前言
防火牆作為一種安全裝置被廣泛使用于各種網絡環境中,它在網絡間起到隔離作用。華為作為著名的網絡裝置廠商,2001年便釋出了首款防火牆插卡,而後根據網絡發展及技術需求,推出了一代又一代防火牆及安全系列産品。在近二十年的曆程中,華為在業界立下了一個又一個豐碑。
華為防火牆介紹
USG2000、USG5000、USG6000和USG9500構成了華為防火牆的四大部分,分别适合于不同環境的網絡需求,其中,USG2000和USG5000系列定位于UTM( Unified Threat Management,統一威脅管理 )産品,USG6000系列屬于下一代防火牆産品,USG9500系列屬于高端防火牆産品。
USG2110
USG2110為華為針對中小企業及連鎖機構、SOHO企業等釋出的防火牆裝置,
其功能涵蓋防火牆,UTM、VPN、路由、無線等。USG2110其具有性能高、可靠性高、配置友善等特性,且價格相對較低,支援多種VPN組網方式,為使用者提供安全、靈活、便捷的一體化組網解決方案
USG6600
USG6600是華為面向下一代網絡環境防火牆産品,
适用于大中型企業及資料中心等網絡環境,
具有通路控制精準、防護範圍全面、安全管理簡單、防護性能高等特點,可進行企業内網邊界防護、網際網路出口防護、雲資料中心邊界防護、VPN遠端互聯等組網應用
USG9500系列
USG9500系列包含USG9520、USG9560、USG9580三種系列,
适用于雲服務提供商、大型資料中心、大型企業園區網絡等,
它擁有最精準的通路控制、最實用的NGFW特性、最領先的 “ NP+多核+分布式 ” 構架及最豐富的虛拟化,被稱為最穩定可靠的安全網關産品,可用于大型資料中心邊界防護、廣電和二級營運商網絡出口安全防護、教育網出口安全防護等網絡場景
NGFW
NGFW,全稱是 Next Generation Firewall,即下一代防火牆,最早由 Gartner提出。
NGFW更适用于新的網絡環境。NGFW在功能方面不僅要具備标準的防火牆功能,
如網絡位址轉換、狀态檢測、VPN和大企業需要的功能,而且要
實作IPS和防火牆真正的一體化
,而不是簡單地基于子產品。
傳統的防火牆隻能基于
時間、IP和端口
進行感覺,而NGFW防火牆基于六個次元進行管控和防護,分别是
應用、使用者、内容、時間、威脅、位置。
目前,華為的NGFW産品主要是
USG6000系列
,覆寫從低端的固定化子產品産品到高端的可插拔子產品産品,華為下一代防火牆的應用識别能力範圍領先同行業産品20%,超出國産品牌3-5倍。
防火牆的工作模式
華為防火牆具有三種工作模式:
路由模式,透明模式、混合模式
路由模式
如果華為防火牆連接配接網絡的接口配置IP位址則認為防火牆工作在路由模式下
,當華為防火牆位于内部網絡和外部網絡之間時,需要将防火牆與内部網絡、外部網絡以及DMZ三個區域相連的接口分别配置成不同網段的IP位址,是以需要重新規劃原有的網絡拓撲,此時防火牆首先是一台路由器,然後提供其他防火牆功能。路由模式需要對網絡拓撲進行修改(内部網絡使用者需要更改網關、路由器需要更改路由配置等)。
透明模式
如果華為防火牆通過第二層對外連接配接(接口無IP位址),則防火牆工作在透明模式下
,如果華為防火牆采用透明模式進行工作,隻需在網絡中像連接配接交換機一樣連接配接華為防火牆裝置即可,其最大的優點是無須修改任何已有的IP配置:此時防火牆就像一個交換機一樣工作,内部網絡和外部網絡必須處于同一個子網,此模式下,封包在防火牆當中不僅進行二層的交換,還會對封包進行高層分析處理。
混合模式
如果華為防火牆既存在工作在路由模式的接口(接口具有IP位址),又存在工作在透明模式的接口(接口無IP位址 ),則防火牆工作在混合模式下
,這種工作模式基本上是透明模式和路由模式的混合,目前隻用于透明模式下提供雙機熱備的特殊應用中,别的環境下不建議使用。
華為防火牆的安全區域劃分
| 區域 | 描述 |
|---|---|
| trust | 通常定義為内部網絡優先級為85,安全等級較高 |
| dmz | 通常定義為需要對外提供服務的網絡,優先級為50,非軍事化區域,也稱‘隔離區’,安全性介于Trust區域和Untrust區域之間 |
| untrust | 通常定義外部網絡,優先級為5,安全級别很低 |
| local | 通常定義防火牆本身,優先級為100 |
| 其他區域 | 使用者自定義區域,預設最多自定義16個區域,自定義區域沒有預設優先級,是以需要手工指定 |
注:
- 安全區域的優先級必須是
唯一
- 預設情況下,
華為NGFW防火牆拒絕任何區域之間的一切流量
- 但是華為傳統的防火牆預設情況下對
從高優先級區域到低優先級區城方向的流量預設放行
防火牆 Inbound和 Outbound
防火牆基于區域之間處理流量,即使由防火牆自身發起的流量也屬于Local區域和其他區域之間的流量傳遞,當資料流在
安全區域之間流動
時,才會激發華為防火牆進行
