9.2 防火墙技术基础在线视频

9.2 防火墙技术基础

防火墙利用安全区域把连接的不同网络区分成不同安全等级的网络，并利用安全策略控制不同安全等级的网络之间的相互访问。报文在同一安全区域内流动不受控制。

1 安全区域

1）安全区域与安全域间

安全区域：安全区域（Security Zone），简称为区域（zone），安全区域是一个和多个接口的集合，防火墙通过安全区域来划分网络，标识报文流动的路线。

防火墙中每个安全区域所包含的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级。华为防火墙默认定义了三个区域，分别是Trust、DMZ、Untrust。另外，防火墙自身还提供了一个Local区域，代表防火墙本身，如图所示。

 防火墙安全区域

安全域间：任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置。设备认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略。

2）安全域间报文流动

在华为防火墙上，每个安全区域都必须有一个安全级别，该安全级别是唯一的，用1~100的数字表示，数字越大，则安全级别越高，该区域的网络越可信。对于默认的安全区域，他们的安全级别是固定的。Local区域的安全级别100，Trust区域的安全级别为85，DMZ区域的安全级别为50，Untrust区域的安全级别为5。

规定：报文从低安全级别区域向高安全级别区域流量为入方向（inbound），报文从高安全级别区域向低安全级别区域流动为出方向（outbound）。如图所示

 安全域间报文流动示意图

通过对不同安全区域设置安全级别，防火墙上的各个安全区域之间有了等级明确的域间关系，不同的安全区域代表不同的网络，防火墙以此为基础对安全域间流动的报文进行管理控制。

划分区域等级之后，还需要判断报文在哪两个区域之间流动，以便配置安全策略对报文流动进行控制。确定目标安全区域分两种情况，三层模式下，防火墙通过查找路由表确定报文的哪个接口发出，该接口所在的安全区域就是报文的目的安全区域；二层模式下，防火墙通过查找MAC地址转发表确定报文将要从哪个接口发出。

在安全域间使能防火墙功能后，当高安全级别区域的用户访问低安全级别区域时，防火墙会记录报文的IP、VPN等信息，生成一个会话，并将会话保存在会话表中。当报文返回时，设备会查看报文的IP、VPN等信息，因为会话表里记录有发出报文的信息，所以有对应的表项，返回的报文能通过。当低安全级别区域的用户访问安全级别级区域用户时，默认是不允许访问的。因此，把内网设置为高安全级别区域，外网设置为低安全级别区域，内网用户可以主动访问外网，外网用户则不能主动访问内网。

2、防火墙工作模式

在华为防火墙中，接口工作在三层，就可以实现三层路由网关的功能；接口工作在二层，就可以实现二层透明网桥的功能。因此，在防火墙中可以使用部分三层接口来进行三层路由网关的部署，再使用二层接口来进行二层透明桥接的部署。两者可以共存。

1）三层路由网关模式

将防火墙设备作为三层网关，部署在全新网络中或者替代原有网络中的路由器或防火墙，实现内外网通信的同时进行安全防护。

在这个场景中，设备的业务接口工作在三层（网络层），如图所示。所有三层接口的IP地址不能在同一网段。每个接口都需要连接一个独立的网段，设备通过路由协议转发各个网段之间的报文。因此，这种部署方式常被称为“路由模式”。

将设备作为三层路由网关部署的最大优势在于：设备可以配置的功能更多，对报文的处理机制更加完善，对网络的安全防护能力更强。

 三层路由网关场景

2）二层透明网桥模式

在不影响原有网络结构的基础上，防火墙作为二层桥接设备透明植入原有网络，进行二层交换和安全防护。

在这个场景中，设备的业务接口工作在二层（数据链路层），负责二层报文的转发，如图所示。此时设备可以作为一台交换机一样部署在网络中，透明接入到原有的网关设备之后，在不改变原有网络结构和配置的前提下对流量进行安全防护，因此这种部署方式常被称为“透明模式”。

 二层透明网桥

3、包过滤与状态检测

1） 包过滤防火墙

包过滤防火墙只能根据设定好的静态规则是否允许报文通过，让认为报文都是无状态的孤立个体，不关注报文产生的前因后果。

2）状态检查防火墙

状态检测防火墙正是为解决包过滤防火墙存在的问题而提出的，状态检测防火墙使用基于连接状态的检测机制，将通讯双方之间交互的属于同一连接的所有报文都作为整体的数据流对待。

3）会话与会话表

对于状态检测防火墙，当PC机通过防火墙访问服务器时，状态检测防火墙就会建立会话，并记录在防火墙会话表中。会话表中源地址、源端口、目的地址、目的端口和协议组成的五元组信息。五元组构成会话标识的重要信息，五元组信息相同的报文被认为是同一个数据流，可以确定为一条连接。

4、 安全策略

安全策略是防火墙中基于安全区域之间的访问定义的访问规则。安全策略在防火墙中扮演重要的角色，只有安全策略允许报文通过，报文才可以在安全区域之间流动，否则报文将被丢弃。

一般情况下，安全策略仅对单播报文进行控制，对组播和广播报文不做控制，直接转发。

1） 基本概念

安全策略是基于安全区域间关系来体现的，其内容由条件和动作两部分组成。

² 条件：检查报文的依据，防火墙将报文中携带的信息与条件进行对比，以此来判断报文信息与条件是否匹配。

² 动作：对匹配后的报文执行的操作，包括允许（permit）和拒绝（deny）操作。一条安全策略只能有一个动作。

2）匹配顺序

安全策略之间是存在先后顺序的， 防火墙在两个安全区域之间转发报文时，会按照从上到下的顺序逐条查找安全策略，如果报文信息匹配了某条安全策略，就会执行该安全策略中的动作，不会再继续向下查找。

