包過(guò)濾技術(shù)基礎

包過(guò)濾技術(shù)簡(jiǎn)介：

對需要轉發(fā)的數據包，先獲取報頭信息，然后和設定的規則進(jìn)行比較，根據比較的結果對數據包進(jìn)行轉發(fā)或丟棄。

實(shí)現包過(guò)濾的核心技術(shù)是訪(fǎng)問(wèn)控制列表。

• 包過(guò)濾作為一種網(wǎng)絡(luò )安全保護機制，主要用于對網(wǎng)絡(luò )中各種不同的流量是否轉發(fā)做一個(gè)最基本的控制。
• 傳統的包過(guò)濾防火墻對于需要轉發(fā)的報文，會(huì )先獲取報文頭信息，包括報文的源IP地址、目的IP地址、IP層所承載的上層協(xié)議的協(xié)議號、源端口號和目的端口號等，然后和預先設定的過(guò)濾規則進(jìn)行匹配，并根據匹配結果對報文采取轉發(fā)或丟棄處理。
• 包過(guò)濾防火墻的轉發(fā)機制是逐包匹配包過(guò)濾規則并檢查，所以轉發(fā)效率低下。目前防火墻基本使用狀態(tài)檢查機制，將只對一個(gè)連接的首包進(jìn)行包過(guò)濾檢查，如果這個(gè)首包能夠通過(guò)包過(guò)濾規則的檢查，并建立會(huì )話(huà)的話(huà)，后續報文將不再繼續通過(guò)包過(guò)濾機制檢測，而是直接通過(guò)會(huì )話(huà)表進(jìn)行轉發(fā)。

包過(guò)濾的基礎：

包過(guò)濾能夠通過(guò)報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議等信息組合定義網(wǎng)絡(luò )中的數據流，其中源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無(wú)組，也是組成TCP/UDP連接非常重要的五個(gè)元素。

防火墻安全策略：

定義：

1. 安全策略是按一定規則檢查數據流是否可以通過(guò)防火墻的基本安全控制機制。
2. 規則的本質(zhì)是包過(guò)濾。

主要應用：

1. 對跨防火墻的網(wǎng)絡(luò )互訪(fǎng)進(jìn)行控制。
2. 對設備本身的訪(fǎng)問(wèn)進(jìn)行控制。

防火墻的基本作用是保護特定網(wǎng)絡(luò )免受“不信任”的網(wǎng)絡(luò )的攻擊，但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò )之間可以進(jìn)行合法的通信。安全策略的作用就是對通過(guò)防火墻的數據流進(jìn)行檢驗，符合安全策略的合法數據流才能通過(guò)防火墻。

通過(guò)防火墻安全策略可以控制內網(wǎng)訪(fǎng)問(wèn)外網(wǎng)的權限、控制內網(wǎng)不同安全級別的子網(wǎng)間的訪(fǎng)問(wèn)權限等。同時(shí)也能夠對設備本身的訪(fǎng)問(wèn)進(jìn)行控制，例如限制哪些IP地址可以通過(guò)Telnet和Web等方式登錄設備，控制網(wǎng)管服務(wù)器、NTP服務(wù)器等與設備的互訪(fǎng)等。

防火墻安全策略的原理：

過(guò)程：

1. 入數據流經(jīng)過(guò)防火墻
2. 查找防火墻安全策略，判斷是否允許下一步操作。
3. 防火墻根據安全策略定義規則對包進(jìn)行處理。

防護墻安全策略的作用：

根據定義的規則對經(jīng)過(guò)防火墻的流量進(jìn)行篩選，并根據關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。

安全策略分類(lèi)：

• 域間安全策略

  域間安全策略用于控制域間流量的轉發(fā)（此時(shí)稱(chēng)為轉發(fā)策略），適用于接口加入不同安全區域的場(chǎng)景。域間安全策略按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類(lèi)型）、用戶(hù)等多種方式匹配流量，并對符合條件的流量進(jìn)行包過(guò)濾控制（permit/deny）或高級的UTM應用層檢測。域間安全策略也用于控制外界與設備本身的互訪(fǎng)（此時(shí)稱(chēng)為本地策略），按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類(lèi)型）等多種方式匹配流量，并對符合條件的流量進(jìn)行包過(guò)濾控制（permit/deny），允許或拒絕與設備本身的互訪(fǎng)。

