一、 初識網絡防火墻1.1、防火墻的基本功能我們這里說的防火墻(Firewall)是一種網絡設備,它在網絡中起到兩個最基本的功能:
· 劃分網絡的邊界
· 加固內網的安全
**劃分網絡的邊界**防火墻設備的其中一個功能,就是劃分網絡的邊界,嚴格地將網絡分為"外網"和"內網"。"外網"則是防火墻認為的——不安全的網絡,不受信任的網絡"內網"則是防火墻認為的——安全的網絡,受信任的網絡你可以這么打一個比喻:如果把網絡比作一個城市,那么"內網"就是你的小區內部,"外網"就是城市道路小區的圍墻就相當于是防火墻,起到了一個隔離"內部環境"和"外部環境"的功能
并且呢,任何一個防火墻設備,在設計上就會強制把"內部"和"外部"的概念。應用在接口上從內部訪問外部默認情況下是允許的,但是從外部訪問內部默認情況下是禁止的(需要設置相關策略才能從外部到內部訪問。)這種情況就像你到任何一個小區或者單位,你從里面出來的時候門衛一般不管你,但是如果想從外面進去,那可就不是那么回事了哦。
**加固網絡的安全**剛才說到了防火墻的其中一個功能,就是網絡流量流向的問題(內到外可以訪問,外到內默認不能訪問),這就從一定程度上加強了網絡的安全性,那就是:"內網屬于私有環境,外人非請莫入!"另外,防火墻還能從另外一些方面來加固內部網絡的安全**1、隱藏內部的網絡拓撲**這種情況用于互聯網防火墻。因為內網一般都會使用私有IP地址,而互聯網是Internet的IP地址。由于在IPv4環境下IP地址不足,內部使用大量的私有地址,轉換到外部少量的Internet地址,這樣的話,外部網絡就不會了解到內部網絡的路由,也就沒法了解到內部網絡的拓撲了。同時,防火墻上還會使用NAT技術,將內部的服務器映射到外部,所以從外部訪問服務器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內部地址。
**2、帶有安全檢測防御**這種功能并不是每一款防火墻都有安全檢測系統(intrusion detection system,簡稱"IDS")是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。 **3、會話日志功能**防火墻都有"會話記錄"功能,每一個數據包在經過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。比如10.112.100.101的主機在訪問外部網絡的時候,只要它訪問成功,都會被防火墻所記錄下來。如果是外部主機訪問內部呢?當然,在你的內部網絡遭受不安全以后,可以在防火墻上查到從外到內,到底是哪個IP地址非法闖入了。如果確實有外部非法闖入內部的訪問,也可以追查防火墻的安全策略設置,看看哪一條安全策略的設置有問題。雖然這看起來是一種"亡羊補牢"的做法,但是能查到危害源,總比你什么都查不到要好啊。1.2、防火墻在企業環境的應用1、互連網出口設備這估計是大家最能想到的一種用途吧。因為Internet就是一個最典型的"外網",當企業網絡接入Internet的時候,為了保證內部網絡不受來自外部的威脅侵害,就會在互聯網出口的位置部署防火墻。
2、分支機構接骨干網作邊界設備在電力行業、金融行業等大型跨地,跨省的企業時,為了企業中各個省級、地市級單位的內部數據通信通常都會自建一張骨干網絡。在每個省級、地市級單位辦公網絡接入骨干網時,就可以在網絡接入點部署防火墻,進一步提高每個單位的辦公網絡安全性。
