溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

華為防火墻及它的工作原理

發(fā)布時間:2020-07-03 00:47:20 來源:網(wǎng)絡(luò) 閱讀:2446 作者:俊偉祺i 欄目:網(wǎng)絡(luò)管理

一、華為防火墻產(chǎn)品介紹

USG2000、USG5000、USG6000和USG9500構(gòu)成了華為防火墻的四大部分,分別適合于不同環(huán)境的網(wǎng)絡(luò)需求,其中,USG2000和USG5000系列定位于UTM(統(tǒng)一威脅管理)產(chǎn)品,USG6000系列屬于下一代防火墻產(chǎn)品,USG9500系列屬于高端防火墻產(chǎn)品。

1、USG2110

USG2110為華為針對中小企業(yè)及連鎖機構(gòu),SOHO企業(yè)等發(fā)布的防火墻設(shè)備,其功能涵蓋防火墻,UTM、Virtual Private Network(請自行看首字母,我寫簡寫的話就被和諧了)、路由、無線等。USG2110其具有性能高、可靠性高、配置方便等特性,且價格相對較低,支持多種Virtual Private Network組網(wǎng)方式,為用戶提供安全、靈活、便捷的一體化組網(wǎng)解決方案。

2、USG6600

USG6600是華為面向下一代網(wǎng)絡(luò)環(huán)境防火墻產(chǎn)品,適用于大中型企業(yè)及數(shù)據(jù)中心等網(wǎng)絡(luò)環(huán)境,具有訪問控制精準、防護范圍全面、安全管理簡單、防護性能高等特點,可進行企業(yè)內(nèi)網(wǎng)邊界防護、互聯(lián)網(wǎng)出口防護、云數(shù)據(jù)中心邊界防護、Virtual Private Network遠程互聯(lián)等組網(wǎng)應(yīng)用。

3、USG9500

USG9500系列包含USG9520、USG9560、USG9580三種系列,適用于云服務(wù)提供商、大型數(shù)據(jù)中心、大型企業(yè)園區(qū)網(wǎng)絡(luò)等。它擁有最精準的訪問控制、最實用的NGFW特性、最領(lǐng)先的“NP+多核+分布式”架構(gòu)及最豐富的虛擬化,被稱為最穩(wěn)定可靠的安全網(wǎng)關(guān)產(chǎn)品,可用于大型 數(shù)據(jù)中心邊界防護、廣電和二級運營商網(wǎng)絡(luò)出口安全防護、教育網(wǎng)出口安全防護等網(wǎng)絡(luò)場景。

4、NGFW

NGFW,全稱Next Generation Firewall,即下一代防火墻,最早由Gartner提出。NGFW更適用于新的網(wǎng)絡(luò)環(huán)境。NGFW在功能方面不僅要具備標準的防火墻功能,如網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測、Virtual Private Network和大企業(yè)需要的功能,而且要實現(xiàn)IPS和防火墻真正的一體化,而不是簡單地基于模塊。另外,NGFW還需要具備強大的應(yīng)用程序感知和應(yīng)用可視化能力,基于應(yīng)用策略、日志統(tǒng)計、安全能力與應(yīng)用識別深度融合,使用更多的外部信息協(xié)助改進安全策略,如用戶身份識別等。

5、 傳統(tǒng)防火墻與NGFW防火墻的區(qū)別:

傳統(tǒng)的防火墻只能基于時間、IP和端口進行感知,而NGFW防火墻基于六個維度進行管控和防護,分別是應(yīng)用、用戶、內(nèi)容、時間、威脅、位置。其中:

  • 基于應(yīng)用:運用多種手段精確識別web應(yīng)用內(nèi)超過6000以上的應(yīng)用層協(xié)議及其附屬功能,從而進行精準的訪問控制和業(yè)務(wù)加速。其中也包含移動應(yīng)用,如可以通過防火墻區(qū)分微信流量中的語音和文字,進而實現(xiàn)不同的控制策略。

  • 基于用戶:借助于AD活動目錄、目錄服務(wù)器或AAA服務(wù)器等,基于用戶進行訪問控制、QoS管理和深度防護。

  • 基于位置:結(jié)合全球位置信息,智能識別流量的發(fā)起位置,從而獲取應(yīng)用和gong~擊的發(fā)起位置。其根據(jù)位置信息實現(xiàn)對不同區(qū)域訪問流量的差異化控制,同時支持根據(jù)IP信息自定義位置。

在實際應(yīng)用中,應(yīng)用可能使用任意端口,而傳統(tǒng)FW無法根據(jù)端口識別和控制應(yīng)用。NGFW的進步在于更精細的訪問控制。其最佳使用原則為基于應(yīng)用+白名單控制+最小授權(quán)。

