华为Eudemon防火墙基础概念、技术、工作模式

防火墙基本概念－－多通道协议
多通道协议 是指某个应用在进行通讯或提供服务时需要建立两个以上的会话 （通道），其中有一个控制通道，其他的通道是根据控制通道中 双方协商的信息动态创建的，一般我们称之为数据通道或子通道； 多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理， 因为数据通道的端口是不固定的（协商出来的）其报文方向也是 不固定的
接口2
DMZ区域
接口1
Untrust区域 Local区域
Trust区域
接口3
防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域
防火墙基本概念——安全区域 （Zone）续
Eudemon防火墙上预定义了4个安全区域：本地区域Local（指 防火墙本身）、受信区域Trust、非军事化区域DMZ （Demilitarized Zone）、非受信区域Untrust，用户可以根据需 要自行添加新的安全区域
Server
DMZ 区域 LAN
接口2
Trust 区域
Internet
Untrust 区域
Local 区域
外部网络
接口 1
接口3
PC LAN
PC
内部网络
根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域
防火墙基本概念——安全区域（Zone） 配置
- # 系统预定义的安全区域（例如trust、local、dmz和untrust），这些区域具有
Port 192,168,0,1,89,3
200 Port Command OK
200 Port Command OK
RETR Sample.txt
RETR Sample.txt
150 Opening ASCII connection
150 Opening ASCII connection
SYN
SYN
<Eudemon> reset firewall session table 配置会话表老化时间
[Eudemon] firewall session aging-time syn 20 注：有了动态创建的会话表后，会话表就成为了一个 资源，为避免资源耗尽防火墙上的会话表都有老化时 间，根据应用的不同可以单独设定；在指定的时间内 没有报文通过的话会话表就会被老化掉，该机制在一 些特殊的长连接应用中得注意
域间（InterZone）： 防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间 形成域间关系，Eudemon防火墙上大部分规则都是配置在域间上，为了 便于描述同时引入了域间方向的概念：
inbound ： 报文从低优先级区域进入高优先级区域为入方向；
outbound ： 报文从高优先级区域进入低优先级区域为出方向 ；
确定的安全级别，无需自行配置，可以通过如下命令进入。
[Eudemon] firewall zone trust [Eudemon-zone-trust]
- # 创建新的自定义安全区域，需要该区域的安全优先级；
[Eudemon] firewall zone name newzone [Eudemon-zone-newzone] set priority 30 注：如果没有配置安全优先级则该域不能工作，另外两个域的安全优先级不能 相同
C -------->SYN-------> S 创建Session/TACL
C <------SYN/ACK<----- S .
C -------->ACK-------> S .
............
更新Session/匹配TACL
............
检测应用层状态转换
............
防火墙基本概念－－服务表项 （ServerMap）
相关命令 查看ServerMap表项： [Eudemon] display firewall servermap 删除ServerMap表项（注：防火墙上没有单独的删除命令，在执行删除会话表的时候
同时删除ServerMap表项）： <Eudemon> reset firewall session table
多通道协议的典型应用 这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和 视频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、 SIP、MGCP，此外许多实时聊天通讯软件也是多通道协议的，如 MSN，QQ，ICQ等
ASPF基本工作原理
主要技术 检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个 会话可以认为是一个TCP连接。 状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送 报文，并检测会话状态的转换是否正确。状态表在检测到第一个外发报文时 创建（对于TCP，检测到SYN报文）。 临时访问控制表项在创建状态表项的时候同时创建，会话结束后删除，相当 于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。 对于处于半开连接状态的会话（TCP SYN），还创建半开连接表项。
数据通道由控制通道协商建立
影响状态机的指令： USER PASS QUIT PORT PASV
对返回报文作根据协议类型做相应 匹配检查，检查将根据相应协议的 状态表和临时ACL决定报文是否允
许通过
ASPF 对多通道协议的支持－－图
例
防火墙创建Servermap表项
三次握手
三次握手
Port 192,168,0,1,89,3
- # 接口加入到域，
[Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 1/0/0 注：如果接口没有加入域的话该接口将不能转发不报文，同样对于虚接口、虚 模板、子接口也是如此
防火墙基本概念－－域间（InterZone）
说明： 安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同
安全区域的接口之间的信息流根据配置的安全策略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。
防火墙基本概念－－域间 （InterZone配置）
DMZ区域
接口2
Untrus t区域 外部网络
接口1
11 12
防火墙基本概念－－服务表项 （ServerMap）
ServerMap
防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能， 即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换 规则——ServerMap表项，这样数据通道报文才能正常通过防火 墙或者进行正确的Nat转换，这才能保证多通道协议业务的正常。
.
C <------->FIN<------> S .
