防火墻的原理及實(shí)現(xiàn)的功能 防火墻和路由器以及交換機(jī)的區(qū)別

前言

前面我們講解了什么是防火墻，18圖詳解防火墻和路由器、交換機(jī)的區(qū)別，今天繼續(xù)介紹下防火墻的基本原理，主要從安全區(qū)域、安全策略、會(huì)話表、server-map四個(gè)方面說(shuō)起。

安全區(qū)域

1、什么是安全區(qū)域

安全區(qū)域是防火墻中重要的概念，防火墻可以將不同的接口劃分到不同的安全區(qū)域。

一個(gè)安全區(qū)域可以說(shuō)就是若干個(gè)接口的集合，一個(gè)安全區(qū)域里面的接口具有相同的安全屬性。

如下圖所示：防火墻把不同的接口分成3個(gè)安全區(qū)域，出口區(qū)為untrust區(qū)域，內(nèi)網(wǎng)區(qū)分為trust區(qū)和DMZ區(qū)；

2、默認(rèn)安全區(qū)域

華為防火墻劃分了4個(gè)默認(rèn)的安全區(qū)域：

（1）受信區(qū)域（trust）：通過(guò)將內(nèi)網(wǎng)終端用戶所在區(qū)域劃分為trust區(qū)域；

（2）非受信區(qū)域（untrust）：通常將Internet等不安全的網(wǎng)絡(luò)劃分為untrust區(qū)域；

（3）非軍事化區(qū)域（dmz）：通常將內(nèi)網(wǎng)服務(wù)器所在區(qū)域劃分為DMZ區(qū)域；

（4）本地區(qū)域（local）：設(shè)備本身，包括設(shè)備的各接口本身；

由設(shè)備主動(dòng)發(fā)出的報(bào)文均可認(rèn)為是從Local區(qū)域中發(fā)出的；

如果需要設(shè)備響應(yīng)并處理的報(bào)文均可認(rèn)為是由local區(qū)域接收。

3、默認(rèn)安全區(qū)域優(yōu)先級(jí)

默認(rèn)的安全區(qū)域不能夠刪除，每個(gè)安全區(qū)域都設(shè)置了固定的優(yōu)先級(jí)。優(yōu)先級(jí)值越大，表示優(yōu)先級(jí)越高。

用戶也可以根據(jù)自己的需求創(chuàng)建安全區(qū)域；

4、不同安全區(qū)域間通信舉例

如上圖所示：

PC連接防火墻的G0/0/1口，防火墻將G0/0/1口劃分在trust區(qū)域；

運(yùn)營(yíng)商網(wǎng)絡(luò)連接防火墻的G0/0/2口，防火墻將G0/0/2劃分在untrust區(qū)域；

那么如果PC需要訪問(wèn)internet是否能夠通過(guò)防火墻呢？這個(gè)就和防火墻的安全策略有關(guān)。下面我們就來(lái)講下安全策略。

安全策略

1、什么是安全策略

安全策略是防火墻中對(duì)流量轉(zhuǎn)發(fā)、以及對(duì)流量中的內(nèi)容進(jìn)行安全一體化檢測(cè)的策略。

當(dāng)防火墻收到流量后，會(huì)對(duì)流量的屬性（包括五元組、用戶、時(shí)間段等）進(jìn)行識(shí)別，從而和安全策略進(jìn)行匹配，如果能夠匹配上，則執(zhí)行相應(yīng)的動(dòng)作。

如上圖所示：PC訪問(wèn)internet，匹配到防火墻安全策略，動(dòng)作為permit，因此流量可以通過(guò)防火墻。如果動(dòng)作為deny，則流量不能夠通過(guò)防火墻。

