信息安全基礎知識筆記03 防火牆拓撲搭建以及查看會話表

信息安全基礎知識筆記03防火牆拓撲搭建以及查看會話表

　　由信息安全基礎知識筆記02（https://www.cnblogs.com/zylSec/p/14847779.html），我們已經知道狀態檢測防火牆是基於使用會話表來保存數據連接的狀態的。通過會話表記錄下數據包首包的狀態，該流量的后續數據包對將會根據這個狀態進行判斷允許或是禁止通過。這樣大幅度的提升了數據包通過防火牆的效率。

　　本節筆記主要介紹如何在華為模擬器eNSP搭建防火牆（USG6000V）的實驗拓撲，使用命令行和Web界面配置防火牆以及進一步介紹會話表的構成。

 

 

　　防火牆的拓撲搭建

　　拓撲如下圖所示。本次實驗使用新一代的型號為USG6000V的防火牆（NGFW）。拓撲中還有一台位於Trust區域（內網）的主機PCA，一台位於Untrust區域（外網）的主機PCB，IP配置如下圖中已經給出。

　　此外，圖中還有一個Cloud，是用於將本機與模擬器的網卡進行映射，達到使用Web界面配置防火牆的目的。具體操作在下面會詳細說明。

 　　

 

 

 

　　配置Cloud將本機與模擬器的網卡進行映射

　　Step 1：在本電腦添加一個環回（Loopback）網卡。

　　本次實驗環境使用的是Win10系統，若使用其他系統操作的方法可能會有差別，詳情可自行百度查詢。

　　首先，通過快捷鍵WIN+R打開運行界面，在搜索框中輸入devmgmt.msc來打開設備管理器。

 　　

 

 

　　在設備管理器界面，選中“操作”=》“添加過時硬件”，點選“安裝我手動從列表選擇的硬件”，繼續選擇下一步。

 　　

 

 

　　下拉列表，選中“網絡適配器”，繼續選擇下一步。

 　　

 

 　

　　廠商選擇“Microsoft”，型號選擇“Microsoft KM-TEST 環回適配器”。繼續點擊下一步，這樣系統就會為你的設備安裝一個新的虛擬環回網卡。

 　　

 

　　這樣，就可以在網絡連接中查看到新增的網卡信息。右鍵點擊“屬性”，通過靜態的方式配置IPv4地址為192.168.50.1/24。（這個環回網卡地址不唯一，只要是內網地址，且不和其他網卡獲取的地址沖突即可）。

 　　

 

 　　

 

 

 

　　Step 2：將eNSP模擬器的虛擬網卡與剛新增的環回網卡進行映射

　　雙擊eNSP的Cloud，首先將該兩張網卡加入到池中。

　　①“綁定信息”中選擇剛新增的環回網卡，“端口類型”選擇Eth或GE均可，最后點擊增加。

 　　

 

 

　　②同樣的操作步驟，“綁定信息“選擇UDP，“端口類型”選擇Eth或GE，將Cloud本地的網卡添加進去。

 　　

 

　　③端口映射設置。下方選擇“端口類型”為GE，出入口對應上圖中添加進來的網卡的“No.”。勾選上雙向通道，點擊增加，可以在右邊的“端口映射列表”查看到配置結果。

 　　

 

 

　　Step 3：Cloud配置端口映射結束，你會發現現在Cloud可以與防火牆連接網線了，如下圖所示。

 　　

 

 

 

　　防火牆的互聯互通配置，區域配置，策略配置

　　① 防火牆互聯互通配置

　　防火牆默認密碼為Admin@123，因其要求第一次登陸需修改密碼，則這里筆者修改為admin@123。

 　　

　　成功登入。

 　　

　　為防火牆各個端口配置IP地址。

 　　

 

　　② 防火牆區域配置

　　先將GE1/0/1和GE1/0/2分別加入到Trust區域和Untrust區域中。

 　　

　　連接Cloud的GE1/0/3加入到自定義的NM區域中，區域優先級設置為80。

 　　

 

 

　　最后可以使用命令查看區域配置情況

　　命令：display zone

 　　

 

 　　

 

　　③ 防火牆區域互訪策略配置

　　我們知道防火牆默認是拒絕所有流量的。因此，我們需要配置策略使trust區域的主機可以訪問Untrust區域的主機。

　　Tips：有些命令為USG6000V的新配置命令集，與上一節筆記的USG5500的配置命令集略有不同，請大家留意。

 　　

