安全区域
安全区域(Security Zone):一个或多个接口的集合。
在同一个区域内的主机通信是不受安全策略的控制的;
在不同区域之间的主机通信是需要经过安全检查的。
安全区域(默认) | 信任程度 | 优先级 | 描述 |
---|---|---|---|
Local | 最高 | 100 | 设备本身,包括设备的各接口本身 |
Trust | 高 | 85 | 通常用来定义内部用户所在的网络 |
DMZ | 中 | 50 | 通常用来定义内部服务器所在的网络 |
Untrust | 低 | 5 | 通常用来定义Internet等不安全的网络 |
Local安全区域
- 防火墙上提供的Local,代表防火墙本身;
- 凡是有防火墙主动发出的报文可认为是从Local区域中发出的;
- 凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收;
- Local区域中不能添加任何接口,到防火墙上所有业务接口本身都属于Local区域;
⚠️ 由于Local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与Local区域之间的安全策略。(例如:Telnet,网页登录)
安全策略
安全策略由匹配条件(五元组、用户、时间等)和动作组成的控制规则。
匹配过程
-
防火墙最基本的设计原则:没有明确允许的流量默认都会被禁止
-
不同/相同 安全区域的流量受缺省安全策略控制的情况:
- 相同安全区域流量:默认不受缺省安全策略控制(可以开启管控)
- 不同安全区域流量:受缺省安全策略控制(包括但不限于从防火墙发出的流量、防火墙接收的流量、不同安全区域间传输的流量 )
-
安全策略匹配过程如下:
安全策略配置举例
配置流程:安全区域——》配置接口——》配置安全策略
状态检测
状态检测防火墙使用基于连接状态的检测机制,将通双方之间交互的属于同一连接的所有报文都作为整个数据流对待。
状态检测机制:
开启:仅首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
关闭:即使首包没有经过设备,后续包只要通过设备也可以生成会话表项。
注:在报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种情况下,为了保证业务正常,就需要关闭防火墙的状态检测功能。当关闭状态检测功能后,可以通过后续报文建立会话,保证业务的正常运行。
会话机制
防火墙将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。
会话表是用来记录 TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。
通过会话中的五元组可以唯一确定通信双方的一条连接(多条会话的集合叫做会话表)
防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、 UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施
查看会话表
[FW]display firewall session table
2022-10-06 02:57:53.770
Current Total Sessions : 29
tcp VPN: public --> public 10.1.2.2:12113 --> 10.1.2.1:8443
tcp VPN: public --> public 10.1.2.2:12110 --> 10.1.2.1:8443
....
[FW]display firewall session table verbose
2022-10-06 02:58:10.720
Current Total Sessions : 6
tcp VPN: public --> public ID: c287f77a4c44200d9633e442d
Zone: trust --> local TTL: 00:20:00 Left: 00:19:40
Recv Interface: GigabitEthernet1/0/0
Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 0000-0000-0000
<--packets: 306 bytes: 413,816 --> packets: 177 bytes: 27,457
10.1.2.2:12113 --> 10.1.2.1:8443 PolicyName: ---
TCP State: established
ASPF技术
ASPF(application specific packet filter)针对应用层的包过滤
- 通过检测协商报文的应用层携带的地址和端口信息,自动生成响应的server-map表,当数据通道的首包经过防火墙时,防火墙根据server-map生成一条session,用于放行后续数据通道的报文,相当于自动创建了一条精细的”安全策略“。
- 对于特定的应用层协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
单通道协议:通信过程中只需要占用一个端口的协议。(如:telnet)
多通道协议:通信过程中需占用两个或两个以上端口的协议。(如:FTP)
传统防火墙对多通道协议访问控制的不足:传统防火墙只能阻止固定端口的单通道协议。
FTP主动模式的ASPF
- Server-map表是通过ASPF功能自动生成的精细安全策略,是防火墙上的”隐形通道“。
-
FTP主动模式下,客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道,然后使用PORT命令协商两者建立数据通道的端口号,协商得出的端口是yyyy。然后服务器主动向客户端的yyyy端口发起连接请求,建立数据通道。数据通道建立成功后再进行数据传输。
-
在配置安全策略时,如果只配置了允许客户端访问服务器的21端口的安全策略,即控制连接能成功建立。但是当服务器访问客户端yyyy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,如果没有配置服务器到客户端这个方向上的安全策略,该报文无法通过防火墙,导致数据通道建立失败。结果是用户能访问服务器,但无法请求数据。
-
由于PORT命令的应用层信息中携带了客户端的IP地址和向服务器随机开放的端口,防火墙通过分析PORT命令的应用层信息,提前预测到后续报文的行为方式,根据应用层信息中的IP和端口创建Server-map表。服务器向客户端发起数据连接的报文到达防火墙后命中该Server-map表项,不再受安全策略的控制。
Server-map表与会话表的关系