包過(guò)濾技術(shù)基礎(chǔ)

包過(guò)濾技術(shù)簡(jiǎn)介：

對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取報(bào)頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。

實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表。

• 包過(guò)濾作為一種網(wǎng)絡(luò)安全保護(hù)機(jī)制，主要用于對(duì)網(wǎng)絡(luò)中各種不同的流量是否轉(zhuǎn)發(fā)做一個(gè)最基本的控制。
• 傳統(tǒng)的包過(guò)濾防火墻對(duì)于需要轉(zhuǎn)發(fā)的報(bào)文，會(huì)先獲取報(bào)文頭信息，包括報(bào)文的源IP地址、目的IP地址、IP層所承載的上層協(xié)議的協(xié)議號(hào)、源端口號(hào)和目的端口號(hào)等，然后和預(yù)先設(shè)定的過(guò)濾規(guī)則進(jìn)行匹配，并根據(jù)匹配結(jié)果對(duì)報(bào)文采取轉(zhuǎn)發(fā)或丟棄處理。
• 包過(guò)濾防火墻的轉(zhuǎn)發(fā)機(jī)制是逐包匹配包過(guò)濾規(guī)則并檢查，所以轉(zhuǎn)發(fā)效率低下。目前防火墻基本使用狀態(tài)檢查機(jī)制，將只對(duì)一個(gè)連接的首包進(jìn)行包過(guò)濾檢查，如果這個(gè)首包能夠通過(guò)包過(guò)濾規(guī)則的檢查，并建立會(huì)話的話，后續(xù)報(bào)文將不再繼續(xù)通過(guò)包過(guò)濾機(jī)制檢測(cè)，而是直接通過(guò)會(huì)話表進(jìn)行轉(zhuǎn)發(fā)。

包過(guò)濾的基礎(chǔ)：

包過(guò)濾能夠通過(guò)報(bào)文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流，其中源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、上層協(xié)議就是在狀態(tài)檢測(cè)防火墻中經(jīng)常所提到的五無(wú)組，也是組成TCP/UDP連接非常重要的五個(gè)元素。

防火墻安全策略：

定義：

1. 安全策略是按一定規(guī)則檢查數(shù)據(jù)流是否可以通過(guò)防火墻的基本安全控制機(jī)制。
2. 規(guī)則的本質(zhì)是包過(guò)濾。

主要應(yīng)用：

1. 對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制。
2. 對(duì)設(shè)備本身的訪問(wèn)進(jìn)行控制。

防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。安全策略的作用就是對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)，符合安全策略的合法數(shù)據(jù)流才能通過(guò)防火墻。

通過(guò)防火墻安全策略可以控制內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的權(quán)限、控制內(nèi)網(wǎng)不同安全級(jí)別的子網(wǎng)間的訪問(wèn)權(quán)限等。同時(shí)也能夠?qū)υO(shè)備本身的訪問(wèn)進(jìn)行控制，例如限制哪些IP地址可以通過(guò)Telnet和Web等方式登錄設(shè)備，控制網(wǎng)管服務(wù)器、NTP服務(wù)器等與設(shè)備的互訪等。

防火墻安全策略的原理：

過(guò)程：

1. 入數(shù)據(jù)流經(jīng)過(guò)防火墻
2. 查找防火墻安全策略，判斷是否允許下一步操作。
3. 防火墻根據(jù)安全策略定義規(guī)則對(duì)包進(jìn)行處理。

防護(hù)墻安全策略的作用：

根據(jù)定義的規(guī)則對(duì)經(jīng)過(guò)防火墻的流量進(jìn)行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。

安全策略分類：

• 域間安全策略

  域間安全策略用于控制域間流量的轉(zhuǎn)發(fā)（此時(shí)稱為轉(zhuǎn)發(fā)策略），適用于接口加入不同安全區(qū)域的場(chǎng)景。域間安全策略按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類型）、用戶等多種方式匹配流量，并對(duì)符合條件的流量進(jìn)行包過(guò)濾控制（permit/deny）或高級(jí)的UTM應(yīng)用層檢測(cè)。域間安全策略也用于控制外界與設(shè)備本身的互訪（此時(shí)稱為本地策略），按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類型）等多種方式匹配流量，并對(duì)符合條件的流量進(jìn)行包過(guò)濾控制（permit/deny），允許或拒絕與設(shè)備本身的互訪。

