前言
防火牆作爲一種安全設備被廣泛使用於各種網絡環境中,它在網絡間起到隔離作用。華爲作爲著名的網絡設備廠商,2001年便發佈了首款防火牆插卡,而後根據網絡發展及技術需求,推出了一代又一代防火牆及安全系列產品。在近二十年的歷程中,華爲在業界立下了一個又一個豐碑。
華爲防火牆介紹
USG2000、USG5000、USG6000和USG9500構成了華爲防火牆的四大部分,分別適合於不同環境的網絡需求,其中,USG2000和USG5000系列定位於UTM( Unified Threat Management,統一威脅管理 )產品,USG6000系列屬於下一代防火牆產品,USG9500系列屬於高端防火牆產品。
USG2110
USG2110爲華爲針對中小企業及連鎖機構、SOHO企業等發佈的防火牆設備,其功能涵蓋防火牆,UTM、VPN、路由、無線等。USG2110其具有性能高、可靠性高、配置方便等特性,且價格相對較低,支持多種VPN組網方式,爲用戶提供安全、靈活、便捷的一體化組網解決方案
USG6600
USG6600是華爲面向下一代網絡環境防火牆產品,適用於大中型企業及數據中心等網絡環境,具有訪問控制精準、防護範圍全面、安全管理簡單、防護性能高等特點,可進行企業內網邊界防護、互聯網出口防護、雲數據中心邊界防護、VPN遠程互聯等組網應用
USG9500系列
USG9500系列包含USG9520、USG9560、USG9580三種系列,適用於雲服務提供商、大型數據中心、大型企業園區網絡等,它擁有最精準的訪問控制、最實用的NGFW特性、最領先的 “ NP+多核+分佈式 ” 構架及最豐富的虛擬化,被稱爲最穩定可靠的安全網關產品,可用於大型數據中心邊界防護、廣電和二級運營商網絡出口安全防護、教育網出口安全防護等網絡場景
NGFW
NGFW,全稱是 Next Generation Firewall,即下一代防火牆,最早由 Gartner提出。NGFW更適用於新的網絡環境。NGFW在功能方面不僅要具備標準的防火牆功能,如網絡地址轉換、狀態檢測、VPN和大企業需要的功能,而且要實現IPS和防火牆真正的一體化,而不是簡單地基於模塊。
傳統的防火牆只能基於時間、IP和端口進行感知,而NGFW防火牆基於六個維度進行管控和防護,分別是應用、用戶、內容、時間、威脅、位置。
目前,華爲的NGFW產品主要是USG6000系列,覆蓋從低端的固定化模塊產品到高端的可插拔模塊產品,華爲下一代防火牆的應用識別能力範圍領先同行業產品20%,超出國產品牌3-5倍。
防火牆的工作模式
華爲防火牆具有三種工作模式:路由模式,透明模式、混合模式
路由模式
如果華爲防火牆連接網絡的接口配置IP地址則認爲防火牆工作在路由模式下,當華爲防火牆位於內部網絡和外部網絡之間時,需要將防火牆與內部網絡、外部網絡以及DMZ三個區域相連的接口分別配置成不同網段的IP地址,所以需要重新規劃原有的網絡拓撲,此時防火牆首先是一臺路由器,然後提供其他防火牆功能。路由模式需要對網絡拓撲進行修改(內部網絡用戶需要更改網關、路由器需要更改路由配置等)。
透明模式
如果華爲防火牆通過第二層對外連接(接口無IP地址),則防火牆工作在透明模式下,如果華爲防火牆採用透明模式進行工作,只需在網絡中像連接交換機一樣連接華爲防火牆設備即可,其最大的優點是無須修改任何已有的IP配置:此時防火牆就像一個交換機一樣工作,內部網絡和外部網絡必須處於同一個子網,此模式下,報文在防火牆當中不僅進行二層的交換,還會對報文進行高層分析處理。
混合模式
如果華爲防火牆既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口無IP地址 ),則防火牆工作在混合模式下,這種工作模式基本上是透明模式和路由模式的混合,目前只用於透明模式下提供雙機熱備的特殊應用中,別的環境下不建議使用。
華爲防火牆的安全區域劃分
| 區域 | 描述 |
|---|---|
| trust | 通常定義爲內部網絡優先級爲85,安全等級較高 |
| dmz | 通常定義爲需要對外提供服務的網絡,優先級爲50,非軍事化區域,也稱‘隔離區’,安全性介於Trust區域和Untrust區域之間 |
| untrust | 通常定義外部網絡,優先級爲5,安全級別很低 |
| local | 通常定義防火牆本身,優先級爲100 |
| 其他區域 | 用戶自定義區域,默認最多自定義16個區域,自定義區域沒有默認優先級,所以需要手工指定 |
注:
- 安全區域的優先級必須是
唯一的,即每個安全區域都需要對應不同的優先級,因爲防火牆會根據優先級大小來確定網絡的受信任級別。 - 默認情況下,
華爲NGFW防火牆拒絕任何區域之間的一切流量,如需放行指定的流量,需要管理員設置策略。但同一域間默認流量是放行。 - 但是華爲傳統的防火牆默認情況下對
從高優先級區域到低優先級區城方向的流量默認放行。
防火牆 Inbound和 Outbound
