【笔记】防火墙学习笔记

发表于 更新于 分类于 阅读次数:

前言

防火墙学习笔记

防火墙的作用

  • 将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护

防火墙的功能

  • 访问控制
  • 攻击保护(三层和四层的攻击)
  • 冗余设计
  • 路由、交换
  • 日志记录
  • 虚拟专网VPN
  • NAT

防火墙的区域概念

  • 内部区域(高区域):Insidetrust

内网用户

  • 外部区域(低区域):Outsideuntrust

公网用户和服务器

  • 隔离区/非军事化区/停火区(中区域):DMZ

内网服务器

Web应用防火墙

  • Web应用防火墙(WAF)只用来防御DMZ区域内部

入侵防御系统

  • 入侵防御系统(IPS)用来串联审核,通过特征库,牺牲性能,进行流量过滤

入侵检测系统

  • 入侵检测系统(IDS)用来旁路审核,通过特征库,生成报告,不影响网络性能,但是不能拦截流量

防火墙的分类

  • 按防火墙形态分类
    • 软件防火墙
    • 硬件防火墙
  • 按技术实现分类
    • 包过滤防火墙
      最早的防火墙之一,功能简单,配置复杂
    • 状态检测包过滤防火墙
      现代主流防火墙,速度快,配置方便,功能较多
    • 应用网关/应用代理防火墙
      最早的防火墙之二,连接效率低,速度慢
    • WAF防火墙
    • 应用层防火墙

衡量防火墙的指标

  • 吞吐量:在不丢包的情况下单位时间内通过的数据包数量
  • 时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
  • 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
  • 并发连接数:防火墙能够同时处理的点对点连接的最大数目
  • 新建连接数:在不丢包的情况下每秒可以建立的最大连接数

防火墙的工作模式

透明模式

  • 又称为桥模式
  • 工作在二层,不影响当前网络结构

路由模式

  • 工作在三层

混杂模式

  • 透明模式和路由模式的结合
  • 既工作在二层,同时也工作在三层

防火墙的配置

  • 中国的防火墙出厂时默认已经配置了第一个网口,IP地址是192.168.1.254,端口是80(HTTP)或443(HTTPS)

  • 天融信的防火墙系统(Linux)的初始用户名

用户名:superman
密码:talent

  • 天融信的防火墙默认有一个区域,是内网区域

在网页配置

创建区域隔离

  • 资源管理->区域
创建inside区域
  • 添加

名称:inside
访问权限:禁止

  • 可用属性选择属于inside区域的防火墙网卡eth0->添加到成员

  • 确定

创建outside区域
  • 添加

名称:outside
访问权限:禁止

  • 可用属性选择属于inside区域的防火墙网卡eth1->添加到成员

  • 确定

创建DMZ区域
  • 添加

名称:DMZ
访问权限:禁止

  • 可用属性选择属于DMZ区域的防火墙网卡eth2->添加到成员

  • 确定

配置区域IP

  • 网络管理->接口
配置inside的区域IP
  • 选择属于inside区域的防火墙网卡eth0->编辑

描述:inside
模式:路由
地址:防火墙上连接外网区域的网卡的IP地址
掩码:子网掩码

  • 添加->确定
配置outside的区域IP
  • 选择属于ooutside区域的防火墙网卡eth1->编辑

描述:outside
模式:路由
地址:防火墙上连接外网区域的网卡的IP地址
掩码:子网掩码

  • 添加->确定
配置DMZ的区域IP
  • 选择属于DMZ区域的防火墙网卡eth2->编辑

描述:DMZ
模式:路由
地址:防火墙上连接外网区域的网卡的IP地址
掩码:子网掩码

  • 添加->确定

配置路由

  • 网络管理->路由
配置连接互联网的下一跳
  • 添加

目的地址:0.0.0.0
目的掩码:0.0.0.0
网关:(指定下一跳的路由器的IP地址)
接口:(指定出接口的网卡)

  • 确定

配置策略(从内到外)

  • 防火墙->访问控制
inside->outside 和 inside->DMZ
  • 添加策略

区域:inside
地址:任意

目的

区域:outside、DMZ
地址:任意

服务:任意
动作:允许

  • 确定
DMZ->outside
  • 添加策略

区域:DMZ
地址:任意

目的

区域:outside
地址:任意

服务:任意
动作:允许

  • 确定

源地址转换(SNAT)

  • 为了实现内网访问外网时的回包能正确指向IP地址

  • 防火墙->地址转换

  • 添加

模式:源转换

地址:任意
其他:勾选
区域

inside
DMZ

目的

地址:任意
其他:勾选
区域

outside

源地址转换为:(填写防火墙上的连接外网的接口网卡)eth1

目标地址转换(DNAT)

  • 为了实现外网访问内网的服务器时能正确指向IP地址
定义一个地址资源
定义虚拟地址

  • 资源管理->地址

  • 添加

名称:vip-web-hello(定义一个名字)
IP地址:(站点服务器的虚拟IP地址,应该是外网的网段)

  • <-

  • 确定

定义真实地址

  • 资源管理->地址

  • 添加

名称:dmz-web-hello(定义一个名字)
IP地址:(站点服务器的真实IP地址,应该是内网的网段)

  • <-

  • 确定

添加地址转换

  • 防火墙->地址转换

  • 添加

模式:目的转换

地址:任意
其他:勾选
区域:outside

目的

地址:vip-web-hello

服务:HTTP(根据对外发布的服务选择,如果没有默认的端口号,需要在资源管理中定义一个自定义端口号)
目的地址转换为:dmz-web-hello
目的端口转换为:(如果真实访问的端口号与对外发布的端口号不相同,需要在这里定义)

配置策略(从外到内)

  • 防火墙->访问控制

  • 添加

区域:outside

目的

区域:dmz
地址:(天融信配置dmz-web-hello)(思科配置vip-web-hello

进行五层过滤

添加内容安全过滤

  • 防火墙->内容安全策略

  • 添加

策略名称:in-to-out
注释信息:此策略用户inside与dmz通往outside的策略上

  • 根据需要添加应用层过滤

  • 确定

应用策略

  • 防火墙访问控制下,在需要添加内容安全策略的策略点击编辑

内容安全策略:in-to-out

  • 确定

添加具体过滤内容名单

URL过滤

  • 内容过滤->HTTP过滤

  • 添加

名称:黑名单
URL:(添加需要过滤的网站)

  • 确定
内容过滤

  • 内容过滤->HTTP过滤

  • 添加

名称:敏感词
关键词:(添加需要过滤的网站中出现的关键词)

  • 确定

应用具体过滤内容名单

  • 防火墙内容安全策略下,在需要添加具体过滤内容的策略点击编辑

  • 选取过滤的应用

HTTP过滤

内容过滤

URL过滤:黑名单
网页内容过滤:敏感词

完成

参考文献

哔哩哔哩——千锋教育网络安全学院