華爲防火牆產品介紹:
USG2000、USG5000、USG6000和USG9500構成了華爲防火牆的四大部分,分別適用於不同的環境需求,其中,USG2000和USG5000系列定位於UTM(統一威脅管理)產品,USG6000系列屬於下一代防火牆產品,USG9500系列屬於高端防火牆產品。、
各個系列的產品介紹如下:
1、USG2110:USG2110是華爲針對中小企業及連鎖機構、eSOHO企業等發佈的防火牆設備,其功能涵蓋防火牆、UTM、Virtual Private Network(請自行看首字母,我寫簡寫的話就被和諧了)、路由、無線等。USG2110其具有性能高、可靠性高、配置方便等特性,而且價格相比較低,支持多種Virtual Private Network組網方式。
2、USG6600:是華爲面向下一代網絡環境防火牆產品適用於大中型企業及數據中心等網絡環境,具有訪問控制精準、防護範圍全面、安全管理簡單、防護性能高等特點,可進行企業網邊界防護、互聯網出口防護、雲數據中心邊界防護、Virtual Private Network遠程互聯等組網應用。
3、USG9500:該系列包含USG9520、USG9560、USG9580三種系列,適用於雲服務提供商、大型數據中心、大型企業園區網絡等。它擁有最精準的訪問控制、最實用的NGFW特性,最領先的“NP+多核+分佈式”構架及最豐富的虛擬化,被稱爲最穩定可靠的安全網關產品,可用於大型數據中心邊界防護、廣電和二級運營商網絡出口安全防護、教育網出口安全防護等網絡場景。
4、NGFW:全稱就是下一代防火牆,NGFW更適用於新的網絡環境。NGFW在功能方面不僅要具備標準的防火牆功能,如網絡地址轉換、狀態檢測、virtual private Network和大企業需要的功能,而且要實現IPS(Invasion 防禦系統)和防火牆真正的一體化,而不是簡單的基於模塊。另外,NGFW還需要具備強大的應用程序感知和應用可視化能力,基於應用策略、日誌統計、安全能力與應用深度融合,使用更多的外部信息協助改進安全策略,如身份識別等。
傳統防火牆與NGFW防火牆的區別:
傳統的防火牆只能基於時間、IP和端口進行感知,而NGFW防火牆基於六個維度進行管控和防護,分別是應用、用戶、內容、時間、威脅、位置。其中:
基於應用:運用多種手段精確識別web應用內超過6000以上的應用層協議及其附屬功能,從而進行精準的訪問控制和業務加速。其中也包含移動應用,如可以通過防火牆區分微信流量中的語音和文字,進而實現不同的控制策略。
- 基於用戶:藉助於AD活動目錄、目錄服務器或AAA服務器等,基於用戶進行訪問控制、QoS管理和深度防護。
- 基於位置:結合全球位置信息,智能識別流量的發起位置,從而獲取應用和***的發起位置。其根據位置信息實現對不同區域訪問流量的差異化控制,同時支持根據IP信息自定義位置。
在實際應用中,應用可能使用任意端口,而傳統防火牆無法根據端口識別和控制應用。NGFW的進步在於更精細的訪問控制。其最佳使用原則爲基於應用+白名單控制+最小授權。
接下來,我將圍繞着USG6600型號的防火牆產品寫出它的工作原理。
防火牆的工作原理
一、防火牆的工作模式
華爲防火牆具有三種工作模式:路由模式、透明模式、混合模式。
.
1、路由模式:防火牆連接網絡的接口配置IP地址,則認爲防火牆工作在路由模式下,此時防火牆首先是一臺路由器,然後提供其他防火牆功能。大多數防火牆都處於路由模式下,介於公司內外與外網之間。
2、透明模式:就把它當成交換機吧,接口沒有配置IP就是工作在透明模式下,一般沒有公司會把路由器當成交換機使用的,這太奢侈了。
3、混合模式:如果華爲防火牆即存在路由模式的接口(接口配置了IP),又存在工作在透明模式的接口(接口無IP地址),則防火牆工作在混合模式下,這種工作模式基本上是透明模式和路由模式的混合,目前只用於透明模式下提供雙機熱備的特殊應用中,別的環境下不建議使用。
二、華爲防火牆的安全區域劃分
華爲防火牆默認存在的區域有:
- Trust區域:主要用於連接公司內部網絡,優先級爲85,安全等級較高。
- UNtrust區域:通常連接外部網絡,優先級爲5,安全級別很低。該區域表示不受信任的區域,互聯網上的安全隱患太多,所以一般把Internet劃入UNtrust區域。
- DMZ區域:非軍事化區域,一般用來連接需要對外提供服務的服務器,其安全性介於Trust和Untrust區域之間,優先級爲50,安全等級中等。
- Local區域:指防火牆本身,優先級爲100,防火牆除了轉發區域之間的報文之外,還需要自身接受或發送流量,如遠程管理,運行動態路由協議等。
- 其它區域:用戶自定義區域,默認最多自定義16個區域,自定義區域沒有默認優先級,需要手動指定。
關於區域配置需要知道的幾點:
- 安全區域的優先級必須是唯一的;
- 一個接口只能加入一個安全區域,但一個安全區域可以有多個接口;
- 默認情況下,華爲NGFW防火牆拒絕任何區域之間的流量,如需放行指定的流量,需要設置策略(華爲傳統的防火牆默認對高優先級區域到低優先級區域方向流量默認放行,但最新的NGFW防火牆默認禁止一切流量)
三、防火牆的Inbound和Outbound是什麼?