• 域內(nèi)安全策略

  缺省情況下域內(nèi)數(shù)據(jù)流動(dòng)不受限制，如果需要進(jìn)行安全檢查可以應(yīng)用域內(nèi)安全策略。與域間安全策略一樣可以按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類型）、用戶等多種方式匹配流量，然后對(duì)流量進(jìn)行安全檢查。例如：市場(chǎng)部和財(cái)務(wù)部都屬于內(nèi)網(wǎng)所在的安全區(qū)域Trust，可以正?；ピL。但是財(cái)務(wù)部是企業(yè)重要數(shù)據(jù)所在的部門，需要防止內(nèi)部員工對(duì)服務(wù)器、PC等的惡意攻擊。所以在域內(nèi)應(yīng)用安全策略進(jìn)行IPS檢測(cè)，阻斷惡意員工的非法訪問(wèn)。

• 接口包過(guò)濾

  當(dāng)接口未加入安全區(qū)域的情況下，通過(guò)接口包過(guò)濾控制接口接收和發(fā)送的IP報(bào)文，可以按IP地址、時(shí)間段和服務(wù)（端口或協(xié)議類型）等多種方式匹配流量并執(zhí)行相應(yīng)動(dòng)作（permit/deny）?；贛AC地址的包過(guò)濾用來(lái)控制接口可以接收哪些以太網(wǎng)幀，可以按MAC地址、幀的協(xié)議類型和幀的優(yōu)先級(jí)匹配流量并執(zhí)行相應(yīng)動(dòng)作（permit/deny）。硬件包過(guò)濾是在特定的二層硬件接口卡上實(shí)現(xiàn)的，用來(lái)控制接口卡上的接口可以接收哪些流量。硬件包過(guò)濾直接通過(guò)硬件實(shí)現(xiàn)，所以過(guò)濾速度更快。

防火墻轉(zhuǎn)發(fā)原理

防火墻域間轉(zhuǎn)發(fā)：

• 早期包過(guò)濾防火墻采取的是“逐包檢測(cè)”機(jī)制，即對(duì)設(shè)備收到的所有報(bào)文都根據(jù)包過(guò)濾規(guī)則每次都進(jìn)行檢查以決定是否對(duì)該報(bào)文放行。這種機(jī)制嚴(yán)重影響了設(shè)備轉(zhuǎn)發(fā)效率，使包過(guò)濾防火墻成為網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)瓶頸。
• 于是越來(lái)越多的防火墻產(chǎn)品采用了“狀態(tài)檢測(cè)”機(jī)制來(lái)進(jìn)行包過(guò)濾。“狀態(tài)檢測(cè)”機(jī)制以流量為單位來(lái)對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文進(jìn)行包過(guò)濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來(lái)。對(duì)于該流量的后續(xù)報(bào)文都直接根據(jù)這個(gè)“狀態(tài)”來(lái)判斷是轉(zhuǎn)發(fā)還是丟棄，而不會(huì)再次檢查報(bào)文的數(shù)據(jù)內(nèi)容。這個(gè)“狀態(tài)”就是我們平常所述的會(huì)話表項(xiàng)。這種機(jī)制迅速提升了防火墻產(chǎn)品的檢測(cè)速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過(guò)濾機(jī)制。
• 在防火墻一般是檢查IP報(bào)文中的五個(gè)元素，又稱為“五元組”，即源IP地址和目的IP地址，源端口號(hào)和目的端口號(hào)，協(xié)議類型。通過(guò)判斷IP數(shù)據(jù)報(bào)文報(bào)文的五元組，就可以判斷一條數(shù)據(jù)流相同的IP數(shù)據(jù)報(bào)文。
• 其中TCP協(xié)議的數(shù)據(jù)報(bào)文，一般情況下在三次握手階段除了基于五元組外，還會(huì)計(jì)算及檢查其它字段。三次握手建立成功后，就通過(guò)會(huì)話表中的五元組對(duì)設(shè)備收到后續(xù)報(bào)文進(jìn)行匹配檢測(cè)，以確定是否允許此報(bào)文通過(guò)。

