中國(guó)專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁(yè) > 資訊動(dòng)態(tài) > 艾銻分享 >

網(wǎng)絡(luò)運(yùn)維|防火墻技術(shù)

2020-04-30 21:13 作者：admin

網(wǎng)絡(luò)運(yùn)維|防火墻技術(shù)

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，今天和大家聊點(diǎn)安全方面的技術(shù)，這次咱們就聊一聊防火墻技術(shù)。

防火墻簡(jiǎn)介

定義

防火墻（Firewall）是一種隔離技術(shù)，使內(nèi)網(wǎng)和外網(wǎng)分開(kāi)，可以防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，保護(hù)內(nèi)網(wǎng)免受外部非法用戶的侵入。

目的

在大廈構(gòu)造中，防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部分傳播到另一部分。網(wǎng)絡(luò)中的防火墻有類似的作用：
· 防止因特網(wǎng)的危險(xiǎn)傳播到私有網(wǎng)絡(luò)。
· 在網(wǎng)絡(luò)內(nèi)部保護(hù)大型機(jī)和重要的資源（如數(shù)據(jù)）。
· 控制內(nèi)部網(wǎng)絡(luò)的用戶對(duì)外部網(wǎng)絡(luò)的訪問(wèn)。

防火墻原理安全域的描述

安全區(qū)域

安全域是防火墻功能實(shí)現(xiàn)的基礎(chǔ)，防火墻的安全域包括安全區(qū)域和安全域間。
在防火墻中，安全區(qū)域（Security Zone），簡(jiǎn)稱為區(qū)域（zone），是一個(gè)或多個(gè)接口的組合，這些接口所包含的用戶具有相同的安全屬性。每個(gè)安全區(qū)域具有全局唯一的安全優(yōu)先級(jí)。
設(shè)備認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動(dòng)是可信的，不需要實(shí)施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動(dòng)時(shí)，才會(huì)觸發(fā)防火墻的安全檢查，并實(shí)施相應(yīng)的安全策略。

安全域間

任何兩個(gè)安全區(qū)域都構(gòu)成一個(gè)安全域間（Interzone），并具有單獨(dú)的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。
例如：配置了安全區(qū)域zone1和zone2，則在zone1和zone2的安全域間視圖中，可以配置ACL包過(guò)濾功能，表示對(duì)zone1和zone2之間發(fā)生的數(shù)據(jù)流動(dòng)實(shí)施ACL包過(guò)濾。
在安全域間使能防火墻功能后，當(dāng)高優(yōu)先級(jí)的用戶訪問(wèn)低優(yōu)先級(jí)區(qū)域時(shí)，防火墻會(huì)記錄報(bào)文的IP、VPN等信息，生成一個(gè)流表。當(dāng)報(bào)文返回時(shí)，設(shè)備會(huì)查看報(bào)文的IP、VPN等信息，因?yàn)榱鞅砝镉涗浻邪l(fā)出報(bào)文的信息，所以有對(duì)應(yīng)的表項(xiàng)，返回的報(bào)文能通過(guò)。低優(yōu)先級(jí)的用戶訪問(wèn)高優(yōu)先級(jí)用戶時(shí)，默認(rèn)是不允許訪問(wèn)的。因此，把內(nèi)網(wǎng)設(shè)置為高優(yōu)先級(jí)區(qū)域，外網(wǎng)設(shè)置為低優(yōu)先級(jí)區(qū)域，內(nèi)網(wǎng)用戶可以主動(dòng)訪問(wèn)外網(wǎng)，外網(wǎng)用戶則不能主動(dòng)訪問(wèn)內(nèi)網(wǎng)。

基于安全域的防火墻的優(yōu)點(diǎn)

傳統(tǒng)的交換機(jī)/路由器的策略配置通常都是圍繞報(bào)文入接口、出接口展開(kāi)的，隨著防火墻的不斷發(fā)展，已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色，出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ（Demilitarized Zone）的模式。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來(lái)了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。
除了復(fù)雜的基于接口的安全策略配置，某些防火墻支持全局的策略配置，全局策略配置的缺點(diǎn)是配置粒度過(guò)粗，一臺(tái)設(shè)備只能配置同樣的安全策略，滿足不了用戶在不同安全區(qū)域或者不同接口上實(shí)施不同安全策略的要求，使用上具有明顯的局限性。
與基于接口和基于全局的配置相比，基于安全域的防火墻支持基于安全區(qū)域的配置方式，通過(guò)將接口加入安全區(qū)域并在安全區(qū)域域間配置安全策略，既降低了網(wǎng)絡(luò)管理員配置負(fù)擔(dān)，又能滿足復(fù)雜組網(wǎng)情況下針對(duì)安全區(qū)域?qū)嵤┎煌舴婪恫呗缘囊蟆?/span>

防火墻工作模式

為了增加防火墻組網(wǎng)的靈活性，設(shè)備不再定義整個(gè)設(shè)備的工作模式，而是定義接口的工作模式，接口的工作模式如下。

路由模式

當(dāng)設(shè)備位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，同時(shí)為設(shè)備與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的接口分別配置不同網(wǎng)段的IP地址，并重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
如圖1所示，規(guī)劃了2個(gè)安全區(qū)域：Trust區(qū)域和Untrust區(qū)域，設(shè)備的Trust區(qū)域接口與公司內(nèi)部網(wǎng)絡(luò)相連，Untrust區(qū)域接口與外部網(wǎng)絡(luò)相連。
需要注意的是，Trust區(qū)域接口和Untrust區(qū)域接口分別處于兩個(gè)不同的子網(wǎng)中。
圖1 路由模式組網(wǎng)圖

當(dāng)報(bào)文在三層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，根據(jù)報(bào)文的IP地址來(lái)查找路由表。此時(shí)設(shè)備表現(xiàn)為一個(gè)路由器。但是，與路由器不同的是，設(shè)備轉(zhuǎn)發(fā)的IP報(bào)文還需要進(jìn)行過(guò)濾等相關(guān)處理，通過(guò)檢查會(huì)話表或ACL規(guī)則以確定是否允許該報(bào)文通過(guò)。除此之外，防火墻還需要完成其它攻擊防范檢查。

防火墻的應(yīng)用案例

防火墻應(yīng)用在內(nèi)外網(wǎng)之間

如圖2所示，防火墻用在內(nèi)外網(wǎng)絡(luò)邊緣處，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的入侵。對(duì)于使用私有地址的內(nèi)部網(wǎng)絡(luò)，可以通過(guò)NAT、ALG技術(shù)和防火墻技術(shù)結(jié)合，實(shí)現(xiàn)更進(jìn)一步的安全防護(hù)。
圖2 防火墻應(yīng)用在內(nèi)外網(wǎng)之間的示意圖

防火墻在內(nèi)部網(wǎng)絡(luò)中的應(yīng)用

如圖3所示，防火墻用于內(nèi)部網(wǎng)絡(luò)中，主要是為了防止發(fā)自內(nèi)部的攻擊，保障重要數(shù)據(jù)的安全性。數(shù)據(jù)中心存儲(chǔ)了大量的公司機(jī)密。這時(shí)，防火墻就需要配置嚴(yán)謹(jǐn)?shù)牟呗砸员Ｗo(hù)數(shù)據(jù)中心。
圖3 防火墻應(yīng)用在內(nèi)部網(wǎng)絡(luò)的示意圖