防火墻安全策略在人類社會的起源和發(fā)展過程中，通信就一直伴隨著我們。隨著信息技術(shù)的快速發(fā)展，特別是各類新技術(shù)、新業(yè)態(tài)、新應(yīng)用不斷涌現(xiàn)，給社會發(fā)展、百姓生活帶來了極大的“紅利”，但另一方面，也給網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。作為網(wǎng)絡(luò)安全防護(hù)的第一道防線，防火墻扮演著非常重要的角色。本課程主要介紹防火墻安全策略的原理以及在網(wǎng)絡(luò)中的應(yīng)用場景。學(xué)完本課程后，您將能夠：描述防火墻安全區(qū)域描述防火墻的狀態(tài)檢測和會話機制描述防火墻在網(wǎng)絡(luò)中的應(yīng)用場景防火墻基礎(chǔ)原理安全區(qū)域安全策略狀態(tài)檢測和會話機制ASPF技術(shù)防火墻在網(wǎng)絡(luò)安全方案中的應(yīng)用場景防火墻安全區(qū)域產(chǎn)生背景防火墻不僅只是一個“入口的屏障”，而應(yīng)該是多個網(wǎng)絡(luò)的接入控制點。所有進(jìn)出內(nèi)網(wǎng)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻，形成一個信息進(jìn)出的關(guān)口。如圖所示，防火墻作為企業(yè)網(wǎng)絡(luò)的重要組成部分，連接著企業(yè)網(wǎng)絡(luò)管理層網(wǎng)絡(luò)、市場部網(wǎng)絡(luò)與服務(wù)器網(wǎng)絡(luò)。防火墻一般部署在企業(yè)網(wǎng)絡(luò)出口，與Internet連接。服務(wù)器區(qū)市場部管理層防火墻防火墻安全區(qū)域基本概念安全區(qū)域（SecurityZone）：它是一個或多個接口的集合，是防火墻區(qū)別于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”，當(dāng)報文在不同的安全區(qū)域之間流動時，才會觸發(fā)安全檢查。TrustTrust服務(wù)器區(qū)市場部管理層防火墻Trust生產(chǎn)部UntrustDMZ研發(fā)部Trust默認(rèn)安全區(qū)域華為防火墻產(chǎn)品默認(rèn)提供了Trust、DMZ和Untrust三個可配置的安全區(qū)域。Trust區(qū)域網(wǎng)絡(luò)的受信任程度高；通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。DMZ區(qū)域網(wǎng)絡(luò)的受信任程度中等；通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。Untrust區(qū)域網(wǎng)絡(luò)的受信任程度低；通常用來定義Internet等不安全的網(wǎng)絡(luò)。12防火墻TrustDMZUntrust34Local安全區(qū)域防火墻上提供的Local區(qū)域，代表防火墻本身。凡是由防火墻主動發(fā)出的報文均可認(rèn)為是從Local區(qū)域中發(fā)出，凡是需要防火墻響應(yīng)并處理（而不是轉(zhuǎn)發(fā)）的報文均可認(rèn)為是由Local區(qū)域接收。Local區(qū)域中不能添加任何接口，但防火墻上所有業(yè)務(wù)接口本身都屬于Local區(qū)域。由于Local區(qū)域的特殊性，在很多需要設(shè)備本身進(jìn)行報文收發(fā)的應(yīng)用中，需要開放對端所在安全區(qū)域與Local區(qū)域之間的安全策略。例如Telnet登錄、網(wǎng)頁登錄、接入SNMP網(wǎng)管等。12防火墻TrustDMZUntrust34Local安全區(qū)域、受信任程度與優(yōu)先級不同的網(wǎng)絡(luò)受信任程度不同，在防火墻上用安全區(qū)域表示網(wǎng)絡(luò)后，如何來判斷一個安全區(qū)域的受信任程度呢？