防火牆基於區域之間處理流量,即使由防火牆自身發起的流量也屬於Local區域和其他區域之間的流量傳遞,當數據流在安全區域之間流動時,纔會激發華爲防火牆進行安全策略的檢查,即華爲防火牆的安全策略通常都是基於域間( 如 Untrust區域和Trust區域之間 )的,不同的區域之間可以設置不同的安全策略,域間的數據流分兩個方向:
入方向( Inbound ):數據由低級別的安全區域向高級別的安全區域傳輸的方向(風險高)。例如,從Untrust區域( 優先級5 )的流量到 Trust區域( 優先級85 )的流量就屬於 Inbound方向。
出方向( Outbound ):數據由高級別的安全區域向低級別的安全區域傳輸的方向(風險低),例如,從DMZ區域( 優先級50 )的流量到 Untrust區域的流量就屬於 Outbound方向。
狀態化信息
防火牆對於數據流的處理,是針對首個報文在訪問發起的方向檢查安全策略,如果允許轉發,同時將生成狀態化信息一會話表,而後續的報文及返回的報文如果匹配到會話表,將直接轉發而不經過策略的檢查,進而提高轉發效率,這也是狀態化防火牆的典型特性。這也是訪問的雙向流量不需要同時配置安全策略的原因。
注:
數據流: 防火牆通過五元組來唯一的區分一個數據流,即源IP、目標IP、協議、源端口及目標端口。防火牆把具有相同五元組內容的數據當作一個數據流。
其他流量:但是對於其他流量,依然要經過防火牆的安全策略檢查,防火牆的這種特性使每個數據流都至少一個包必須匹配安全策略,而非法的流量在執行安全策略時將被丟棄。
會話表: 一條會話就表示通信雙方的一個連接。防火牆上多條會話的集合就稱爲會話表( Session Table )
需要注意的是,會話是動態生成的,但不是永遠存在的。如果長時間沒有報文匹配,則說明通信雙方已經斷開了連接,不再需要該條會話了。此時,爲了節約系統資源,防火牆會在一段時間後刪除會話,該時間稱爲會話的老化時間。
安全策略
防火牆的基本作用是保護特定網絡免受“不信任”的網絡的攻擊,但是同時還必須允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火牆的數據流進行檢驗,符合安全策略的合法數據流才能通過防火牆。可以在不同的域間方向應用不同的安全策路進行不同的控制。
華爲新一代防火牆對報文的檢測除了基於傳統的五元組( 源IP、目標IP、協議、源端口、目標端口 )之外,還可以基於上面的六個維度進行管理和維護,真正實現全方位立體化的檢測能力及精準的訪問控制和安全檢測
目前USG6000系列防火牆的V100R001版本採用的是一體化安全策略。所謂的一體化,可以體現在兩個方面,其一是配置上的一體化,其二是業務上一體化。一體化的安全策略由若干規則組成,而規則由條件、動作、配置文件和選項構成,如下圖所示。
規則: 一條規則可以引用一個或多個配置文件,不同類型的規則包含對應的默認配置文件,管理員也可以手動引用其他一個或多個配置文件。配置文件只有在動作允許時,才能夠被引用。
條件: 條件是匹配某條規則的依據,條件中的各個元素之間是 “與” 的關係,滿足規則的所有條件纔算匹配該條規則。
動作: 動作是防火牆對於匹配的流量所採取的處理方式,包含允許、拒絕等。
選項: 選項是規則的一些附加功能,如是否針對該規則記錄日誌、本條規則是否生效等。
配置實例:
[USG6000V1]security-policy //配置安全策略
[USG6000V1-policy-security]rule name allow_Telnet //策略名字
[USG6000V1-policy-security-rule-allow_Telnet]source-zone trust //指定條件
[USG6000V1-policy-security-rule-allow_Telnet]destination-zone local //指定條件
[USG6000V1-policy-security-rule-allow_Telnet]action permit //指定動作
[USG6000V1-policy-security-rule-allow_Telnet]quit
[USG6000V1-policy-security]quit
安全策略中的默認動作代替了默認包過濾。傳統防火牆的包過濾是基於區間的,只針對指定的區域間生效,而新一代防火牆的默認動作全局生效,且默認動作爲拒絕,即拒絕一切流量,除非允許。
同時爲了靈活應對各種組網情況,華爲防火牆還支持配置域內( 同一個安全區域內 )策路,對同一個安全區域內經過防火牆的流量進行安全檢查( 默認情況下是允許所有域內報文通過防火牆的 )。
默認情況下,華爲防火牆的策路有如下特點:
(1)任何兩個安全區域的優先級不能相同。
(2)本域內不同接口間的報文不過濾直接轉發。
(3)接口沒有加入域之前不能轉發包文。
(4)在USG6000系列的防火牆上默認是沒有安全策略的,也就是說,不管是什麼區域之間要相互訪問,都必須要配置安全策略,除非是同一區域報文傳遞。
下一篇: 華爲防火牆的管理方式