3、數據中心內保護服務器數據中心(DataCenter)是為企業存放重要數據資料的,同時數據中心內會放置各種各樣功能不一的服務器。想要保證數據的安全,首先就要保證這些服務器的安全。物理上的安全嘛,你就防火防水防賊唄,應用上的安全,找殺毒軟件嘛;但是在網絡上防止,防止非授權人員操作服務器,就需要到防火墻來發揮作用了。一般在傳統的數據中心內,會根據不同的功能來決定服務器的分區,然后在每個分區和核心設備的連接處部署防火墻。
## 1.3、并不是任何場合都適合部署防火墻誰都知道安全性和方便性有時候會有那么一些沖突。你去坐飛機,會經過非常嚴格的安檢,沒個十幾二十分鐘完成不了;但是在坐高鐵,火車或者大巴的時候,安檢可能就沒那么嚴格了。防火墻作為一種網絡安全設備,部署在網絡中會對穿過防火墻的數據包進行攔截,然后確定它符合策略要求以后才會放行。這會對網絡傳輸效率造成一定影響。所以在一些十幾個人的小公司或者是網絡功能單一的環境(網絡就是用來上網用的)是不會使用防火墻的。加上企業級防火墻價格一般比較高(十幾萬到一百多萬不等的價格),在那些以節約成本為先的偏小型私人企業一般不會使用防火墻。所以防火墻一般用于數據中心,大型企業總部,國有企業省級、地區級辦公機構,帶有服務器區域的網絡環境或機密性較高的單位。二、防火墻的生廠商根據防火墻的部署方式,防火墻分為硬件防火墻和軟件防火墻兩種。硬件防火墻:防火墻是一臺網絡設備,獨立上架安裝使用。下圖為大家展示了思科的硬件防火墻,Cisco ASA和Cisco Firepower
軟件防火墻:用一臺多網卡服務器,安裝windows或linux操作系統,再在操作系統上安裝與防火墻相關的功能軟件。下圖為大家展示Microsoft ISA正在發布Exchange服務器
硬件防火墻的生產商很多,但是在國內大多數都是用以下幾種產品:
捷哥列出這些生產商也只是其中一部分,上述廠商的防火墻捷哥都接觸過,但是經常遇到的還是Cisco ASA,Juniper SRX,華為USG,天融信NGFW,迪普DPTec-FW1000這些設備。這里捷哥本人也不敢亂說誰好誰壞吧,只是經過一段時間的觀察,發現了這樣一個小小規律:一般來說Cisco ASA和Juniper SRX,華為USG,H3C FW,迪普FW系列用作內網防火墻較多,而天融信和深信服系列更多用于互聯網出口。軟件防火墻一般都是由軟件公司生產:Windows 自帶的防火墻(一般Windows都作終端使用,很少讓其作為路由設備轉發數據)Linux自帶的防火墻(Netfilter,管理工具叫IPtables)ISA/TMG(微軟軟件)Squid(開源軟件,更多的情況用于代理服務器)## 三、防火墻的分類防火墻按照功能和級別的不同,一般分類這么三類:* 包過濾型防火墻* 狀態檢測型防火墻* 代理型防火墻## 3.1、包過濾型防火墻這種防火墻只能實現最基礎的包過濾功能,按照既定的訪問控制列表對數據包的三、四層信息進行控制,詳細一點就是:三層信息:源IP地址,目標IP地址四層信息:源端口,目標端口這種情況其實用一個路由器或者三層交換機,配置ACL就能實現只有符合了條件的數據包才能被放行,不符合條件的數據包無論如何都不會被放行。但是包過濾型防火墻的性質就是那么"教條"與"頑固不化"!
如果是使用一個路由器,強行設置"從外部到內部拒絕所有流量"會有什么后果呢?