在華為防火墻上，每個安全區(qū)域都有一個唯一的優(yōu)先級，用1至100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。默認(rèn)安全區(qū)域受信任程度：Local>Trust>DMZ>Untrust；用戶可以根據(jù)實際組網(wǎng)需要，自行創(chuàng)建安全區(qū)域并定義其優(yōu)先級。安全區(qū)域優(yōu)先級說明Local100設(shè)備本身，包括設(shè)備的各接口本身。Trust85通常用于定義內(nèi)網(wǎng)終端用戶所在區(qū)域。DMZ50通常用于定義內(nèi)網(wǎng)服務(wù)器所在區(qū)域。Untrust5通常用于定義Internet等不安全的網(wǎng)絡(luò)。報文在不同區(qū)域中流動受到防火墻干涉，那么如何保證域間通信呢？防火墻基礎(chǔ)原理安全區(qū)域安全策略狀態(tài)檢測和會話機制ASPF技術(shù)防火墻在網(wǎng)絡(luò)安全方案中的應(yīng)用場景域間通信-安全策略防火墻的基本作用是對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，保護(hù)特定網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)的攻擊，但同時還必須允許兩個網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻一般通過安全策略實現(xiàn)以上功能。安全策略是由匹配條件（五元組、用戶、時間段等）和動作組成的控制規(guī)則，防火墻收到流量后，對流量的屬性（五元組、用戶、時間段等）進(jìn)行識別，并將流量的屬性與安全策略的匹配條件進(jìn)行匹配。安全策略禁止通過的流量安全策略允許通過的流量防火墻IntranetTrustUntrust安全域間、安全策略與報文流動方向安全域間是用來描述流量的傳輸通道，它是兩個“區(qū)域”之間的唯一“道路”。如果希望對經(jīng)過這條通道的流量進(jìn)行檢測，就必須在通道上設(shè)立“關(guān)卡”，如防火墻安全策略。任意兩個安全區(qū)域都構(gòu)成一個安全域間（Interzone），并具有單獨的安全域間視圖；安全域間的數(shù)據(jù)流動具有方向性，包括入方向（Inbound）和出方向（Outbound）。防火墻Trust85DMZ50Untrust5Local100OutboundInbound安全策略的匹配過程防火墻最基本的設(shè)計原則一般是沒有明確允許的流量默認(rèn)都會被禁止，這樣能夠確保防火墻一旦接入網(wǎng)絡(luò)就能保護(hù)網(wǎng)絡(luò)的安全。如果想要允許某流量通過，可以創(chuàng)建安全策略。一般針對不同的業(yè)務(wù)流量，設(shè)備上會配置多條安全策略。安全策略匹配過程如下：匹配順序策略編號匹配條件動作Policy1:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）Policy2:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）……PolicyN:匹配條件1匹配條件2……匹配條件N動作（允許/禁止）Default:匹配條件均為any動作（禁止）安全策略配置舉例(1)需求描述：某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。為了使私網(wǎng)中/24網(wǎng)段的用戶可以正常訪問Internet，需要在防火墻上配置相應(yīng)安全策略；在此網(wǎng)絡(luò)中、和的3臺PC對安全性要求較高，不允許上網(wǎng)。/24Internet內(nèi)網(wǎng)