目前,華為的NGFW產(chǎn)品主要是USG6000系列,覆蓋從低端的固定化模塊產(chǎn)品到高端的模塊產(chǎn)品。華為下一代防火墻的應(yīng)用識別能力范圍領(lǐng)先同行業(yè)產(chǎn)品20%。

下面圍繞USG6600型號的防火墻產(chǎn)品聊一聊它的工作原理

二、防火墻的工作原理

1、防火墻的工作模式

華為防火墻具有三種工作模式:路由模式、透明模式、混合模式。

1)路由模式:

如果華為防火墻連接網(wǎng)絡(luò)的接口配置IP地址,則認為防火墻工作在路由模式下,當華為防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時,需要將防火墻與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及DMZ三個區(qū)域相連的接口分別配置不同網(wǎng)段的IP地址,所以需要重新規(guī)劃原有網(wǎng)絡(luò)拓撲,此時防火墻首先是一臺路由器,然后提供其他防火墻功能。路由模式需要對網(wǎng)絡(luò)拓撲進行修改(內(nèi)部網(wǎng)絡(luò)用戶需要更高網(wǎng)關(guān)、路由器需要更改路由配置等)。

2)透明模式:

如果華為防火墻通過第二層對外連接(接口無IP地址),則防火墻工作在透明模式下。如果華為防火墻采用透明模式進行工作,只需要在網(wǎng)絡(luò)中像連接交換機一樣連接華為防火墻設(shè)備即可,其最大的優(yōu)點是無須修改任何已有的IP配置;此時防火墻就像一個交換機一樣工作,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)必須處于同一個子網(wǎng)。此模式下,報文在防火墻當中不僅進行二層的交換,還會對報文進行高層分析處理。

3)混合模式:

如果華為防火墻存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口無IP地址),則防火墻工作在混合模式下。這種工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供雙機熱備份的特殊應(yīng)用中,其他環(huán)境不太建議使用。

2、華為防火墻的安全區(qū)域劃分

安全區(qū)域(Security Zone),簡稱為區(qū)域(Zone)。防火墻通過區(qū)域區(qū)分安全網(wǎng)絡(luò)和不安全網(wǎng)絡(luò),在華為防火墻上安全區(qū)域是一個或者多個接口的集合,是防火墻區(qū)分于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò),并基于這些區(qū)域控制區(qū)域間的報文傳遞。當數(shù)據(jù)報文在不同的安全區(qū)域之間傳遞時,將會出發(fā)安全策略檢查。

幾種常見的區(qū)域如下:

  • Trust區(qū)域:主要用于連接公司內(nèi)部網(wǎng)絡(luò),優(yōu)先級為85,安全等級較高。

  • DMZ區(qū)域:非軍事化區(qū)域,是一個軍事用語,是介于嚴格的軍事管制區(qū)和公共區(qū)域之間的一種區(qū)域,在防火墻中通常定義為需要對外提供服務(wù)的網(wǎng)絡(luò),其安全性介于Trust區(qū)域和Untrust區(qū)域之間,優(yōu)先級為50,安全等級中等。

  • Untrust區(qū)域:通常定義外部網(wǎng)絡(luò),優(yōu)先級為5,安全級別很低。Untrust區(qū)域表示不受信任的區(qū)域,互聯(lián)網(wǎng)上威脅較多,所以一般把Internet等不安全網(wǎng)絡(luò)劃入Untrust區(qū)域。

  • Local區(qū)域:通常定義定義防火墻本身,優(yōu)先級為100.防火墻除了轉(zhuǎn)發(fā)區(qū)域之間的報文之外,還需要自身接收或發(fā)送流量,如網(wǎng)絡(luò)管理、運行動態(tài)路由協(xié)議等。由防火墻主動發(fā)起的報文被認為是從local區(qū)域傳出的,需要防火墻響應(yīng)并處理(不是穿越)的報文被認為是由local區(qū)域接收并進行相應(yīng)處理的。

  • 其他區(qū)域:用戶自定義區(qū)域,默認最多自定義16個區(qū)域,自定義區(qū)域沒有默認優(yōu)先級,所以需要手工指定。

防火墻區(qū)域劃分如下圖所示:
華為防火墻及它的工作原理
在實際應(yīng)用場景中,區(qū)域劃分需要注意以下幾點:

  • 安全區(qū)域的優(yōu)先級必須是唯一的,即每個安全區(qū)域都需要對應(yīng)不同的優(yōu)先級,因為防火墻會宮根據(jù)優(yōu)先級大小來確定網(wǎng)絡(luò)的受信任級別。