當然,外部的流量全部被ACL阻止了,但是這么設置在某些場合會造成網絡通信故障:比如內部的主機訪問外部TCP協議的服務,需要經過三次握手,其中第二次握手的流量就是從外部到內部的,如果單使用一個路由器的ACL實現包過濾,并且在外部接口配置拒絕所有流量進入,就會導致三次握手無法完成,從而內部主機訪問不到外部的服務。
第一次握手,內部主機10.112.100.101使用隨機端口10025訪問外部的WebServer`200.100.1.2的TCP 80`三層信息源IP地址:10.112.100.101目標IP地址:200.100.1.2源端口:TCP 10025目標端口:TCP 80由于內部接口放行所有流量,所以這個第一次握手的流量被放行了
第二次握手,外部主機200.100.1.2的被動地TCP 80發出相應,將第二次握手的數據包傳回到10.112.100.101的TCP 10025端口上,此時三層信息源IP地址:200.100.1.2目標IP地址:10.112.100.101源端口:TCP 80目標端口:TCP 10025但是外部接口拒絕了所有流量的進入,所以這個第二次握手的包無法送到內部主機,導致三次握手無法完成。從而主機就沒法訪問外部Web Server了
由于TCP連接時,內部主機在發起第一次握手時總是以隨機端口進行連接,所以你在外部也沒法針對相應的端口進行流量的放行,但是如果把外部接口也改為permit ip any any,又會導致內部主機容易受到外部的侵害。
說到這里,捷哥想說一句題外話曾經有一個學員網友問了我一個問題,說是在企業部署了一臺Cisco 6509交換機作為匯聚設備。但是他又想實現這樣的一個功能,看圖吧:
網友的意思是,想在Gi 2/1接口上做一些控制,只允許來自核心方面的流量訪問辦公區域的一些特定端口,其他的全部禁止訪問,問我在這個Cisco 6509上怎么做。我告訴他的是:"如果設備是交換機的話,你這個操作沒法做。因為辦公區的電腦訪問外網或者內網服務器的時候,會打開一些隨機端口,你就沒法知道這些隨機端口是什么。如果你隨便在Gi 2/1接口上去做限制,會導致你辦公區域的電腦根本沒法上網。"## 3.2、狀態檢測型防火墻狀態檢測型防火墻就是為了解決"傻×"的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層"狀態檢測"功能。狀態化檢測型防火墻可以識別出主動流量和被動流量,如果主動流量是被允許的,那么被動流量也是被允許的。例如TCP的三次握手中,第一次流量是主動流量,從內到外,第二次流量就是從外到內的被動流量,這可以被狀態監測型防火墻識別出并且放行。狀態監測型防火墻會有一張"連接表",里面記錄合法流量的信息。當被動流量彈回時,防火墻就會檢查"連接表",只要在"連接表"中查到匹配的記錄,就會放行這個流量
第一次握手,內部主機10.112.100.101使用隨機端口10025訪問外部的WebServer200.100.1.2的TCP 80三層信息源IP地址:10.112.100.101目標IP地址:200.100.1.2源端口:TCP 10025目標端口:TCP 80由于內部接口放行所有流量,所以這個第一次握手的流量被放行了但此時,防火墻在連接表中生成了如下內容:
第二次握手時,是外部主機被動彈回的流量源地址(外部):200.100.1.2源端口(外部):TCP 80目標地址(內部):10.112.100.101目標端口(內部):TCP 10025此時,防火墻會暫時攔截流量,然后檢查連接表,看看內部主機的IP和端口,外部主機的IP和端口是否與連接表中記錄的相同,如果相同,它就會放行這個流量。當然,形成連接表記錄的先決條件是:主動發起訪問一端的流量要符合防火墻的安全策略要求,也就是說內部網絡向外部網絡不被明確拒絕,外部網絡訪問內部網絡被明確允許。只有連接表內記錄了內外主機和IP端口信息的,被動彈回的流量才會被防火墻放行。如果是外部主動發起的流量,而防火墻又沒有允許它訪問內部,由于是外部主動發起的流量,所以防火墻的連接表里沒有相應的信息,這就會遭到防火墻的拒絕。