安全政策的檢查
,即華為防火牆的安全政策通常都是
基于域間
( 如 Untrust區域和Trust區域之間 )的,不同的區域之間可以設定不同的安全政策,域間的資料流分兩個方向:
入方向( Inbound ):
資料由低級别的安全區域向進階别的安全區域傳輸的方向(風險高)。
例如,從Untrust區域( 優先級5 )的流量到 Trust區域( 優先級85 )的流量就屬于 Inbound方向。
出方向( Outbound ):
資料由進階别的安全區域向低級别的安全區域傳輸的方向(風險低),
例如,從DMZ區域( 優先級50 )的流量到 Untrust區域的流量就屬于 Outbound方向。
狀态化資訊
防火牆對于
資料流
的處理,是針對
首個封包
在通路發起的方向檢查安全政策,如果允許轉發,同時将生成狀态化資訊一
會話表
,而後續的封包及傳回的封包如果比對到會話表,将直接轉發而不經過政策的檢查,進而提高轉發效率,這也是狀态化防火牆的典型特性。這也是通路的雙向流量不需要同時配置安全政策的原因。
注:
資料流: 防火牆通過五元組來唯一的區分一個資料流,
即源IP、目标IP、協定、源端口及目标端口。
防火牆把具有相同五元組内容的資料當作一個資料流。
其他流量:但是對于其他流量,依然要經過防火牆的
安全政策檢查
,防火牆的這種特性使每個資料流都至少一個包必須比對安全政策,而非法的流量在執行安全政策時将被
丢棄。
會話表: 一條會話就表示通信雙方的一個連接配接。防火牆上多條會話的
集合
就稱為會話表( Session Table )
需要注意的是,會話是
動态生成的,但不是永遠存在的
。如果長時間沒有封包比對,則說明通信雙方已經斷開了連接配接,不再需要該條會話了。此時,為了節約系統資源,防火牆會在一段時間後删除會話,該時間稱為
會話的老化時間
。
安全政策
防火牆的基本作用是保護特定網絡
免受
“不信任”的網絡的
攻擊
,但是同時還必須允許兩個網絡之間可以進行合法的通信。安全政策的作用就是對通過防火牆的資料流進行
檢驗
,符合安全政策的合法資料流才能通過防火牆。可以在不同的域間方向應用不同的安全策路進行不同的
控制
。
華為新一代防火牆對封包的檢測除了基于傳統的五元組( 源IP、目标IP、協定、源端口、目标端口 )之外,還可以基于上面的
六個次元
進行管理和維護,真正實作全方位立體化的檢測能力及精準的通路控制和安全檢測
目前
USG6000系列
防火牆的V100R001版本采用的是一體化安全政策。所謂的一體化,可以展現在兩個方面,其一是配置上的一體化,其二是業務上一體化。一體化的安全政策由若幹
規則
組成,而規則由
條件、動作、配置檔案和選項
構成,如下圖所示。
規則: 一條規則可以引用一個或多個配置檔案,不同類型的規則包含對應的預設配置檔案,管理者也可以手動引用其他一個或多個配置檔案。配置檔案隻有在動作允許時,才能夠被引用。
條件: 條件是比對某條規則的
依據
,條件中的各個元素之間是 “與” 的關系,滿足規則的所有條件才算比對該條規則。
動作: 動作是防火牆對于比對的流量所采取的
處理方式
,包含允許、拒絕等。
選項: 選項是規則的一些
附加功能
,如是否針對該規則記錄日志、本條規則是否生效等。
配置執行個體:
[USG6000V1]security-policy //配置安全政策
[USG6000V1-policy-security]rule name allow_Telnet //政策名字
[USG6000V1-policy-security-rule-allow_Telnet]source-zone trust //指定條件
[USG6000V1-policy-security-rule-allow_Telnet]destination-zone local //指定條件
[USG6000V1-policy-security-rule-allow_Telnet]action permit //指定動作
[USG6000V1-policy-security-rule-allow_Telnet]quit
[USG6000V1-policy-security]quit
安全政策中的預設動作代替了預設包過濾。傳統防火牆的包過濾是基于區間的,隻針對指定的區域間生效,而新一代防火牆的預設動作全局生效,且預設動作為拒絕,即
拒絕一切流量
,除非允許。
同時為了靈活應對各種組網情況,華為防火牆還支援配置域内( 同一個安全區域内 )策路,對同一個安全區域内經過防火牆的流量進行安全檢查( 預設情況下是
允許所有域内封包通過
防火牆的 )。
預設情況下,華為防火牆的策路有如下特點:
(1)任何兩個安全區域的
優先級
不能相同。
(2)本域内不同接口間的封包不過濾直接轉發。
(3)
接口
沒有加入域之前不能轉發封包。
(4)在USG6000系列的防火牆上預設是沒有安全政策的,也就是說,不管是什麼區域之間要互相通路,都必須要配置安全政策,除非是同一區域封包傳遞。
下一篇: 華為防火牆的管理方式