HC120115027 华为防火墙技术基础
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为防火墙技术基础
版权所有© 2016 华为技术有限公司
前言
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势 从一个区域蔓延到另一个区域。引入到通信领域,防火墙这 一具体设备通常用于两个网络之间有针对性的、逻辑意义上 的隔离。当然,这种隔离是高明的,既能阻断网络中的各种 攻击又能保证正常通信报文的通过。
防火墙
Inbound Outbound
“安全域间”是两个安全区域之间的唯一“道路”; “安全策略”即在“道路”上设立的 “安全关卡”。
版权所有© 2016 华为技术有限公司
第18页
安全区域配置案例
Trust Host
ServerUntrust
Intranet 10.1.1.0/24
GE1/0/1 10.1.1.1/24
--- 1.1.1.10 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 0/6/15 ms
版权所有© 2016 华为技术有限公司
第23页
版权所有© 2016 华为技术有限公司
第2页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第3页
为什么需要防火墙
防火墙主要用于保护一个网络区域免受来自另一个网络 区域的网络攻击和网络入侵行为。
Trust Host
ServerUntrust
Intranet 10.1.1.0/24
GE1/0/1 10.1.1.1/24
FW
GE1/0/2 1.1.1.1/24
配置接口IP地址并将接口加入相应安全区域:
interface GigabitEthernet1/0/1 ip address 10.1.1.1 255.255.255.0
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第7页
防火墙的发展历史
版权所有© 2016 华为技术有限公司
第8页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
--- 1.1.1.10 ping statistics --5 packet(s) transmitted 0 packet(s) received 100.00% packet loss
版权所有© 2016 华为技术有限公司
第20页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
版权所有© 2016 华为技术有限公司
第22页
安全策略配置命令
Trust Host
Intranet 10.1.1.0/24
问题:为什么只配置了PC到Server单方向 的安全策略,就可以实现互通?
GE1/0/1 10.1.1.1/24
FW
GE1/0/2 1.1.1.1/24
ServerUntrust
背景 目的 核心技术 安全策略 对性能的影响 防攻击能力
防火墙
产生于人们对于安全性的需 求。
保证任何非允许的数据包 “不通”。
基于状态包过滤的应用级信 息流过滤。
默认配置即可以防止一些攻 击。
采用的是状态包过滤,规则 条数,NAT的规则数对性能 的影响较小。
具有应用层的防范功能。
路由器 基于对网络数据包路由而产生的。
版权所有© 2016 华为技术有限公司
第17页
安全域间、安全策略与报文流动的方向
Outbound Inbound
DMZ 50
Outbound Inbound
Inbound Outbound
Trust 85
Inbound Outbound
Local 100
Inbound Outbound
Untrust 5
版权所有© 2016 华为技术有限公司
பைடு நூலகம்第24页
状态检测和会话机制
PC 1.1.1.1
防火墙
Web服务器 2.2.2.2
1. PC访问Web服务器
允许通过
2. 建立会话
3. Web服务器回应PC
匹配会话
4. 允许通过
编号 1
源地址 1.1.1.1
源端口 *
目的地址 2.2.2.2
目的端口 80
动作 允许通过
问题:10.1.1.0/24网段的用户为什么无法ping通Server?
PC>ping 1.1.1.10
Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break Request timeout! Request timeout! Request timeout! Request timeout! Request timeout!