/24防火墻

TrustUntrust安全策略配置舉例(2)配置思路：管理員應(yīng)首先明確需要劃分哪幾個安全區(qū)域，接口如何連接，分別加入哪些安全區(qū)域；管理員選擇可以根據(jù)“源地址”或“用戶”來區(qū)分企業(yè)員工；如果想允許某種網(wǎng)絡(luò)訪問，則配置安全策略的動作為“允許”；如果想禁止某些地址訪問，則配置安全策略的動作為“禁止”；將以上步驟規(guī)劃出的安全策略的參數(shù)一一列出，并將所有安全策略按照先精確（條件細(xì)化的、特殊的策略）再寬泛（條件為大范圍的策略）的順序排序。在配置安全策略時需要按照此順序進(jìn)行配置。開始新建安全區(qū)域配置接口配置安全策略保存和提交配置結(jié)束安全策略配置舉例(3)先創(chuàng)建拒絕特殊的3個IP地址訪問Internet的安全策略規(guī)則。（先精確）[FW]security-policy[FW-policy-security]rulenamepolicy1[FW-policy-security-rule-policy1]source-zonetrust[FW-policy-security-rule-policy1]destination-zoneuntrust[FW-policy-security-rule-policy1]source-address32[FW-policy-security-rule-policy1]source-address32[FW-policy-security-rule-policy1]source-address32[FW-policy-security-rule-policy1]actiondeny[FW]security-policy[FW-policy-security]rulenamepolicy2[FW-policy-security-rule-policy2]source-zonetrust[FW-policy-security-rule-policy2]destination-zoneuntrust[FW-policy-security-rule-policy2]source-address24[FW-policy-security-rule-policy2]actionpermit再創(chuàng)建允許/24網(wǎng)段訪問Internet的安全策略規(guī)則。（再寬泛）防火墻基礎(chǔ)原理安全區(qū)域安全策略狀態(tài)檢測和會話機制ASPF技術(shù)防火墻在網(wǎng)絡(luò)安全方案中的應(yīng)用場景狀態(tài)檢測機制狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整個數(shù)據(jù)流來對待。在狀態(tài)檢測防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的。狀態(tài)檢測機制開啟狀態(tài)下，只有首包通過設(shè)備才能建立會話表項，后續(xù)包直接匹配會話表項進(jìn)行轉(zhuǎn)發(fā)。HostServer源IP：目的IP：TCPSYN源IP：目的IP：TCPACK防火墻源IP：目的IP：TCPSYN+ACK會話機制防火墻會將屬于同一連接的所有報文作為一個整體的數(shù)據(jù)流（會話）來對待。會話表是用來記錄TCP、UDP、ICMP等協(xié)議連接狀態(tài)的表項，是防火墻轉(zhuǎn)發(fā)報文的重要依據(jù)。會話ID源地址源端口目的地址目的端口動作1*80允許通過請求報文通過回應(yīng)報文通過用戶

Web服務(wù)器

防火墻允許通過建立會話匹配會話允許通過用戶訪問Web服務(wù)器Web服務(wù)器回應(yīng)用戶會話表項中的五元組信息會話是通信雙方的連接在防火墻上的具體體現(xiàn)，代表兩者的連接狀態(tài)，一條會話就表示通信雙方的一個連接。通過會話中的五元組信息可以唯一確定通信雙方的一條連接；防火墻將要刪除會話的時間稱為會話的老化時間；一條會話表示通信雙方的一個連接，多條會話的集合叫做會話表。httpVPN：public-->public:2049-->:80協(xié)議目的地址目的端口源地址源端口五元組會話表項中的其他信息在防火墻上通過displayfirewallsessiontable命令可以看到正常建立的會話。<FW>displayfirewallsessiontableverboseCurrentTotalSessions:1icmpVPN:public-->publicID:a58f3fe91023015aa15344e75b

Zone:local-->trustTTL:00:00:20Left:00:00:09*Interface:GigabitEthernet0/0/0NextHop:

