展，已經逐漸擺脫了只連接外網和內網的角色，出現(xiàn)了內網/外網/DMZ（Demilitarized Zone）的模式。在這種組網環(huán)境中，傳統(tǒng)基于接口的策略配置方式給網絡管理員帶來了極大的負擔，安全策略的維護工作量成倍增加，從而也增加了因為配置引入安全風險的概率。
除了復雜的基于接口的安全策略配置，某些防火墻支持全局的策略配置，全局策略配置的缺點是配置粒度過粗，一臺設備只能配置同樣的安全策略，滿足不了用戶在不同安全區(qū)域或者不同接口上實施不同安全策略的要求，使用上具有明顯的局限性。
與基于接口和基于全局的配置相比，基于安全域的防火墻支持基于安全區(qū)域的配置方式，通過將接口加入安全區(qū)域并在安全區(qū)域域間配置安全策略，既降低了網絡管理員配置負擔，又能滿足復雜組網情況下針對安全區(qū)域實施不同攻擊防范策略的要求。

防火墻工作模式

為了增加防火墻組網的靈活性，設備不再定義整個設備的工作模式，而是定義接口的工作模式，接口的工作模式如下。

路由模式

當設備位于內部網絡和外部網絡之間，同時為設備與內部網絡、外部網絡相連的接口分別配置不同網段的IP地址，并重新規(guī)劃原有的網絡拓撲結構。
如圖1所示，規(guī)劃了2個安全區(qū)域：Trust區(qū)域和Untrust區(qū)域，設備的Trust區(qū)域接口與公司內部網絡相連，Untrust區(qū)域接口與外部網絡相連。
需要注意的是，Trust區(qū)域接口和Untrust區(qū)域接口分別處于兩個不同的子網中。
圖1 路由模式組網圖

當報文在三層區(qū)域的接口間進行轉發(fā)時，根據報文的IP地址來查找路由表。此時設備表現(xiàn)為一個路由器。但是，與路由器不同的是，設備轉發(fā)的IP報文還需要進行過濾等相關處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。除此之外，防火墻還需要完成其它攻擊防范檢查。