包过滤技术
PC 1.1.1.1
防火墙
Web服务器 2.2.2.2
编号 1 2
源地址 1.1.1.1 2.2.2.2
源端口 * 80
目的地址 2.2.2.2 1.1.1.1
目的端口 80 *
动作 允许通过 允许通过
实现包过滤的核心技术是访问控制列表。 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。
set priority 85 add interface GigabitEthernet1/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2
2. 配置安全策略
security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit
保持网络和数据的“通”。 路由器核心的ACL列表是基于简单 的包过滤。 默认配置对安全性的考虑不够周全。
进行包过滤会对路由器的CPU和 内存产生很大的影响。 普通路由器不具有应用层的防范功 能。
版权所有© 2016 华为技术有限公司
第6页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
如何使用防火墙保护网络免受攻击和入侵?如何对外隐藏企 业的内部网络?如何从应用层对用户的行为进行控制?这些 都是本课程所要讲述的内容。
版权所有© 2016 华为技术有限公司
第1页
目标
学完本课程后,您将能够:
掌握防火墙的基础知识与安全策略配置 掌握防火墙上NAT功能的原理与配置 掌握防火墙上攻击防范的原理与配置 掌握防火墙上应用行为控制的原理与配置
目的地址 目的端口
五元组
通过会话中的五元组信息可以唯一确定通信双方的一条连接。 防火墙将要删除会话的时间称为会话的老化时间。 一条会话表示通信双方的一个连接。多条会话的集合叫做会话表。
版权所有© 2016 华为技术有限公司
版权所有© 2016 华为技术有限公司
第13页
将接口划分到安全区域
安全区域B
3
1
安全区域A
2
防火墙
4 安全区域C
通过把接口划分到不同的安全区域中, 就可以在防火墙上划分出不同的网络。
版权所有© 2016 华为技术有限公司
第14页
默认安全区域:Trust、DMZ和Untrust
DMZ
3
1
Trust
第11页
为什么需要安全区域
DMZ
Trust 老板
服务器区
市场部
防火墙
Untrust
Marketing
研发部
生产部
Research
Manufacture
防火墙上如何来区分不同的网络呢?
版权所有© 2016 华为技术有限公司
第12页
安全区域
安全区域 接口
网络
防火墙通过安全区域来划分网络、标识报文流动的“路线”。
FW
GE1/0/2 1.1.1.1/24
如图所示,在一个测试用的网络环境中,NGFW作为安全网关。为了 使10.1.1.0/24网段的用户可以正常访问Server( 1.1.1.10 ),需要在 NGFW上配置安全区域。网络环境如图所示。
版权所有© 2016 华为技术有限公司
第19页
安全区域配置命令
版权所有© 2016 华为技术有限公司
第9页
华为防火墙产品
版权所有© 2016 华为技术有限公司
第10页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第21页
缺省包过滤
类型
源地址 源端口 目的地址 目的端口 动作
缺省包过滤
任意
允许/拒绝
如果防火墙域间没有配置安全策略,或查找安全策略时,所有的安全 策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝通过)。
版权所有© 2016 华为技术有限公司
第4页
防火墙与交换机、路由器对比
防火墙 控制报文转发 防攻击病毒木马
路由器 寻址和转发 保证网络互联互通
交换机 汇聚组建局域网 二/三层快速转发报文
×
路由器与交换机的本质是转发,防火墙的本质是控制。
版权所有© 2016 华为技术有限公司
第5页
防火墙和路由器实现安全控制的区别
10.1.1.0/24网段的用户可以ping通Server。
PC>ping 1.1.1.10
Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break From 1.1.1.10: bytes=32 seq=1 ttl=127 time<1 ms From 1.1.1.10: bytes=32 seq=2 ttl=127 time=15 ms From 1.1.1.10: bytes=32 seq=3 ttl=127 time=15 ms From 1.1.1.10: bytes=32 seq=4 ttl=127 time<1 ms From 1.1.1.10: bytes=32 seq=5 ttl=127 time<1 ms
2
如何表示防 火墙本身?
防火墙
4 Untrust
华为防火墙产品默认提供了Trust、DMZ 和Untrust三个安全区域。
版权所有© 2016 华为技术有限公司
第15页
Local区域
DMZ
1
Trust
2
3
Local 防火墙
4 Untrust
防火墙上提供了Local区域,代表防火墙本身。
版权所有© 2016 华为技术有限公司
1. 配置接口IP地址并将接口加入相应安全区域
interface GigabitEthernet1/0/1 ip address 10.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0 # firewall zone trust
第16页
安全区域、受信任程度与安全级别
安全区域 Local Trust DMZ Untrust
安全级别 100
说明 设备本身,包括设备的各接口本身。
85
通常用于定义内网终端用户所在区域。
50
通常用于定义内网服务器所在区域。
5
通常用于定义Internet等不安全的网络。
受信任程度:Local > Trust > DMZ > Untrust
# interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0 # firewall zone trust
set priority 85 add interface GigabitEthernet1/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2
如果规则允许通过,状态检测防火墙会将属于同一连接的所有报文作为
一个整体的数据流(会话)来对待。
版权所有© 2016 华为技术有限公司
第25页
会话表项中的五元组信息
会话表项:
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
协议
源地址 源端口
版权所有© 2016 华为技术有限公司
前言
