網絡運維|防火墻技術
2020-04-30 21:13 作者:admin
網絡運維|防火墻技術
大家好,我是一枚從事IT外包的網絡運維工程師,今天和大家聊點安全方面的技術,這次咱們就聊一聊防火墻技術。防火墻簡介
定義
防火墻(Firewall)是一種隔離技術,使內網和外網分開,可以防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,保護內網免受外部非法用戶的侵入。目的
在大廈構造中,防火墻被設計用來防止火從大廈的一部分傳播到另一部分。網絡中的防火墻有類似的作用:· 防止因特網的危險傳播到私有網絡。
· 在網絡內部保護大型機和重要的資源(如數據)。
· 控制內部網絡的用戶對外部網絡的訪問。
防火墻原理安全域的描述
安全區域
安全域是防火墻功能實現的基礎,防火墻的安全域包括安全區域和安全域間。在防火墻中,安全區域(Security Zone),簡稱為區域(zone),是一個或多個接口的組合,這些接口所包含的用戶具有相同的安全屬性。每個安全區域具有全局唯一的安全優先級。
設備認為在同一安全區域內部發生的數據流動是可信的,不需要實施任何安全策略。只有當不同安全區域之間發生數據流動時,才會觸發防火墻的安全檢查,并實施相應的安全策略。
安全域間
任何兩個安全區域都構成一個安全域間(Interzone),并具有單獨的安全域間視圖,大部分的防火墻配置都在安全域間視圖下配置。例如:配置了安全區域zone1和zone2,則在zone1和zone2的安全域間視圖中,可以配置ACL包過濾功能,表示對zone1和zone2之間發生的數據流動實施ACL包過濾。
在安全域間使能防火墻功能后,當高優先級的用戶訪問低優先級區域時,防火墻會記錄報文的IP、VPN等信息,生成一個流表。當報文返回時,設備會查看報文的IP、VPN等信息,因為流表里記錄有發出報文的信息,所以有對應的表項,返回的報文能通過。低優先級的用戶訪問高優先級用戶時,默認是不允許訪問的。因此,把內網設置為高優先級區域,外網設置為低優先級區域,內網用戶可以主動訪問外網,外網用戶則不能主動訪問內網。
基于安全域的防火墻的優點
傳統的交換機/路由器的策略配置通常都是圍繞報文入接口、出接口展開的,隨著防火墻的不斷發展,已經逐漸擺脫了只連接外網和內網的角色,出現了內網/外網/DMZ(Demilitarized Zone)的模式。在這種組網環境中,傳統基于接口的策略配置方式給網絡管理員帶來了極大的負擔,安全策略的維護工作量成倍增加,從而也增加了因為配置引入安全風險的概率。除了復雜的基于接口的安全策略配置,某些防火墻支持全局的策略配置,全局策略配置的缺點是配置粒度過粗,一臺設備只能配置同樣的安全策略,滿足不了用戶在不同安全區域或者不同接口上實施不同安全策略的要求,使用上具有明顯的局限性。
與基于接口和基于全局的配置相比,基于安全域的防火墻支持基于安全區域的配置方式,通過將接口加入安全區域并在安全區域域間配置安全策略,既降低了網絡管理員配置負擔,又能滿足復雜組網情況下針對安全區域實施不同攻擊防范策略的要求。
防火墻工作模式
為了增加防火墻組網的靈活性,設備不再定義整個設備的工作模式,而是定義接口的工作模式,接口的工作模式如下。路由模式
當設備位于內部網絡和外部網絡之間,同時為設備與內部網絡、外部網絡相連的接口分別配置不同網段的IP地址,并重新規劃原有的網絡拓撲結構。如圖1所示,規劃了2個安全區域:Trust區域和Untrust區域,設備的Trust區域接口與公司內部網絡相連,Untrust區域接口與外部網絡相連。
需要注意的是,Trust區域接口和Untrust區域接口分別處于兩個不同的子網中。
圖1 路由模式組網圖
防火墻的應用案例
防火墻應用在內外網之間
如圖2所示,防火墻用在內外網絡邊緣處,防止外部網絡對內部網絡的入侵。對于使用私有地址的內部網絡,可以通過NAT、ALG技術和防火墻技術結合,實現更進一步的安全防護。圖2 防火墻應用在內外網之間的示意圖
防火墻在內部網絡中的應用
如圖3所示,防火墻用于內部網絡中,主要是為了防止發自內部的攻擊,保障重要數據的安全性。數據中心存儲了大量的公司機密。這時,防火墻就需要配置嚴謹的策略以保護數據中心。圖3 防火墻應用在內部網絡的示意圖
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