　　在創建安全策略並命名后，要指定源區域（source-zone）以及目的區域（destination-zone），防火牆以此來確定你要配置策略要過濾的流量的方向。最后指定動作為允許（permit）或拒絕（deny）。

 　　

 

 　　

　　配置完畢后，可以測試到結果為位於Trust區域的PC A能訪問Untrust區域的PC B，反過來PCB無法訪問PC A。

 

 

　　使用Web界面管理防火牆

　　在上文筆記中，我們已經做好了本機端口和eNSP模擬器端口的映射，並將其連接到防火牆的端口GE1/0/3上，端口對應的區域為自定義的NM區域。

　　配置完端口IP后，我們仍然需要放行端口的策略，使端口可以放行https的流量，這樣才能通過Web訪問防火牆的可視化界面。

 　　

　　放行了ping（即ICMP協議）和https協議流量后，在本機測試是否可以ping通防火牆的端口GE1/0/3的IP地址。

 　　

　　可以看到可以訪問，那么打開瀏覽器，輸入防火牆的URL（https://192.168.50.254:8443）即可登錄防火牆的可視化界面。

 　　

　　輸入密碼登錄進去后，可以看到防火牆有非常多的功能模塊，分別是面板、監控、策略、對象、網絡和系統。

 　　

　　這些功能以后會慢慢進行介紹，今天我們先來了解基礎的設置。

 

　　① 配置端口IP地址：點擊“網絡”=》“接口”，進入配置界面。

 　　

　　選中其中一個端口，點最右邊的編輯，進入編輯界面。可以看到已配置的端口安全區域，IP地址等。

 　　

　　還可以配置端口出入方向的帶寬，訪問管理（剛才已經用命令行配置過了）等，另外還有高級選項，制定更深入的端口配置。

　　

 

 

　　② 制定區域安全訪問策略：點擊“策略”=》“安全策略”

 　　

　　點擊最右邊的編輯，進入編輯界面。可以看到非常多的配置選項。

 　　

　　這里比如常用的功能是記錄流量日志，會話，策略命中等日志，會話老化時間等。

 　　

 

 

　　會話表項

　　（1）基本概念

　　會話是狀態檢測防火牆的基礎，每一個通過防火牆的數據流都會在防火牆上建立一個會話表項，以五元組（源目的IP地址、源目的端口、協議號）為Key值，通過建立動態的會話表提供域間轉發數據流更高的安全性。

 　　

 

 

 

　　下一代防火牆在五元組基礎上增加用戶、應用字段擴展為七元組。其將會包括七個元素：

　　① 源IP地址

　　② 源端口

　　③ 目的IP地址

　　④ 目的端口

　　⑤ 協議號

　　⑥ 用戶

　　⑦ 應用

 

　　（2）在防火牆上查看會話表項

　　首先，我們要讓防火牆生成會話表項。使用PC A訪問PC B，然后迅速在防火牆使用命令查看會話表項。

　　命令：display firewall session table

 　　

　　可以看到，由於使用ICMP協議來驗證聯通性，一共發出了五個ICMP請求包，每個請求包由於使用了不同的源端口，而被當成不同了會話。

　　對會話表中不同字段的解析：

　　① current total sessions : 當前會話表數統計

　　② icmp : 協議名稱

　　③ VPN:public-->public : VPN實例名稱，表示方式為：源方向-->目的方向

　　④ 172.16.1.1:36360 --> 200.1.1.1:2048 :  會話表信息

 

 

　　命令：display firewall session table verbose

　　可以查看更為詳細的信息。如下圖所示：由於一直用Web連接防火牆，這也會被防火牆記錄為會話而保存下來。

 　　

　　對會話表中不同字段的解析：

　　① netbios-name : 協議名稱

　　② ID : 當前會話ID

　　③ TTL : 該會話表項總的生存時間

　　④ Left : 該會話表項剩余生存時間

　　⑤ Output-interface : 出接口

　　⑥ NextHop : 下一跳IP地址

　　⑦ MAC : 下一跳MAC地址

　　⑧ <--packets:0 bytes:0 : 該會話入方向的報文數（包括分片）和字節數統計

　　⑨ -->packets:15 bytes:1170 : 該會話出方向的分片報文數（包括分片）和字節數統計

　　⑩ PolicyName : 報文匹配的策略名稱

 

　　有些字段上面已經介紹過了，這里不再重復介紹。

 

 

　　至此，防火牆的拓撲搭建以及會話表已經介紹完畢。下一節筆記將會繼續介紹防火牆的ASPF技術和ServerMap的產生，以及簡單介紹一下分片緩存和長連接的技術。