從而達到既保證了內部到外部的正常通信,又使得內部主機不受到外部的侵犯,這就是狀態檢測型防火墻的魅力所在。目前主流的硬件防火墻幾乎都支持狀態監測功能。## 3.3、代理型防火墻代理型防火墻一般是一個安裝在多網卡服務器上的軟件,擁有狀態監測的功能,但是多了一項功能就是代理服務器功能。一般有正向代理和反向代理兩種功能:**正向代理**正向代理用于內部主機訪問Internet服務器的時候,特別是Web服務的時候很管用。當內部主機第一次訪問外部的Web服務器時,代理服務器會將訪問后的內容放在自己的"高速緩存"中,當內部主機再次訪問該Web服務器的時候,如果有相同的內容,代理服務器就會將這個訪問定位到自己的高速緩存,從而提升內部主機的訪問速度。
代理型防火墻的代理功能可以在內部主機訪問Web數據的時候,起到一個緩存加速的情況。但是這種防火墻因為是安裝在一臺服務器上的軟件,其性能受到服務器本身的限制。所以對于一些實時性的數據,或者是從網上下載文件到本地,就可能會被防火墻拖慢網速。目前代理型防火墻在企業一般很少用于正向代理或者是出口網關設備,倒是反向代理更多。**反向代理**反向代理和正向代理有點類似,只不過訪問的方向是外部到內部。當外部主機要訪問內部發布的某個服務器的時候,不會讓它把訪問目標定位到內部服務器上,而是反向代理設備上。反向代理設備會從真實的服務器上抽取數據到自己的緩存中,起到保護真實服務器的功能。反向代理一般單獨部署,不和狀態檢測防火墻部署在一起,各自實現各自的功能。
反向代理在一定程度上可以保護內部的真實服務器,即使遭到危險,也是反向代理被危及被破壞的數據也是緩存。并且反向代理服務器上可能會記錄對方的危險方式,找出網絡系統中存在的缺陷,提醒管理員即使封阻漏洞,修復缺陷。
# 四、關于防火墻的學習方法## 4.1、理解原理,掌握技巧(了解原理,查閱手冊)因為防火墻生產廠商比較多,把每個廠商的防火墻的配置命令和設置方式都拿出來一個一個的說,這個非常不現實。因為在企業內部的防火墻都是生產環境,我不可能那生產環境的防火墻來給大家做試驗品,一來這可能導致網絡故障(責任我背不起啊!)二來我和客戶簽了保密協議,出于職業道德我也不能把這些配置都展示給大家。進口防火墻產品因為是全英文的手冊復雜,但是有著一套比較完善的模擬器系統,可以幫助大家理解防火墻的特性和配置方式,所以,捷哥在這個專欄里面,著重用兩款進口產品(Cisco和Juniper)為大家展示防火墻特性的一些配置及驗證。國內的防火墻產品,捷哥也會在專欄的文章里面體現到。因為國內的產品缺少模擬器,而且實際環境多半是Web界面進行配置,所以對于國內的防火墻產品捷哥重點是教大家如何去查閱手冊(國內產品一定是全中文手冊,非常容易看懂)。## 2、抓住重點,切勿混淆這一點是針對于學過路由交換的讀者說的。曾經捷哥在51cto學院出了一個跟Juniper相關的視頻課程,結果被人打了差評,原因就是我沒有講在防火墻上如何配置OSPF、BGP這些路由協議。在這里我必須給大家強調一下,因為防火墻從最初的設計上來講,就是為了作為網絡邊界設備和安全設備。防火墻的工作重點是在處理包過濾及狀態化會話,以及兼顧一些安全檢測的功能,對路由處理能力并不強。在實際的企業部署中,一般是不會在防火墻上去跑動態路由的。所以,學習防火墻,重點技術就是在安全策略,NAT,以及一些安全的配置還有防火墻雙機熱備上面。## 3、經驗只可借鑒不可照搬防火墻位于網絡的關鍵位置,特別是數據中心的防火墻。一般來說,在企業中運維防火墻的話,防火墻的變更操作會很多,一般都會在安全策略,ACL的地方進行變更操作。所以要玩好防火墻,技術之外的技巧,例如腳本技巧,文本技巧要大于技術之內。捷哥會給大家介紹一些如何去對一些陌生的防火墻廠商的快速上手技巧,大家可以靈活借鑒,但不可生搬硬套哦。還有呢,防火墻很多時候查看多余配置。對于進口防火墻來說,如何在全英文的界面下抓住重點,從查看到的內容中找到關鍵信息和關鍵參數,這也是需要一點點小小的技巧的。當然啦,大家不要只盯著configure,學會show和display也同樣重要。