C <----->FIN/ACK<----> S 删除Session/TACL
对于UDP应用：检测到第一个报文认为发起连接，检测到第一个返回报 文认为连接建立,Session/TACL的删除取决于空闲超时。
ASPF基本工作原理－－多通道协
例：FTP报文处理
防火墙基本概念－－会话
会话
（Session）
会话是状态防火墙的基础，每一个通过防火墙的会话都会在防 火墙上建立一个会话表项，以五元组（源目的IP地址、源目的 端口、协议号）为Key值；通过建立动态的会话表来可以提供 高优先级域更高的安全性，即如下图所示高优先级域可以主动 访问低优先级域，反之则不能够；防火墙通过会话表还能提供 许多新的功能，如加速转发，基于流的等价路由，应用层流控 等。
华为 Eudemon 防火墙基础
适用于初学者
声明：资料来自网络
防火墙相关概念及技术介绍
防火墙基本概念——安全火墙上引入的一个重要的逻辑概念；通过将接口加入域 并在安全区域之间启动安全检查（称为安全策略），从而对流 经不同安全区域的信息流进行安全过滤。常用的安全检查主要 包括基于ACL和应用层状态的检查
控基于连接的应用层协议状态。对于所有连接，每一个连接 状态信息都将被ASPF维护并用于动态地决定数据包是否被 允许通过防火墙或丢弃。
- ASPF不仅能够根据连接的状态对报文进行过滤还能够对应
用层报文的内容加以检测，以对一部分攻击加以检测和防范。
监视通信过程中的报文
动态创建和删除过滤规则
丰富的ASPF功能保证开展业务时安全性得到保证。
接收报文报文分类标记queue0queue1queue2queuenredwredsared拥塞检测避免队列调度fifopqcqwfqcbwfq令牌流量整形丢弃丢弃继续发送令牌筒出接口入接口gts源地址目的地址源端口目的端口协议类型tos拥塞管理internet个人用户个人用户个人用户个人用户资源服务器传统流量模型internet个人用户个人用户个人用户个人用户资源服务器p2p流量模型防火墙基本概念p2p技术概intel将p2p技术定义为通过系统间的直接交换达成计算机资源与信息的共享这些资源与服务包括信息交换处理器时钟缓存和磁盘空间等有别于过去clientserver模型可以直接从网络上数以亿计的电脑中下载资料pc可同时扮演client与server角色对等网络p2p技术是目前国际计算机网络技术领域研究的一个热点被财富杂志誉为将改变互联网未来的四大新技术之一宽带用户宽带用户网吧ispeudemon可以采用透明模式接入到网络不会影响到网络的拓扑宽带用户宽带用户网吧的p2p总流量白天不超过1m00
NAT地址转换的基本过程
PC 202.130.10.3
状态防火墙上NAT 对多通道协议
的支持
防火墙创建Servermap表项
ASPF技术
- ASPF（Application Specific Packet Filter）增强VRP平台上
的防火墙功能，提供针对应用层的报文过滤功能，类似于 Cisco基于报文上下文状态的访问控制技术（Context-based Access Control, CBAC）。
- ASPF是一种高级通信过滤。它检查应用层协议信息并且监
Eudemon 200防火墙对于一个流只建立一个Session表，而
Eudemon 1000会建立2个。 用户A初始化一个telnet会话 创建Session表项
其它telnet报文被阻塞
用户A的telnet会话返回报文被允许
防火墙基本概念－－会话（Session）相 关命令
查看会话表项
[Eudemon] display firewall session table 删除会话表项
防火墙基本概念－－NAT
NAT（Network Address Translation，地址转换）是将IP数据报报头 中的IP地址转换为另一个IP地址的过程
PC 192.168.1.3
数据报1： 源：192.168.1.3 目的：202.120.10.2
数据报1： 源：202.169.10.1 目的：202.120.10.2
192.168.0.1:22787
192.168.0.1:2278 7
用户 192.168.0.1
Eudemon防火墙
检测Servermap表项，创建 临时规则，打开FTP通道
FTP server 19.49.10.10
ASPF可以针对某些多通道协议（例如FTP）报文中的内容动态决定是否允许其通过防火墙。
议
检查接口上的外发IP报文，确认为
基于TCP的FTP报文
ftp指令和应答
FTP 控制通道连接
server
port指令
FTP client
数据通道连接
检查端口号确认连接为控制连接， 建立返回报文的临时ACL和状态表
检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果 包含数据通道建立指令，则创建另 外的数据连接的临时ACL，对于数 据连接，不进行状态检测
Trust
Eudemon
Untrust
Eth0/0/0 192.168.1.1
Eth0/0/0 202.169.10.1
Server 202.120.10.2
Internet
Server 192.168.1.2
数据报2： 源：202.120.10.2 目的：192.168.1.3
数据报2：
源：202.120.10.2 目的：202.169.10.1
ServerMap的实质
ServerMap表项本质上是一个三元组表项，五元组表项过于严格， 导致多通道协议不能通过防火墙，因为多通道协议再没有子通 道报文通过的时候，并不知道完整的5元组信息，只能预测到3 元组信息。
ServerMap表项就是用在NAT ALG、ASPF当中，满足多通道协议 通过防火墙设计的一个数据结构。
1 2
Local 区域
7 8 3
4
5 6
10 9
Eudem on
接口3
Trus t区域 内部网络
# 在Trust和Untrust区域间出方向（上图中箭头3所示）上应用安全策 略（例如ACL3101规则）。 [Eudemon] firewall interzone untrust trust [Eudemon-interzone-trust-untrust] packet-filter 3101 outbound 注：在防火墙上包过滤规则，Nat outbound等只能配置在域间
ASPF基本工作原理－－单通道协议
基于应用层连接状态的动态包过滤
用户A
用户A初始化一个telnet会话
创建Session表项 用户A的telnet会话返回报文被允许
其它telnet报文被阻塞 创建TACL表项
受保护的内部网络
防火墙
ASPF基本工作原理－－单通道协议
单通道协议处理
标准的TCP应用：例如SMTP，HTTP。