  • 華為防火墻中,一個接口只能加入一個安全區(qū)域。

  • 華為傳統(tǒng)的防火墻默認情況下對從高優(yōu)先級區(qū)域到低優(yōu)先級區(qū)域方向的流量默認放行,但是最新的NGFW防火墻默認禁止一切流量。

3、防火墻的Inbound和Outbound

防火墻基于區(qū)域之間處理流量,即使由防火墻自身發(fā)起的流量也屬于local區(qū)域和其他區(qū)域之間的流量傳遞。當數(shù)據(jù)流在安全區(qū)域之間流動時,才會激發(fā)華為防火墻進行安全策略的檢查,即華為防火墻的安全策略通常都是基于域間(如Untrust區(qū)域和Trust區(qū)域之間)的,不同的區(qū)域之間可以設(shè)置不同的安全策略。域間的數(shù)據(jù)流分為兩個方向:

  • 入方向(Inbound):數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颉?/strong>

  • 出方向(Outbound):數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?/strong>

4、狀態(tài)化信息(防火墻實現(xiàn)安全防護的基礎(chǔ)技術(shù))

在防火墻技術(shù)中,通常把兩個方向的流量區(qū)別對待,因為防火墻的狀態(tài)化檢測機制,所以針對數(shù)據(jù)流通常只重點處理首個報文,安全策略一旦允許首個報文允許通過,那么將會形成一個會話表,后續(xù)報文和返回的報文如果匹配到會話表將會直接放行,而不再查看策略,從而提高防火墻的轉(zhuǎn)發(fā)效率。如,Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯(lián)網(wǎng),只需要在Trust到UNtrust的Outbound方向應(yīng)用安全策略即可,不需要做UNtrust到Trust區(qū)域的安全策略。

防火墻通過五元組來唯一的區(qū)分一個數(shù)據(jù)流,即源IP、目標IP、協(xié)議、源端口號、目標端口。防火墻把具有相同五元組內(nèi)容的數(shù)據(jù)當做一個數(shù)據(jù)流,數(shù)據(jù)包必須同時匹配指定的五元組才算匹配到這條策略,否則會繼續(xù)匹配后續(xù)策略,它的匹配規(guī)則同樣是匹配即停。

狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制,將通信雙方交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待。在狀態(tài)檢測防火墻看來,同一個數(shù)據(jù)流內(nèi)的報文不再時孤立的個體,而是存在聯(lián)系的。如為數(shù)據(jù)流的第一個報文建立會話,數(shù)據(jù)流內(nèi)的后續(xù)報文將之間根據(jù)會話進行轉(zhuǎn)發(fā),從而提高了轉(zhuǎn)發(fā)效率。

5、安全策略

防火墻的基本作用是保護特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的gong~擊,但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信。安全策略的作用就是對通過防火墻的數(shù)據(jù)流進行檢驗,符合安全策略的合法數(shù)據(jù)流才能通過防火墻??梢栽诓煌挠蜷g方向應(yīng)用不同的安全策略進行不同的控制。

傳統(tǒng)的基于IP、端口及協(xié)議的訪問控制已經(jīng)不能滿足當前的網(wǎng)絡(luò)需求了。華為針對當前的網(wǎng)絡(luò)需求,提出了一體化安全策略。以目前USG6000系列防火墻的V100R001版本采用的是一體化安全策略。所謂的一體化,可以體現(xiàn)在兩個方面,其一是配置上的一體化,如反病毒、郵件過濾、內(nèi)容過濾、應(yīng)用行為過濾等安全檢測通過在策略中引用配置文件實現(xiàn),降低了管理員的配置難度;其二是業(yè)務(wù)上的一體化,一體化的策略只對報文進行以此檢測,多業(yè)務(wù)功能可以并行處理,從而大大提高了處理效率。而傳統(tǒng)的防火墻如UTM產(chǎn)品,是采用串行方式,流量每經(jīng)過一個模塊便進行一次檢測。