2、安全策略組成

安全策略由匹配條件、動(dòng)作、安全配置文件組成。

（1）匹配條件：

匹配條件包括五元組（源地址、目的地址、源端口、目的端口、協(xié)議）、VLAN、源安全區(qū)域、目的安全區(qū)域、用戶、時(shí)間段等

（2）動(dòng)作：

動(dòng)作包括允許和禁止。

如果動(dòng)作為“允許”：

如果沒(méi)有配置內(nèi)容安全檢測(cè)，則允許流量通過(guò)。

如果配置內(nèi)容安全檢測(cè)，最終根據(jù)內(nèi)容安全檢測(cè)的結(jié)論來(lái)判斷是否對(duì)流量進(jìn)行放行。

禁止：表示拒絕符合條件的流量通過(guò)。

如果動(dòng)作為“禁止”，防火墻不僅可以將報(bào)文丟棄；

還可以針對(duì)不同的報(bào)文類(lèi)型選擇發(fā)送對(duì)應(yīng)的反饋報(bào)文。發(fā)起連接請(qǐng)求的客戶端/服務(wù)器收到防火墻發(fā)送的阻斷報(bào)文后，可以快速結(jié)束會(huì)話并讓用戶感知到請(qǐng)求被阻斷。

（3）安全配置文件：

內(nèi)容安全檢測(cè)包括反病毒、入侵防御等，它是通過(guò)在安全策略中引用安全配置文件實(shí)現(xiàn)的。

如果其中一個(gè)安全配置文件阻斷該流量，則防火墻阻斷該流量。

如果所有的安全配置文件都允許該流量轉(zhuǎn)發(fā)，則防火墻允許該流量轉(zhuǎn)發(fā)。

3、安全策略匹配過(guò)程

防火墻的安全策略一般配置很多條，如果都可以匹配應(yīng)該優(yōu)先匹配哪一條呢?

安全策略的匹配按照策略列表順序執(zhí)行，從上往下逐條匹配，如果匹配了某條策略，將不再往下匹配。

因此，配置安全策略的順序很重要，需要優(yōu)先配置精確的安全策略，然后再配置粗略的安全策略。

系統(tǒng)默認(rèn)存在一條缺省安全策略default。

缺省安全策略位于策略列表的最底部，優(yōu)先級(jí)最低，所有匹配條件均為any，動(dòng)作默認(rèn)為禁止。如果所有配置的策略都未匹配，則將匹配缺省安全策略default。

會(huì)話表

1、什么會(huì)話表？

會(huì)話表用來(lái)記錄TCP、UDP、ICMP等協(xié)議連接狀態(tài)的表項(xiàng)，是防火墻轉(zhuǎn)發(fā)報(bào)文的重要依據(jù)；

那么什么是基于連接狀態(tài)轉(zhuǎn)發(fā)報(bào)文呢？防火墻基于“狀態(tài)”轉(zhuǎn)發(fā)報(bào)文：

（1）只對(duì)首包或者少量報(bào)文進(jìn)行檢測(cè)然后確認(rèn)一個(gè)連接狀態(tài)；（會(huì)話表）

（2）后續(xù)大量的報(bào)文根據(jù)連接狀態(tài)進(jìn)行控制；

會(huì)話表就記錄了大量的連接狀態(tài)；這種機(jī)制大大的提升了防火墻的檢測(cè)和轉(zhuǎn)發(fā)效率。

如上圖所示：客戶端PC1訪問(wèn)服務(wù)器PC2，PC1向PC2發(fā)起HTTP連接；

（1）PC1發(fā)送報(bào)文；

（2）首包達(dá)到防火墻，創(chuàng)建會(huì)話表項(xiàng)（如下）；防火墻會(huì)話表中標(biāo)示出“http”協(xié)議和連接信息，并識(shí)別出此流量在公共路由表中被轉(zhuǎn)發(fā)；

（3）防火墻放行報(bào)文；

（4）PC2回復(fù)報(bào)文；

（5）回復(fù)報(bào)文匹配防火墻會(huì)話；

（6）防火墻轉(zhuǎn)發(fā)報(bào)文；

2、會(huì)話表的創(chuàng)建

防火墻在開(kāi)啟狀態(tài)檢測(cè)情況下，只有首包會(huì)創(chuàng)建會(huì)話表項(xiàng)，后續(xù)報(bào)文匹配會(huì)話表即可轉(zhuǎn)發(fā)；

3、會(huì)話表老化時(shí)間

對(duì)于一個(gè)已經(jīng)建立的會(huì)話表表項(xiàng)，只有當(dāng)它不斷被報(bào)文匹配才有存在的必要。如果長(zhǎng)時(shí)間沒(méi)有報(bào)文匹配，則說(shuō)明可能通信雙方已經(jīng)斷開(kāi)了連接，不再需要該條會(huì)話表項(xiàng)了。

