华为防火墙技术

华为防火墙技术

前言

“防火墙”一词起源于建筑领域,用于隔离火灾。在通信领域,防火墙用于两个网络之间有针对性的逻辑隔离,隔离网络攻击,允许正常通信报文通过。

目标

  • 描述防火墙的定义、类型和发展历史
  • 区分防火墙与路由器和交换机
  • 阐明防火墙的基本概念,如安全区域、安全策略、会话表和Server-map
  • 实现防火墙的基本配置

目录

  1. 防火墙概述
  2. 防火墙的基本概念
  3. 防火墙的基础配置

为什么需要防火墙?

  • 安全无处不在,路由器和交换机虽然构建了互联互通的网络,但也带来了安全隐患。
  • 企业需要外部网络安全隔离、内部网络安全管控、内容安全过滤、入侵防御和防病毒等安全诉求。

什么是防火墙?

  • 防火墙是一种安全设备,用于保护网络区域免受攻击和入侵。
  • 防火墙分为框式防火墙、盒式防火墙和软件防火墙,支持云上云下灵活部署。

防火墙与交换机、路由器功能对比

  • 交换机:接入终端和汇聚内部路由,组建内部局域网。
  • 路由器:路由分发、寻址和转发,构建外部连接网络。
  • 防火墙:流量控制和安全防护,区分和隔离不同安全区域。

防火墙与路由器转发流程对比

  • 防火墙的转发流程比路由器复杂,防火墙特有SPU(Service Processing Unit)用于实现安全功能。

防火墙的典型应用场景

  • 企业边界防护
  • 内网管控与安全隔离
  • 数据中心边界防护
  • 数据中心安全联动

防火墙的发展历程

  • 从包过滤防火墙到状态检测防火墙、统一威胁管理(UTM)、下一代防火墙(NGFW),再到AI防火墙。
  • 防火墙的防护能力越来越强,性能越来越高,访问控制越来越精细。

包过滤防火墙

  • 基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。
  • 问题:逐包检测性能较低,ACL规则难以适应动态需求,不检查应用层数据,无报文关联分析。

状态检测防火墙

  • 考虑报文前后的关联性,检测连接状态而非单个报文。
  • NGFW在内容安全和处理性能上有极大提升。

AI防火墙

  • 结合AI技术,提高安全防护能力和性能。
  • 华为AI防火墙内置恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针,支持与沙箱和大数据分析平台联动检测。

本节小结

  • 防火墙是一种安全设备,有灵活的设备形态。
  • 防火墙可用于企业边界防护、内网管控、数据中心边界防护和安全联动。
  • 防火墙技术不断发展,从包过滤到AI防火墙。

防火墙基本概念:安全区域

  • 安全区域(Security Zone)是防火墙的重要概念,防火墙的安全策略大多基于安全区域实施。
  • 一个安全区域是防火墙若干接口所连网络的集合,具有相同安全属性的用户位于同一区域。

默认安全区域

  • 华为防火墙默认有四个安全区域:untrust、dmz、trust和local,不能删除,也不允许修改安全优先级。

区域间示例

  • 流量的源、目的地址决定了互访的区域。

防火墙基本概念:安全策略

  • 安全策略控制防火墙对流量的转发和内容安全一体化检测。
  • 安全策略由匹配条件、动作和安全配置文件组成。

安全策略的匹配过程

  • 安全策略的匹配按照策略列表的顺序执行,先匹配精确的策略,再匹配宽泛的策略。

防火墙基本概念:会话表

  • 会话表记录TCP、UDP、ICMP等协议连接状态,是防火墙转发报文的重要依据。
  • 防火墙采用基于状态的报文控制机制,提高检测和转发效率。

会话表的创建和包处理过程

  • 首包到达防火墙时创建会话表项,后续包直接匹配会话表项。

会话表的老化时间与长连接

  • 防火墙设定会话老化机制,避免资源被无用会话表项消耗。
  • 长连接机制解决特殊业务中会话老化时间不足的问题。

多通道协议在防火墙上的问题

  • 严格的单向安全策略可能导致多通道协议(如FTP)无法正常工作。

FTP过程详解

  • FTP需要控制连接和数据连接,数据连接由服务器向客户端发起。

ASPF与Server-map

  • ASPF功能识别协议在应用层协商的地址和端口,生成Server-map表。
  • Server-map表记录连接状态,简化会话表。

ASPF与Server-map示例

  • 防火墙配置ASPF功能后,检测FTP控制连接中的数据连接端口信息,生成Server-map表项和会话表。

Server-map表与简化的包转发过程

  • 防火墙接收到报文时,先查询会话表,再查询Server-map表,最后执行其他包处理过程。

本节小结

  • 介绍了防火墙的基本概念和基础特性,包括安全区域、安全策略、会话表和Server-map。

防火墙基础配置 - 接口

  • 使用interface命令创建或进入接口视图。
  • 使用service-manage命令配置接口允许通过的协议。

防火墙基础配置 - 安全区域

  • 使用firewall zone name命令创建安全区域。
  • 使用set priority命令设置安全区域优先级。
  • 使用add interface命令将接口添加到安全区域。

防火墙基础配置 - 安全策略 (1)

  • 进入安全策略视图,创建安全策略规则。
  • 配置安全策略规则的源安全区域和目的安全区域。

防火墙基础配置 - 安全策略 (2)

  • 配置安全策略规则的源IP地址、目的IP地址和服务。
  • 配置安全策略规则的动作。

防火墙配置案例

  • 案例描述:防火墙将网络隔离为trust、untrust和OM三个安全区域,配置接口、安全区域和安全策略。

配置案例 - 接口

  • 配置接口IP地址,允许GE1/0/1响应Ping请求。

配置案例 - 安全区域

  • 创建安全区域OM,优先级为95,将接口划分到相应的安全区域。

配置案例 - 安全策略

  • 创建安全策略R1,允许OM区域ICMP流量访问untrust区域。

配置案例 - 结果验证

  • 验证配置结果,查看防火墙会话表。

本节小结

  • 介绍了防火墙的基础配置命令,包括配置接口、安全区域和安全策略。

思考题

  1. 缺省情况下,防火墙有几个安全区域?
    • A. 1 B. 2 C. 3 D. 4
  2. 防火墙在生产会话表之前,都需要先生成Server-map。
    • 对/错
  3. 以下对于华为AI防火墙说法正确的是?
    • A. 内置恶意文件检测引擎(CDE)
    • B. 内置探针
    • C. 内置APT检测引擎(AIE)
    • D. 内置独创诱捕Sensor

本章总结

  • 防火墙是通信领域重要的安全设备,本章介绍了防火墙的基本概念、发展历史和基础配置。
  • 安全区域、安全策略、会话表和Server-map是防火墙的基础概念。
  • 防火墙还有更多安全功能,如内容安全过滤、反病毒和入侵防御等。