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势 从一个区域蔓延到另一个区域。引入到通信领域,防火墙这 一具体设备通常用于两个网络之间有针对性的、逻辑意义上 的隔离。当然,这种隔离是高明的,既能阻断网络中的各种 攻击又能保证正常通信报文的通过。
防火墙
Inbound Outbound
“安全域间”是两个安全区域之间的唯一“道路”; “安全策略”即在“道路”上设立的 “安全关卡”。
版权所有© 2016 华为技术有限公司
第18页
安全区域配置案例
Trust Host
ServerUntrust
Intranet 10.1.1.0/24
GE1/0/1 10.1.1.1/24
--- 1.1.1.10 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 0/6/15 ms
版权所有© 2016 华为技术有限公司
第23页
版权所有© 2016 华为技术有限公司
第2页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第3页
为什么需要防火墙
防火墙主要用于保护一个网络区域免受来自另一个网络 区域的网络攻击和网络入侵行为。
Trust Host
ServerUntrust
Intranet 10.1.1.0/24
GE1/0/1 10.1.1.1/24
FW
GE1/0/2 1.1.1.1/24
配置接口IP地址并将接口加入相应安全区域:
interface GigabitEthernet1/0/1 ip address 10.1.1.1 255.255.255.0
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第7页
防火墙的发展历史
版权所有© 2016 华为技术有限公司
第8页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
--- 1.1.1.10 ping statistics --5 packet(s) transmitted 0 packet(s) received 100.00% packet loss
版权所有© 2016 华为技术有限公司
第20页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
版权所有© 2016 华为技术有限公司
第22页
安全策略配置命令
Trust Host
Intranet 10.1.1.0/24
问题:为什么只配置了PC到Server单方向 的安全策略,就可以实现互通?
GE1/0/1 10.1.1.1/24
FW
GE1/0/2 1.1.1.1/24
ServerUntrust
背景 目的 核心技术 安全策略 对性能的影响 防攻击能力
防火墙
产生于人们对于安全性的需 求。
保证任何非允许的数据包 “不通”。
基于状态包过滤的应用级信 息流过滤。
默认配置即可以防止一些攻 击。
采用的是状态包过滤,规则 条数,NAT的规则数对性能 的影响较小。
具有应用层的防范功能。
路由器 基于对网络数据包路由而产生的。
版权所有© 2016 华为技术有限公司
第17页
安全域间、安全策略与报文流动的方向
Outbound Inbound
DMZ 50
Outbound Inbound
Inbound Outbound
Trust 85
Inbound Outbound
Local 100
Inbound Outbound
Untrust 5
版权所有© 2016 华为技术有限公司
பைடு நூலகம்第24页
状态检测和会话机制
PC 1.1.1.1
防火墙
Web服务器 2.2.2.2
1. PC访问Web服务器
允许通过
2. 建立会话
3. Web服务器回应PC
匹配会话
4. 允许通过
编号 1
源地址 1.1.1.1
源端口 *
目的地址 2.2.2.2
目的端口 80
动作 允许通过
问题:10.1.1.0/24网段的用户为什么无法ping通Server?
PC>ping 1.1.1.10
Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break Request timeout! Request timeout! Request timeout! Request timeout! Request timeout!
包过滤技术
PC 1.1.1.1
防火墙
Web服务器 2.2.2.2
编号 1 2
源地址 1.1.1.1 2.2.2.2
源端口 * 80
目的地址 2.2.2.2 1.1.1.1
目的端口 80 *
动作 允许通过 允许通过
实现包过滤的核心技术是访问控制列表。 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。
set priority 85 add interface GigabitEthernet1/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2
2. 配置安全策略
security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit
保持网络和数据的“通”。 路由器核心的ACL列表是基于简单 的包过滤。 默认配置对安全性的考虑不够周全。
进行包过滤会对路由器的CPU和 内存产生很大的影响。 普通路由器不具有应用层的防范功 能。
版权所有© 2016 华为技术有限公司
第6页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
如何使用防火墙保护网络免受攻击和入侵?如何对外隐藏企 业的内部网络?如何从应用层对用户的行为进行控制?这些 都是本课程所要讲述的内容。
版权所有© 2016 华为技术有限公司
第1页
目标
学完本课程后,您将能够:
掌握防火墙的基础知识与安全策略配置 掌握防火墙上NAT功能的原理与配置 掌握防火墙上攻击防范的原理与配置 掌握防火墙上应用行为控制的原理与配置
目的地址 目的端口
五元组
通过会话中的五元组信息可以唯一确定通信双方的一条连接。 防火墙将要删除会话的时间称为会话的老化时间。 一条会话表示通信双方的一个连接。多条会话的集合叫做会话表。
版权所有© 2016 华为技术有限公司
版权所有© 2016 华为技术有限公司
第13页
将接口划分到安全区域
安全区域B
3
1
安全区域A
2
防火墙
4 安全区域C
通过把接口划分到不同的安全区域中, 就可以在防火墙上划分出不同的网络。
版权所有© 2016 华为技术有限公司
第14页
默认安全区域:Trust、DMZ和Untrust
DMZ
3
1
Trust
第11页
为什么需要安全区域
DMZ
Trust 老板
服务器区
市场部
防火墙
Untrust
Marketing
研发部
生产部
Research
Manufacture
防火墙上如何来区分不同的网络呢?