3）缺省包过滤

缺省包过滤本质上是一种安全策略，也就是缺省的安全策略，缺省包过滤中没有具体条件，它对所有的报文均生效，它的动作也是允许和拒绝通过两种。报文没有命中任何一条安全策略，最后就命中缺省包过滤，执行缺省包过滤中的配置的动作。

默认情况下，缺省包过滤的动作是拒绝（deny），也就是说，没有配置任何安全策略的情况下，防火墙是不允许报文在安全之间流动的。有时，为了简化配置，可以把缺省包过滤的动作配置为允许通过，即允许所有报文通过。如果用户只想控制少数IP发起的流量不能经过防火墙，其他IP的流量都可以经过防火墙，可以使用命令Firewall packet-filter default配置缺省包过滤默认动作为允许（permit）。

4） 安全策略发展变化

华为设计生产了状态检测防火墙、UTM防火墙、下一代防火墙。华为防火墙安全策略也经历的三个阶段：基于ACL的包过滤阶段、融合UTM的安全策略阶段、一体化安全策略阶段。

（1）基于ACL的包过滤阶段

基于ACL的包过滤规则如图所示。基于ACL的包过滤的ACL规则遵循从上到下逐条查找的匹配顺序。如果没有匹配的规则，则匹配缺省包过滤规则。

 基于ACL的包过滤规则

（2）融合UTM安全策略

随着华为UTM产品推出，比如华为USG2000/5000系列防火墙V300R001版本采用的就是UTM的安全策略。融合UTM安全策略有条件、动作和UTM策略组成，在安全策略的条件中出现了服务器集（Service-set）的概念，代替了协议和端口，安全策略中已经内置了一下服务集，可以直接引用。比如 service-set：ftp标识tcp协议和端口21，等等。

融合UTM安全策略也遵循从上到下的顺序逐条查找的匹配顺序。融合UTM安全策略构成如图所示。

 融合UTM安全策略构成

（3）NGFW一体化安全策略

随着华为推出下一代防火墙（NGFW），华为的安全策略发展到一体化安全策略，目前华为USG6000系列大防火墙支持一体化安全策略。

一体化安全策略除了基于传统的五元组信息之外，还可以基于应用、内容、时间、用户、威胁、位置等6个维度来识别实际的业务环境，实现访问控制和安全监测。一体化安全策略有条件、动作和配置文件组成。如图所示，其中配置文件的作用是对报文进行安全内容检测，只有动作是允许通过才能应用配置文件。如图所示。

一体化安全策略

5、 黑名单与白名单

1）黑名单

黑名单，指根据报文源IP地址进行过滤的一种方式。同安全策略相比，由于进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽，同时支持用户静态配置黑名单和防火墙动态生成黑名单。

firewall blacklist enable [ acl-number acl-number ]，开启黑名单功能。

firewall blacklist ip-address [ expire-time minutes ]，用于静态添加黑名单表项。

2） 白名单

在防火墙上加入白名单的主机不会再被加入动态和静态黑名单，使用IP地址来表示一个白名单项。白名单主要用在网络上的特定设备发出的合法业务报文具备IP扫描攻击和端口扫描攻击特性的场合，防止该特定设备被防火墙加入黑名单。白名单只有静态的。

firewall whitelist ip-address [ expire-time minutes ]，用于添加白名单表项。

6、 ASPF特定应用包过滤技术

ASPF（Application Specific Packet Filter，特定应用包过滤），是一种应用层状态检测技术，它主要是针对应用层的包过滤。ASPF不仅支持对IP层的数据包依据安全策略进行过滤，还支持传输层协议检测和ICMP、RAWIP协议检测，以及对应用层协议检测。另外，ASPF还支持一些增强性的安全功能，端口映射、JAVA阻断、Active阻断等。

1. 传输层协议检测

传输层协议检测即通用TCP/UDP检测。通用TCP/UDP检测与应用层协议检测不同，是对报文的传输层信息进行的检测，如源、目的地址及端口号等。

2. 应用层检测和多通道检测

要理解基于应用的状态检测技术，还要搞清楚两个概念，一是单通道协议，二是多通道协议。

² 单通道协议：从会话建立到删除的全过程中，只有一个通道参与数据交互，如HTTP。

² 多通道协议：包含一个控制通道和若干其它控制或数据通道，即控制信息的交互和数据的传送是在不同的通道上完成的，如FTP、RTSP。

状态检测防火墙，一旦防火墙允许报文通过，就会建立会话表，并将会话信息保存在会话表中。

对于单通道协议的应用，ASPF通过会话表（session-table）来维护一个连接某一时刻所处的状态信息，并依据该连接的当前状态来匹配后续的报文。

对于多通道的应用，除了通过会话表对应用协议的状态进行检测外，ASPF还会临时建立一个临时状态表（server-map），对应用连接协商的数据通道状态进行记录，用于匹配后续数据通道的第一个报文，同时防火墙生成这条数据通道的会话信息，后续数据报文通过匹配会话表项而转发，不再需要重新匹配Server-map表项。文件传输协议FTP是一个多通道协议。下面以FTP协议为例简要说明ASPF状态检测的实现，其他多通道协议与之类似。

ASPF功能决定了很多特殊的协议是否能够被防火墙正常转发，所以，当网络中存在类似FTP的多通道协议时，开启相应的ASPF功能能够保证网络的正常通信。以USG2000/5000系列防火墙为例，目前支持开启ASPF功能的协议有DNS、FTP、H.232、ICQ、ILS、MGCP、MMS、MSN、NETBOIS、PPTP、QQ、TSP、SIP、SQLNET等。