目录
防火墙的动作模式
防火墙inbound和outbound
状态化信息
安全策略
防火墙最常见的安全设备广泛用于各种网络环境中,并与网络隔离
的工作模式为华为防火墙有三种模式:路由模式、透明模式、混合模式
1 .路由模式
如果在防火墙连接到网络的接口上配置防火墙的IP地址,则防火墙可能在路由模式下运行。 如果防火墙位于内部网络和外部网络之间,则必须为连接到防火墙和内部网络、外部网络和DMZ这三个区域的接口配置不同网段的IP地址在这种情况下,防火墙首先是路由器,然后提供其他防火墙功能。 路由模式需要更改网络拓扑。 内部网络用户需要更高的网关,路由器需要更改路由配置等)。
2 .透明模式
如果防火墙通过第2层连接到外部(如果接口没有IP地址),防火墙将在透明模式下工作。 如果防火墙以透明模式运行,则只需连接防火墙设备,使其在网络上连接交换机,其最大优点是不需要更改现有的IP配置。 防火墙此时就像交换机一样工作,内部网络和外部网络必须位于同一子网中。 在这种模式下,消息不仅在防火墙中进行两层交换,而且对消息也进行高层分析处理。
3 .混合模式
如果防火墙具有以路由模式运行的接口,接口具有IP地址,或者具有以透明模式运行的接口,则防火墙将以混合模式运行。 此操作模式基本上是透明模式和路由模式的混合,仅用于当前在透明模式下提供双机热备份的特殊APP应用,其他环境不建议使用。
华为的区域划分
通过防火墙区分安全和不安全网络是防火墙上的安全区域或一个或多个接口的集合,是防火墙的区分和路由器的主要特性。
默认情况下,华为有四个区域: local、trust、untrust和dmz。 接收优先顺序因地区而异。 防火墙根据这些区域的可靠优先级区分区域的保护级别。 安全级别由1到100个阿拉伯数字表示,数字越大,表示该地区的网络越可靠。
trust zones :主要用于连接到公司的内部网络的默认安全级别为85。
untrust区域:定义为外部网络,安全级别为5,安全级别较低。 untrust区域表示不受信任的区域,由于存在很多互联网威胁,因此将不安全的网络(如互联网)放入此区域。
Dmz区域:非军事化区域。 防火墙通常被定义为需要对外提供服务的网络,其安全性介于trust区域和untrust区域之间,安全级别为50
local区域:防火墙本身的安全级别通常定义为100
其他区域:用户自定义的区域。 默认情况下最多定义16个区域,自定义区域没有默认优先级。
在传统的华为防火墙中,默认情况下允许从高优先级区域到低优先级区域的通信,但最新的NGFW防火墙默认情况下禁止所有通信。
可以在防火墙inbound和outbound的不同区域之间设置不同的安全策略。 域之间的数据流分为两个方向
入方向(Inbound ) )将数据从低级安全区域传输到高级安全区域的方向。
输出方向(Outbound ) )数据从高级安全区域传输到低级安全区域的方向。
由于防火墙状态检测机制,对于数据流,通常只重点处理第一条消息,如果安全策略允许第一条消息通过,则会创建会话表,后续消息和返回的消息将被分配给会话例如,Trust区域中的客户端要访问UNTrust区域中的internet,只需在从Trust到UNTrust的Outbound方向上应用安全策略,即可从UNTrust到Trust区域的安全策略
在启动对第一条消息的访问的方向上检查安全策略,并且在允许传输的情况下,进行对状态信息防火墙数据流的处理。 如果同时生成状态消息-会话表,后续消息和返回的消息与此会话表匹配,则可以直接传输而不进行策略检查,提高传输效率。
防火墙唯一区分五组数据流:源IP、目标IP、协议、源端口号和目标端口。 防火墙将具有相同五组内容的数据视为一个数据流。
如果消息长时间不匹配,则表明双方已断开链接,不需要会话。 防火墙将在一段时间后删除会话。
由于安全策略是防火墙状态检测机制,因此数据流通常只重点处理第一条消息,而安全策略
略一旦允许首个报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
一条规则中,不需要配置所有的条件,可以指定一个或少数几个条件。如果配置规则的条件为源区域为Trust,目标区域为Untrust,而不配置其他条件,那就意味着其他条件为any,即源区域为Trust,目标区域为Untrust,用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则
条件中的各个元素如果在多条规则中重复调用,或者该元素本身包含多个相关内容,可以考虑配置为对象,对象可被多条规则调用。
动作是防火墙对于匹配的流量所采取的处理方式,包含允许、拒绝等。不同的策略可以选择不同的处理方式。如果处理方式是允许,那么还可以继续基于配置文件对报文做后续处理。
选项是规则的一些附加功能,如是否针对该规则记录日志、本条规则是否生效等。
区别与传统的安全策略,一体化策略具有以下特点:
策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
默认情况拒绝所有区域间的流量,包括Outbound流量。必须通过策略配置放行所需流量。
安全策略中的默认动作代替了默认包过滤。传统的防火墙的包过滤基于区域间的,只针对指定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许。
在USG系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间相互访问,都必须要配置安全策略,除非是同一区域报文传递。
同一域间或域内应用多条安全策略,那么防火墙在转发报文时,将按照配置安全策略规则的顺序从上到下依次匹配
华为防火墙有以下特点:
任何两个安全区域的优先级不能相同。
本域内不同接口间的报文不过滤直接转发。
接口没有加入域之前不能转发报文。