為了節(jié)約系統(tǒng)資源，系統(tǒng)會(huì)在一條表項(xiàng)連續(xù)未被匹配一段時(shí)間后，將其刪除，即會(huì)話表項(xiàng)已經(jīng)老化。

4、長(zhǎng)連接

對(duì)于某些特殊業(yè)務(wù)中，一條會(huì)話的兩個(gè)連續(xù)報(bào)文可能間隔時(shí)間很長(zhǎng)。

例如：

用戶通過(guò)FTP下載大文件，需要間隔很長(zhǎng)時(shí)間才會(huì)在控制通道繼續(xù)發(fā)送控制報(bào)文。

用戶需要查詢數(shù)據(jù)庫(kù)服務(wù)器上的數(shù)據(jù)，這些查詢操作的時(shí)間間隔遠(yuǎn)大于TCP的會(huì)話老化時(shí)間。

如果只靠延長(zhǎng)這些業(yè)務(wù)所屬協(xié)議的老化時(shí)間來(lái)解決這個(gè)問(wèn)題，會(huì)導(dǎo)致一些同樣屬于這個(gè)協(xié)議，但是其實(shí)并不需要這么長(zhǎng)的老化時(shí)間的會(huì)話長(zhǎng)時(shí)間不能得到老化。

這會(huì)導(dǎo)致系統(tǒng)資源被大量占用，性能下降，甚至無(wú)法再為其他業(yè)務(wù)建立會(huì)話。所以必須縮小延長(zhǎng)老化時(shí)間的流量范圍。

長(zhǎng)連接功能可以解決這一問(wèn)題。長(zhǎng)連接功能可以為這些特殊流量設(shè)定超長(zhǎng)的老化時(shí)間。

Server-map

1、為什么會(huì)出現(xiàn)server-map表？

由于會(huì)話表對(duì)哪些報(bào)文屬于同一條流量的標(biāo)準(zhǔn)過(guò)于嚴(yán)格，會(huì)導(dǎo)致一些特殊協(xié)議不能正確匹配會(huì)話表。

Server-map表可以解決這一問(wèn)題。

例如使用FTP協(xié)議的port方式傳輸文件時(shí)：

既需要客戶端主動(dòng)向服務(wù)器端發(fā)起控制連接；

又需要服務(wù)器端主動(dòng)向客戶端發(fā)起服務(wù)器數(shù)據(jù)連接；

如果設(shè)備上配置的安全策略為允許單方向上報(bào)文主動(dòng)通過(guò)，則FTP文件傳輸不能成功。

2、server-map表原理

通常情況下，如果在設(shè)備上配置嚴(yán)格的安全策略，那么設(shè)備將只允許內(nèi)網(wǎng)用戶單方向主動(dòng)訪問(wèn)外網(wǎng)。

為了解決這一類(lèi)問(wèn)題，F(xiàn)W引入了Server-map表，Server-map用于存放一種映射關(guān)系。

這種映射關(guān)系可以是控制數(shù)據(jù)協(xié)商出來(lái)的數(shù)據(jù)連接關(guān)系；

也可以是配置NAT中的地址映射關(guān)系；

使得外部網(wǎng)絡(luò)能透過(guò)設(shè)備主動(dòng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

生成Server-map表之后，如果一個(gè)數(shù)據(jù)連接匹配了Server-map表項(xiàng)，那么就能夠被設(shè)備正常轉(zhuǎn)發(fā)，并在匹配Server-map表后創(chuàng)建會(huì)話，保證后續(xù)報(bào)文能夠按照會(huì)話表轉(zhuǎn)發(fā)。

3、server-map表報(bào)文轉(zhuǎn)發(fā)過(guò)程

防火墻收到報(bào)文后，如果沒(méi)有命中會(huì)話表，防火墻則進(jìn)入首包處理流程，查詢是否命中server-map表。

如果命中，則生成會(huì)話表，轉(zhuǎn)發(fā)報(bào)文；

如果沒(méi)有命中，則執(zhí)行其他包處理流程。

編輯：黃飛