華為新一代防火墻對報文的檢測除了基于傳統(tǒng)的五元組(源IP、目標IP、協(xié)議、源端口、目標端口)之外,還可以基于應(yīng)用、內(nèi)容、時間、用戶、威脅及位置對流量進行深層探測,真正實現(xiàn)全方位立體化的檢測能力及精準的訪問控制和安全檢測,如下圖所示:
華為防火墻及它的工作原理
一體化的安全策略有若干規(guī)則組成,而規(guī)則有條件、動作、配置文件和選項構(gòu)成,如下圖所示,其中配置文件的作用是對報文進行內(nèi)容安全檢測,其中包括反bing du,入qin防御、URL過濾、文件過濾、內(nèi)容過濾、應(yīng)用行為控制及郵件過濾。一條規(guī)則可以引用一個或多個配置文件。不同類型的規(guī)則包含對應(yīng)的默認配置文件,管理員也可以手動引用其他一個或多個配置文件。配置文件只有在動作允許時,才能夠被引用。
華為防火墻及它的工作原理
根據(jù)圖片可以看出,條件是匹配某條規(guī)則的依據(jù),如報文的源區(qū)域、目標地址、時間等。滿足規(guī)則的所有條件才算匹配該條件規(guī)則,如報文匹配規(guī)則1的源目區(qū)域、源目地址、用戶、應(yīng)用、服務(wù),但是就是沒有匹配時間,那么該報文也不能匹配第一條規(guī)則,而是應(yīng)該向下繼續(xù)匹配。一條規(guī)則中,不需要配置所有的條件,可以指定一個或少數(shù)幾個條件。如果配置規(guī)則的條件為源區(qū)域為Trust,目標區(qū)域為Untrust,而不配置其他條件,那就意味著其他條件為any,即源區(qū)域為Trust,目標區(qū)域為Untrust,用戶任意、應(yīng)用任意、服務(wù)任意、時間段任意的報文可以匹配該規(guī)則。

  • 條件中的各個元素如果在多條規(guī)則中重復(fù)調(diào)用,或者該元素本身包含多個相關(guān)內(nèi)容,可以考慮配置為對象,對象可被多條規(guī)則調(diào)用。

  • 動作是防火墻對于匹配的流量所采取的處理方式,包含允許、拒絕等。不同的策略可以選擇不同的處理方式。如果處理方式是允許,那么還可以繼續(xù)基于配置文件對報文做后續(xù)處理。

  • 選項是規(guī)則的一些附加功能,如是否針對該規(guī)則記錄日志、本條規(guī)則是否生效等。

條件中的各個元素之間是“與”的關(guān)系,報文的屬性與各個元素必須全部匹配,才認為該報文匹配這條規(guī)則。而條件中的同一元素的多個對象之間是“或”的關(guān)系,報文的屬性只要匹配其中的一個對象,就認為報文的屬性匹配這個元素。如管理員定義了三個地址對象A、B、C,分別對應(yīng)三個IP地址范圍。當條件中的源地址同時引用A、B、C時,只要報文的源IP地址屬于這三個地址對象中的任何一個,則認為其匹配這條規(guī)則。

區(qū)別于傳統(tǒng)的安全策略,一體化的安全策略具有如下幾個特點:

  • 策略配置基于全局,不再基于區(qū)域間配置,安全區(qū)域只是條件的可選配置項,也可在一條規(guī)則中配置多個源區(qū)域或目標區(qū)域。

  • 默認情況拒絕所有區(qū)域間的流量,包括Outbound流量。必須通過策略配置放行所需流量。

  • 安全策略中的默認動作代替了默認包過濾。傳統(tǒng)的防火墻的包過濾基于區(qū)域間的,只針對指定的區(qū)域間生效,而新一代防火墻的默認動作全局生效,且默認動作為拒絕,即拒絕一切流量,除非允許。

同時為了靈活應(yīng)對各種組網(wǎng)的情況,華為防火墻還支持配置域內(nèi)(同一個安全區(qū)域內(nèi))策略,對同一個安全區(qū)域內(nèi)經(jīng)過防火墻的流量進行安全檢查(默認情況下是允許所有域內(nèi)報文通過防火墻的)。防火墻對規(guī)則的處理順序和ACL非常類似。如果同一域間或域內(nèi)應(yīng)用多條安全策略,那么防火墻在轉(zhuǎn)發(fā)報文時,將按照配置按照策略規(guī)則的先后順序從上到下一次匹配。如果未匹配某條規(guī)則(該規(guī)則的條件不滿足),則繼續(xù)往下匹配其他規(guī)則;如果匹配了某條規(guī)則,則不繼續(xù)往下匹配,按照該規(guī)則的動作處理報文;如果所有的規(guī)則都不匹配,那么將執(zhí)行安全策略的默認動作。

默認情況下,華為防火墻的策略有如下特點:

1)任何兩個安全區(qū)域的優(yōu)先級不能相同。

2)本域內(nèi)不同接口間的報文不過濾直接轉(zhuǎn)發(fā)。

3)接口沒有加入域之前不能轉(zhuǎn)發(fā)報文。

4)在USG系列的防火墻上默認是沒有安全策略的,也就是說,不管是什么區(qū)域之間相互訪問,都必須要配置安全策略,除非是同一區(qū)域報文傳遞。

此博文到此結(jié)束,感謝閱讀!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI