网络运维|防火墙技术
2020-04-30 21:13 作者:admin
网络运维|防火墙技术
大家好,我是一枚从事IT外包的网络运维工程师,今天和大家聊点安全方面的技术,这次咱们就聊一聊防火墙技术。
防火墙简介
定义
防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。
目的
在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络中的防火墙有类似的作用:
· 防止因特网的危险传播到私有网络。
· 在网络内部保护大型机和重要的资源(如数据)。
· 控制内部网络的用户对外部网络的访问。
防火墙原理安全域的描述
安全区域
安全域是防火墙功能实现的基础,防火墙的安全域包括安全区域和安全域间。
在防火墙中,安全区域(Security Zone),简称为区域(zone),是一个或多个接口的组合,这些接口所包含的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级。
设备认为在同一安全区域内部发生的数据流动是可信的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发防火墙的安全检查,并实施相应的安全策略。
安全域间
任何两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的防火墙配置都在安全域间视图下配置。
例如:配置了安全区域zone1和zone2,则在zone1和zone2的安全域间视图中,可以配置ACL包过滤功能,表示对zone1和zone2之间发生的数据流动实施ACL包过滤。
在安全域间使能防火墙功能后,当高优先级的用户访问低优先级区域时,防火墙会记录报文的IP、VPN等信息,生成一个流表。当报文返回时,设备会查看报文的IP、VPN等信息,因为流表里记录有发出报文的信息,所以有对应的表项,返回的报文能通过。低优先级的用户访问高优先级用户时,默认是不允许访问的。因此,把内网设置为高优先级区域,外网设置为低优先级区域,内网用户可以主动访问外网,外网用户则不能主动访问内网。
基于安全域的防火墙的优点
传统的交换机/路由器的策略配置通常都是围绕报文入接口、出接口展开的,随着防火墙的不断发展,已经逐渐摆脱了只连接外网和内网的角色,出现了内网/外网/DMZ(Demilitarized Zone)的模式。在这种组网环境中,传统基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。
除了复杂的基于接口的安全策略配置,某些防火墙支持全局的策略配置,全局策略配置的缺点是配置粒度过粗,一台设备只能配置同样的安全策略,满足不了用户在不同安全区域或者不同接口上实施不同安全策略的要求,使用上具有明显的局限性。
与基于接口和基于全局的配置相比,基于安全域的防火墙支持基于安全区域的配置方式,通过将接口加入安全区域并在安全区域域间配置安全策略,既降低了网络管理员配置负担,又能满足复杂组网情况下针对安全区域实施不同攻击防范策略的要求。
防火墙工作模式
为了增加防火墙组网的灵活性,设备不再定义整个设备的工作模式,而是定义接口的工作模式,接口的工作模式如下。
路由模式
当设备位于内部网络和外部网络之间,同时为设备与内部网络、外部网络相连的接口分别配置不同网段的IP地址,并重新规划原有的网络拓扑结构。
如图1所示,规划了2个安全区域:Trust区域和Untrust区域,设备的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连。
需要注意的是,Trust区域接口和Untrust区域接口分别处于两个不同的子网中。
图1 路由模式组网图
当报文在三层区域的接口间进行转发时,根据报文的IP地址来查找路由表。此时设备表现为一个路由器。但是,与路由器不同的是,设备转发的IP报文还需要进行过滤等相关处理,通过检查会话表或ACL规则以确定是否允许该报文通过。除此之外,防火墙还需要完成其它攻击防范检查。
防火墙应用在内外网之间
如图2所示,防火墙用在内外网络边缘处,防止外部网络对内部网络的入侵。对于使用私有地址的内部网络,可以通过NAT、ALG技术和防火墙技术结合,实现更进一步的安全防护。
图2 防火墙应用在内外网之间的示意图
防火墙在内部网络中的应用
如图3所示,防火墙用于内部网络中,主要是为了防止发自内部的攻击,保障重要数据的安全性。数据中心存储了大量的公司机密。这时,防火墙就需要配置严谨的策略以保护数据中心。
图3 防火墙应用在内部网络的示意图
以上文章由北京艾锑无限科技发展有限公司整理