• 域內安全策略

  缺省情況下域內數據流動(dòng)不受限制，如果需要進(jìn)行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類(lèi)型）、用戶(hù)等多種方式匹配流量，然后對流量進(jìn)行安全檢查。例如：市場(chǎng)部和財務(wù)部都屬于內網(wǎng)所在的安全區域Trust，可以正?；ピL(fǎng)。但是財務(wù)部是企業(yè)重要數據所在的部門(mén)，需要防止內部員工對服務(wù)器、PC等的惡意攻擊。所以在域內應用安全策略進(jìn)行IPS檢測，阻斷惡意員工的非法訪(fǎng)問(wèn)。

• 接口包過(guò)濾

  當接口未加入安全區域的情況下，通過(guò)接口包過(guò)濾控制接口接收和發(fā)送的IP報文，可以按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類(lèi)型）等多種方式匹配流量并執行相應動(dòng)作（permit/deny）?；贛AC地址的包過(guò)濾用來(lái)控制接口可以接收哪些以太網(wǎng)幀，可以按MAC地址、幀的協(xié)議類(lèi)型和幀的優(yōu)先級匹配流量并執行相應動(dòng)作（permit/deny）。硬件包過(guò)濾是在特定的二層硬件接口卡上實(shí)現的，用來(lái)控制接口卡上的接口可以接收哪些流量。硬件包過(guò)濾直接通過(guò)硬件實(shí)現，所以過(guò)濾速度更快。

防火墻轉發(fā)原理

防火墻域間轉發(fā)：

• 早期包過(guò)濾防火墻采取的是“逐包檢測”機制，即對設備收到的所有報文都根據包過(guò)濾規則每次都進(jìn)行檢查以決定是否對該報文放行。這種機制嚴重影響了設備轉發(fā)效率，使包過(guò)濾防火墻成為網(wǎng)絡(luò )中的轉發(fā)瓶頸。
• 于是越來(lái)越多的防火墻產(chǎn)品采用了“狀態(tài)檢測”機制來(lái)進(jìn)行包過(guò)濾。“狀態(tài)檢測”機制以流量為單位來(lái)對報文進(jìn)行檢測和轉發(fā)，即對一條流量的第一個(gè)報文進(jìn)行包過(guò)濾規則檢查，并將判斷結果作為該條流量的“狀態(tài)”記錄下來(lái)。對于該流量的后續報文都直接根據這個(gè)“狀態(tài)”來(lái)判斷是轉發(fā)還是丟棄，而不會(huì )再次檢查報文的數據內容。這個(gè)“狀態(tài)”就是我們平常所述的會(huì )話(huà)表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉發(fā)效率，已經(jīng)成為目前主流的包過(guò)濾機制。
• 在防火墻一般是檢查IP報文中的五個(gè)元素，又稱(chēng)為“五元組”，即源IP地址和目的IP地址，源端口號和目的端口號，協(xié)議類(lèi)型。通過(guò)判斷IP數據報文報文的五元組，就可以判斷一條數據流相同的IP數據報文。
• 其中TCP協(xié)議的數據報文，一般情況下在三次握手階段除了基于五元組外，還會(huì )計算及檢查其它字段。三次握手建立成功后，就通過(guò)會(huì )話(huà)表中的五元組對設備收到后續報文進(jìn)行匹配檢測，以確定是否允許此報文通過(guò)。

查詢(xún)和創(chuàng )建會(huì )話(huà)：

可以看出，對于已經(jīng)存在會(huì )話(huà)表的報文的檢測過(guò)程比沒(méi)有會(huì )話(huà)表的報文要短很多。而通常情況下，通過(guò)對一條連接的首包進(jìn)行檢測并建立會(huì )話(huà)后，該條連接的絕大部分報文都不再需要重新檢測。這就是狀態(tài)檢測防火墻的“狀態(tài)檢測機制”相對于包過(guò)濾防火墻的“逐包檢測機制”的改進(jìn)之處。這種改進(jìn)使狀態(tài)檢測防火墻在檢測和轉發(fā)效率上有迅速提升。

狀態(tài)監測機制：

• 狀態(tài)監測機制開(kāi)啟狀態(tài)下，只有首包通過(guò)設備才能建立會(huì )話(huà)表項，后續包直接匹配會(huì )話(huà)表項進(jìn)行轉發(fā)。
• 狀態(tài)監測機制關(guān)閉狀態(tài)下，即使首包沒(méi)有經(jīng)過(guò)設備，后續好只要通過(guò)設備也可以生成會(huì )話(huà)表項。

