http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html
華為防火牆產品線
安全區域
1. 默認防火牆區域
- Trust區域,該區域內網絡的受信任程度高,通常用來定義內部用戶所在的網絡。
- DMZ區域,該區域內網絡的受信任程度中等,通常用來定義內部服務器所在的網絡。
- Untrust區域,該區域代表的是不受信任的網絡,通常用來定義Internet等不安全的網絡。
特殊區域Local區域:(防火牆上提供了Local區域,代表防火牆本身)
- 凡是由防火牆主動發出的報文均可認為是從Local區域中發出
- 凡是需要防火牆響應並處理(而不是轉發)的報文均可認為是由Local區域接收。
也就是說,報文通過接口去往某個網絡時,目的安全區域是該接口所在的安全區域;報文通過接口到達防火牆本身時,目的安全區域是Local區域。
2. 安全級別
每個安全區域都有一個唯一的安全級別,用1~100的數字表示,數字越大,則代表該區域內的網絡越可信。對於默認的安全區域,它們的安全級別是固定的:
- Local區域的安全級別是100
- Trust區域的安全級別是85
- DMZ區域的安全級別是50
- Untrust區域的安全級別是5。
- inbound/outbound
報文從低級別的安全區域向高級別的安全區域流動時為入方向(Inbound),報文從由高級別的安全區域向低級別的安全區域流動時為出方向(Outbound)。
默認情況下,報文在不同的安全區域之間流動時,才會觸發安全檢查,在同一個安全區域中流動時,不會觸發安全檢查。同時,華為的防火牆也支持對同一個安全區域內經過防火牆的流量進行安全檢查
3. 狀態檢測和會話機制
display firewall session table
Current Total Session: 1
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
http表示協議,1.1.1.1表示源地址,2049表示源端口,2.2.2.2表示目的地址,80表示目的端口。
其實通過“-->”符號就可以直觀區分源和目的,符號前面的是源,符號后面的是目的。
會話是動態生成的,但不是永遠存在的。如果長時間沒有報文匹配,則說明通信雙方已經斷開了連接,不再需要該條會話了。此時,為了節約系統資源,防火牆會在一段時間后刪除會話,該時間稱為會話的老化時間。
防火牆安全策略
1. 缺省策略:
- 缺省情況下,所有域間的所有方向都禁止報文通過,可以根據需求配置允許哪些數據流通過防火牆的安全策略。
- 對於路由、ARP等底層協議一般是不受安全策略控制的,直接允許通過。當然這和具體產品實現有關,產品間可能有差異。
- 除了經過防火牆轉發的數據流,設備本身與外界互訪的數據流也同樣受安全策略的控制!例如當登錄設備、網管與設備對接時,需要配置登錄PC/網管所在安全區域與Local域之間的安全策略。
- 域內流量默認允許。可以通過配置對域內流量進行檢測
2. 安全策略的應用方向
對於同一條數據流,在訪問發起的方向上應用安全策略即可,反向報文不需要額外的策略。
這點和路由器、交換機包過濾不一樣,主要原因就是防火牆是狀態檢測設備,對於同一條數據流只有首包匹配安全策略並建立會話,后續包都匹配會話轉發。
Trust域的PC訪問Untrust域的Server,只需要在Trust到Untrust的Outbound方向上應用安全策略允許PC訪問Server即可,對於Server回應PC的應答報文會命中首包建立的會話而允許通過。
如果確實需要開放Server主動訪問PC的權限,這時才需要在Inbound方向上也應用安全策略。
3. 安全策略的匹配
- 防火牆將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配,則此流量成功匹配安全策略。如果其中有一個條件不匹配,則未匹配安全策略。
- 同一域間或域內應用多條安全策略,策略的優先級按照配置順序進行排列,越先配置的策略優先級越高,越先匹配報文。如果報文匹配到一條策略就不再繼續匹配剩下的策略,如果沒有匹配到任何策略就按缺省包過濾處理。
防火牆策略的發展
基於ACL的包過濾:
1. 基於ACL的包過濾的配置方式是先配置好包含多條數據流規則(rule)的ACL,其中每條rule包含數據流的匹配條件和permit/deny動作
2. 然后ACL再被域間包過濾引用。一個域間只能引用一個ACL。
發展中期的UTM設備安全策略:
將防火牆包過濾功能和內容安全功能進行了融合,不啟用UTM功能時就是原始的包過濾;動作為permit的安全策略可以引用IPS、AV等UTM策略,對流量進一步進行UTM檢測,通過檢測的流量才能真正通過防火牆。
UTM更多的是體現功能集成,將傳統防火牆、入侵防御設備、反病毒設備等集成到一個硬件。UTM設備的多個安全功能之間的緊密度不高,報文匹配安全策略的匹配條件后需要逐一進入各個UTM模塊進行檢測和處理,如果同時開啟多個安全功能,設備性能往往大幅下降。
另外基於應用的管控需要配置額外的應用控制策略,不能直接將應用類型作為策略的匹配條件。例如需要禁止員工使用IM應用,此時要額外配置禁止IM應用的“應用控制策略”然后再在安全策略引用生效。也就是應用識別與管控需要進入另外一個模塊處理。
NGFW的一體化安全策略 :
1. NGFW之前的安全策略都是應用在域間的(安全區域必配),NGFW的安全策略應用在全局,安全區域與IP地址等一樣只是作為可選的匹配條件。而且安全區域支持多選。
這樣配置更靈活,可以不關注安全區域、域間方向,只需關注訪問的源/目的。另外還可以實現跨多域的訪問的一次性配置。
2. 缺省包過濾也是全局只有一條,不再區分域間
3. 增加應用作為匹配條件,對應用的阻斷/允許直接在安全策略中配置。
4. 增加用戶作為匹配條件,實現基於用戶的管控,即使IP發生變化用戶的權限也是不變的
5. 通過高性能的一體化檢測引擎實現一次掃描、實時檢測,即使開啟所有內容安全功能,也不會造成設備性能的大幅下降。