防火牆基於區域之間處理流量,當數據流在安全區域之間流動時,纔會激發防火牆進行安全策略的檢查,所以可以看出,防火牆的安全策略通常都是基於域間(如UNtrust區域和Trust區域之間)的,域間的數據流分爲兩個方向:
.
入方向(Inbound):數據由低級別的安全區域向高級別的安全區域傳輸的方向。如Untrust區域(優先級爲5)的流量到trust區域(優先級爲85)的流量就屬於Inbound方向。
.
出方向(Outbound):數據由高級別的安全區域向低級別的安全區域傳輸的方向。如trust區域(優先級爲85)的流量到Untrust區域(優先級爲5)的流量就屬於Outbound方向。
四、狀態化信息的含義
在防火牆技術中,通常把兩個方向的流量區別對待,因爲防火牆的狀態化檢測機制,所以針對數據流通常只重點處理首個報文,安全策略一旦允許首個報文允許通過,那麼將會形成一個會話表,後續報文和返回的報文如果匹配到會話表將會直接放行,而不再查看策略,從而提高防火牆的轉發效率。如,Trust區域的客戶端訪問UNtrust區域的互聯網,只需要在Trust到UNtrust的Outbound方向應用安全策略即可,不需要做UNtrust到Trust區域的安全策略。
.
防火牆通過五元組來唯一的區分一個數據流,即源IP、目標IP、協議、源端口號、目標端口。防火牆把具有相同五元組內容的數據當做一個數據流,數據包必須同時匹配指定的五元組纔算匹配到這條策略,否則會繼續匹配後續策略,它的匹配規則同樣是匹配即停。
.
前面說到,在防火牆上,首個報文通過後會創建一個會話表,該會話表只能匹配元組相同的流量,無法匹配其他流量(可能目標IP不同,可能目標端口不同),這也正保證了同一會話的數據流高效轉發及嚴格的安全策略檢查。需要注意的是,會話表是動態生成的,但不是永久存在的,如果長時間沒有報文匹配該會話,則證明通信雙方已經斷開了連接,不再需要這條會話,爲了節約系統資源,會在一定時間後刪除該會話,這個時間被稱爲會話的老化時間。一般不會太久,記得Cisco防火牆上的會話表默認老化時間好像是300s吧。
.
五、安全策略的相關概念
防火牆的基本作用是保護特定網絡免受“不信任”的網絡的威脅,但是同時還必須允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火牆的數據流進行檢驗,符合安全策略的合法流量才能通過防火牆。可以在不同的域間方向應用不同的安全策略進行不同的控制。
.
華爲針對當前的網絡需求,提出了一體化安全策略,目前USG6000系列防火牆的V100R001版本採用的是一體化安全策略。所謂一體化,可以體現在兩個方面,其一是配置上的一體化,如反 病 毒,郵件過濾、內容過濾、應用行爲過濾等安全檢查通過在策略中引用配置文件實現,其二是業務上的一體化,一體化的策略只對報文進行一次檢測,多業務功能可以並行處理,從而提高處理效率。而傳統的防火牆如UTM產品,採用串行方式,流量每經過一個模塊便進行一次檢測。
.
華爲新一代防火牆對報文的檢測除了基於傳統的五元組(源IP、目的IP、源端口、目的端口、協議)之外,還可以基於應用、內容、時間、用戶、威脅及位置對流量進行深層探測,真正實現全方位立體化的檢測能力及精準的訪問控制等。
.
一體化的安全策略是多個規則組成,而規則由條件、動作、配置文件和選項構成,其中配置文件的作用是對報文進行內容安全檢測,其中包括反 病 毒、入 e侵 防禦、URL過濾、文件過濾、內容過濾、應用行爲控制及郵件過濾。一條規則可以引用一個或多個配置文件。配置文件只有在動作允許時,才能夠被引用。上個圖吧!
在上圖中,可以看到一個條件包含多個元素,條件中的各個元素是“與”的關係,也就是數據包必須同時匹配這些元素,才認爲該數據包匹配這條規則。而條件中的同一個元素的多個對象之間是“或”的關係,也就是說,數據包只要匹配其中的一個對象,就認爲這個數據包匹配這個元素。舉個栗子,當條件中的源地址同時定義了A、B、C三個地址,只要數據包中的源地址屬於其中任意一個,則表示匹配這個源地址的元素。但該報文同時又要匹配條件中的其他屬性,如目標地址、時間段、服務、用戶等,纔算匹配這個規則。
區別於傳統的安全策略,一體化的安全策略具有如下特點:
- 策略配置基於全局,不再基於區域間配置,安全區域只是條件的可選配置項,也可在一條規則中配置多個源區域或目標區域。
- 默認情況拒絕所有區域間的流量,必須通過策略配置放行所需流量。
安全策略中的默認動作代替了默認包過濾。傳統的防火牆的包過濾基於區域間的,只針對指定的區域間生效,而新一代防火牆的默認動作全局生效,且默認動作爲拒絕,即拒絕一切流量,除非允許。
默認情況下,華爲防火牆的策略有如下特點:- 任何兩個安全區域的優先級不能相同。
- 本域內不同接口間的報文不過濾直接轉發。
- 接口沒有加入域之前不能轉發報文。
- 在USG系列的防火牆上默認是沒有安全策略的,也就是說,不管是什麼區域之間相互訪問,都必須要配置安全策略,除非是同一區域報文傳遞。