MAC:4437-e697-78fe<--packets:3bytes:252-->packets:3bytes:252:43982[:2107]-->:2048<FW>displayfirewallsessiontableCurrentTotalSessions:1telnetVPN:public-->public:2855-->:23在防火墻上通過displayfirewallsessiontableverbose可以顯示會話表詳細(xì)信息。由于使用了verbose參數(shù)，可以看到除了五元組信息之外的其他信息。防火墻基礎(chǔ)原理安全區(qū)域安全策略狀態(tài)檢測和會話機制ASPF技術(shù)防火墻在網(wǎng)絡(luò)安全方案中的應(yīng)用場景ASPF技術(shù)產(chǎn)生背景在TCP/IP模型中，應(yīng)用層提供常見的網(wǎng)絡(luò)應(yīng)用服務(wù)，如Telnet、HTTP、FTP等協(xié)議。而應(yīng)用層協(xié)議根據(jù)占用的端口數(shù)量可以分為單通道應(yīng)用層協(xié)議與多通道應(yīng)用層協(xié)議。單通道應(yīng)用層協(xié)議：通信過程中只需占用一個端口的協(xié)議。例如：Telnet只需占用23端口，HTTP只需占用80端口；多通道應(yīng)用層協(xié)議：通信過程中需占用兩個或兩個以上端口的協(xié)議。例如：FTP被動模式下需要占用21號端口以及一個隨機端口。傳統(tǒng)包過濾防火墻針對多通道應(yīng)用層協(xié)議訪問控制的不足：傳統(tǒng)的包過濾防火墻只能實現(xiàn)簡單的訪問控制；傳統(tǒng)的包過濾防火墻只能阻止一些使用固定端口的單通道協(xié)議的應(yīng)用數(shù)據(jù)。如何解決傳統(tǒng)包過濾防火墻無法匹配多通道協(xié)議應(yīng)用數(shù)據(jù)的問題呢？ASPF在多通道應(yīng)用協(xié)議的應(yīng)用ASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾。通過檢測協(xié)商報文的應(yīng)用層攜帶的地址和端口信息，自動生成相應(yīng)的Server-map表，當(dāng)數(shù)據(jù)通道的首包經(jīng)過防火墻時，防火墻根據(jù)Server-map生成一條session，用于放行后續(xù)數(shù)據(jù)通道的報文，相當(dāng)于自動創(chuàng)建了一條精細(xì)的“安全策略”。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護(hù)并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。Server-map表：-----------------------------------------------------------------------------------------------------Inside-Address:PortGlobal-Address:PortProAppTypeTTLLeft:4926:4952TCPFTPDATA00:01:0000:00:47使用4952端口建立數(shù)據(jù)通道FTPServerHost控制通道數(shù)據(jù)通道防火墻Session表：

FTP::4927-->:21FTP::4926-->:4952Session表：

FTP::4927-->:211.客戶端使用隨機端口向服務(wù)器21號端口發(fā)起控制連接建立請求。3.服務(wù)器20號端口向客戶端協(xié)商出的端口（yyyy）發(fā)起數(shù)據(jù)連接建立請求。FTP主動模式的ASPFServer-map表是通過ASPF功能自動生成的精細(xì)安全策略，是防火墻上的“隱形通道”。IPPort隨機端口xxxxIPPort隨機端口yyyyIPPort20IPPort21SYNSYN+ACKACK…………交互用戶名/密碼PORTCommand(IPPortyyyy)PORTCommandOKSYNSYN+ACKACKLISTCommand傳輸數(shù)據(jù)控制連接數(shù)據(jù)連接控制連接TCP三次握手?jǐn)?shù)據(jù)連接TCP三次握手交互PORT命令，協(xié)商端口2.防火墻創(chuàng)建Server-map表，報文命中該Server-map表項，不再受安全策略的控制。FTPClientFTPServer防火墻Server-map表與會話表的關(guān)系Server-map表與會話表的關(guān)系如下：Server-map表記錄了應(yīng)用層數(shù)據(jù)中的關(guān)鍵信息，報文命中該表后，不再受安全策略的控制；會話表是通信雙方連接狀態(tài)的具體體現(xiàn)；Server-map表不是當(dāng)前的連接信息，而是防火墻對當(dāng)前連接分析后得到的即將到來報文的預(yù)測。防火墻接收報文的處理過程如圖所示：防火墻收到報文先檢查是否命中會話表；如果沒有命中則檢查是否命中Server-map表；命中Server-map表的報文不受安全策略控制；防火墻最后為命中Server-map表的數(shù)據(jù)創(chuàng)建會話表。轉(zhuǎn)發(fā)報文生成會話表是否接收報文是否命中Server-map表是否命中會話表安全策略匹配流程否是Server-map表配置舉例防火墻IntranetInternetGE1/0/1

/24GE1/0/2

/24FTPClientFTPServer54/2454/24[FW]firewallinterzonetrustdmz

[FW-interzone-trust-dmz]detectftp配置ASPF<FW>displayfirewallserver-mapType:ASPF,54->54:2097,Zone:---Protocol:tcp(Appro:ftp-data),Left-Time:00:00:10Vpn:public->public自動生成