對于TCP報文

• 開(kāi)啟狀態(tài)檢測機制時(shí)，首包（SYN報文）建立會(huì )話(huà)表項。對除SYN報文外的其他報文，如果沒(méi)有對應會(huì )話(huà)表項（設備沒(méi)有收到SYN報文或者會(huì )話(huà)表項已老化），則予以丟棄，也不會(huì )建立會(huì )話(huà)表項。
• 關(guān)閉狀態(tài)檢測機制時(shí)，任何格式的報文在沒(méi)有對應會(huì )話(huà)表項的情況下，只要通過(guò)各項安全機制的檢查，都可以為其建立會(huì )話(huà)表項。

對于UDP報文

• UDP是基于無(wú)連接的通信，任何UDP格式的報文在沒(méi)有對應會(huì )話(huà)表項的情況下，只要通過(guò)各項安全機制的檢查，都可以為其建立會(huì )話(huà)表項。

對于ICMP報文

• 開(kāi)啟狀態(tài)檢測機制時(shí)，沒(méi)有對應會(huì )話(huà)的ICMP應答報文將被丟棄。
• 關(guān)閉狀態(tài)檢測機制時(shí)，沒(méi)有對應會(huì )話(huà)的應答報文以首包形式處理

會(huì )話(huà)表項：

會(huì )話(huà)是狀態(tài)檢測防火墻的基礎，每一個(gè)通過(guò)防火墻的數據流都會(huì )在防火墻上建立一個(gè)會(huì )話(huà)表項，以五元組（源目的IP地址、源目的端口、協(xié)議號）為Key值，通過(guò)建立動(dòng)態(tài)的會(huì )話(huà)表提供域間轉發(fā)數據流更高的安全性。

防火墻安全策略及應用

域間安全策略的匹配規則：

• 域間缺省包過(guò)濾

  當數據流無(wú)法匹配域間安全策略時(shí)，會(huì )按照域間缺省包過(guò)濾規則來(lái)轉發(fā)或丟棄該數據流的報文。

• 轉發(fā)策略

  轉發(fā)策略是指控制哪些流量可以經(jīng)過(guò)設備轉發(fā)的域間安全策略，對域間（除Local域外）轉發(fā)流量進(jìn)行安全檢查，例如控制哪些Trust域的內網(wǎng)用戶(hù)可以訪(fǎng)問(wèn)Untrust域的Internet。

• 本地策略

  本地策略是指與Local安全區域有關(guān)的域間安全策略，用于控制外界與設備本身的互訪(fǎng)。

域間安全策略業(yè)務(wù)流程：

報文入站后，將首先匹配會(huì )話(huà)表，如果命中會(huì )話(huà)表，將進(jìn)入后續包處理流程，刷新會(huì )話(huà)表時(shí)間，并直接根據會(huì )話(huà)表中的出接口，轉發(fā)數據。

報文入站后，將首先匹配會(huì )話(huà)表，如果沒(méi)有命中會(huì )話(huà)表，將進(jìn)入首包包處理流程。依次進(jìn)行黑名單檢查，查找路由表，匹配域間安全策略，新建會(huì )話(huà)表，轉發(fā)數據。

黑名單的實(shí)現原理就是：設備上建立一個(gè)黑名單表。對于接收到的報文的源IP地址存在于黑名單中，就將該報文予以丟棄。

黑名單分類(lèi)：

• 靜態(tài)黑名單

  管理員可以通過(guò)命令行或Web方式手工逐個(gè)將IP地址添加到黑名單中。

• 動(dòng)態(tài)黑名單

  轉發(fā)策略和缺省域間包過(guò)濾優(yōu)先級

  轉發(fā)策略?xún)?yōu)先于缺省域間包過(guò)濾匹配。設備將首先查找域間的轉發(fā)策略，如果沒(méi)有找到匹配項將匹配缺省包過(guò)濾進(jìn)行處理。

• 刷新會(huì )話(huà)表

  刷新會(huì )話(huà)表主要是刷新會(huì )話(huà)表老化時(shí)間，老化時(shí)間決定會(huì )話(huà)在沒(méi)有相應的報文匹配的情況下，何時(shí)被系統刪除。

配置轉發(fā)策略流程：

基于IP地址的轉發(fā)策略配置示例：

實(shí)驗拓撲：

實(shí)驗要求：

如上圖，防火墻的Gi0/0/0口在Trust區域，Gi0/0/01在UNtrust區域，通過(guò)配置策略，使得內網(wǎng)中除了PC1:192.168.1.2可以訪(fǎng)問(wèn)服務(wù)器，其他主機都不能訪(fǎng)問(wèn)服務(wù)器。

配置文件：

FW配置文件：

配置成功后測試：