版权所有© 2016 华为技术有限公司
第12页
安全区域
安全区域 接口
网络
防火墙通过安全区域来划分网络、标识报文流动的“路线”。
FW
GE1/0/2 1.1.1.1/24
如图所示,在一个测试用的网络环境中,NGFW作为安全网关。为了 使10.1.1.0/24网段的用户可以正常访问Server( 1.1.1.10 ),需要在 NGFW上配置安全区域。网络环境如图所示。
版权所有© 2016 华为技术有限公司
第19页
安全区域配置命令
版权所有© 2016 华为技术有限公司
第9页
华为防火墙产品
版权所有© 2016 华为技术有限公司
第10页
目录
1. 防火墙基础知识
为什么需要防火墙 防火墙的发展历史 华为防火墙产品 安全区域 安全策略
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
2. NAT 3. 攻击防范 4. 应用行为控制
版权所有© 2016 华为技术有限公司
第21页
缺省包过滤
类型
源地址 源端口 目的地址 目的端口 动作
缺省包过滤
任意
允许/拒绝
如果防火墙域间没有配置安全策略,或查找安全策略时,所有的安全 策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝通过)。
版权所有© 2016 华为技术有限公司
第4页
防火墙与交换机、路由器对比
防火墙 控制报文转发 防攻击病毒木马
路由器 寻址和转发 保证网络互联互通
交换机 汇聚组建局域网 二/三层快速转发报文
×
路由器与交换机的本质是转发,防火墙的本质是控制。
版权所有© 2016 华为技术有限公司
第5页
防火墙和路由器实现安全控制的区别
10.1.1.0/24网段的用户可以ping通Server。
PC>ping 1.1.1.10
Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break From 1.1.1.10: bytes=32 seq=1 ttl=127 time<1 ms From 1.1.1.10: bytes=32 seq=2 ttl=127 time=15 ms From 1.1.1.10: bytes=32 seq=3 ttl=127 time=15 ms From 1.1.1.10: bytes=32 seq=4 ttl=127 time<1 ms From 1.1.1.10: bytes=32 seq=5 ttl=127 time<1 ms
2
如何表示防 火墙本身?
防火墙
4 Untrust
华为防火墙产品默认提供了Trust、DMZ 和Untrust三个安全区域。
版权所有© 2016 华为技术有限公司
第15页
Local区域
DMZ
1
Trust
2
3
Local 防火墙
4 Untrust
防火墙上提供了Local区域,代表防火墙本身。
版权所有© 2016 华为技术有限公司
1. 配置接口IP地址并将接口加入相应安全区域
interface GigabitEthernet1/0/1 ip address 10.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0 # firewall zone trust
第16页
安全区域、受信任程度与安全级别
安全区域 Local Trust DMZ Untrust
安全级别 100
说明 设备本身,包括设备的各接口本身。
85
通常用于定义内网终端用户所在区域。
50
通常用于定义内网服务器所在区域。
5
通常用于定义Internet等不安全的网络。
受信任程度:Local > Trust > DMZ > Untrust
# interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0 # firewall zone trust
set priority 85 add interface GigabitEthernet1/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2
如果规则允许通过,状态检测防火墙会将属于同一连接的所有报文作为
一个整体的数据流(会话)来对待。
版权所有© 2016 华为技术有限公司
第25页
会话表项中的五元组信息
会话表项:
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
协议
源地址 源端口