查詢和創(chuàng)建會(huì)話：

可以看出，對(duì)于已經(jīng)存在會(huì)話表的報(bào)文的檢測(cè)過(guò)程比沒(méi)有會(huì)話表的報(bào)文要短很多。而通常情況下，通過(guò)對(duì)一條連接的首包進(jìn)行檢測(cè)并建立會(huì)話后，該條連接的絕大部分報(bào)文都不再需要重新檢測(cè)。這就是狀態(tài)檢測(cè)防火墻的“狀態(tài)檢測(cè)機(jī)制”相對(duì)于包過(guò)濾防火墻的“逐包檢測(cè)機(jī)制”的改進(jìn)之處。這種改進(jìn)使?fàn)顟B(tài)檢測(cè)防火墻在檢測(cè)和轉(zhuǎn)發(fā)效率上有迅速提升。

狀態(tài)監(jiān)測(cè)機(jī)制：

• 狀態(tài)監(jiān)測(cè)機(jī)制開(kāi)啟狀態(tài)下，只有首包通過(guò)設(shè)備才能建立會(huì)話表項(xiàng)，后續(xù)包直接匹配會(huì)話表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)。
• 狀態(tài)監(jiān)測(cè)機(jī)制關(guān)閉狀態(tài)下，即使首包沒(méi)有經(jīng)過(guò)設(shè)備，后續(xù)好只要通過(guò)設(shè)備也可以生成會(huì)話表項(xiàng)。

對(duì)于TCP報(bào)文

• 開(kāi)啟狀態(tài)檢測(cè)機(jī)制時(shí)，首包（SYN報(bào)文）建立會(huì)話表項(xiàng)。對(duì)除SYN報(bào)文外的其他報(bào)文，如果沒(méi)有對(duì)應(yīng)會(huì)話表項(xiàng)（設(shè)備沒(méi)有收到SYN報(bào)文或者會(huì)話表項(xiàng)已老化），則予以丟棄，也不會(huì)建立會(huì)話表項(xiàng)。
• 關(guān)閉狀態(tài)檢測(cè)機(jī)制時(shí)，任何格式的報(bào)文在沒(méi)有對(duì)應(yīng)會(huì)話表項(xiàng)的情況下，只要通過(guò)各項(xiàng)安全機(jī)制的檢查，都可以為其建立會(huì)話表項(xiàng)。

對(duì)于UDP報(bào)文

• UDP是基于無(wú)連接的通信，任何UDP格式的報(bào)文在沒(méi)有對(duì)應(yīng)會(huì)話表項(xiàng)的情況下，只要通過(guò)各項(xiàng)安全機(jī)制的檢查，都可以為其建立會(huì)話表項(xiàng)。

對(duì)于ICMP報(bào)文

• 開(kāi)啟狀態(tài)檢測(cè)機(jī)制時(shí)，沒(méi)有對(duì)應(yīng)會(huì)話的ICMP應(yīng)答報(bào)文將被丟棄。
• 關(guān)閉狀態(tài)檢測(cè)機(jī)制時(shí)，沒(méi)有對(duì)應(yīng)會(huì)話的應(yīng)答報(bào)文以首包形式處理

會(huì)話表項(xiàng)：

會(huì)話是狀態(tài)檢測(cè)防火墻的基礎(chǔ)，每一個(gè)通過(guò)防火墻的數(shù)據(jù)流都會(huì)在防火墻上建立一個(gè)會(huì)話表項(xiàng)，以五元組（源目的IP地址、源目的端口、協(xié)議號(hào)）為Key值，通過(guò)建立動(dòng)態(tài)的會(huì)話表提供域間轉(zhuǎn)發(fā)數(shù)據(jù)流更高的安全性。

防火墻安全策略及應(yīng)用

域間安全策略的匹配規(guī)則：

• 域間缺省包過(guò)濾

  當(dāng)數(shù)據(jù)流無(wú)法匹配域間安全策略時(shí)，會(huì)按照域間缺省包過(guò)濾規(guī)則來(lái)轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)流的報(bào)文。

• 轉(zhuǎn)發(fā)策略

  轉(zhuǎn)發(fā)策略是指控制哪些流量可以經(jīng)過(guò)設(shè)備轉(zhuǎn)發(fā)的域間安全策略，對(duì)域間（除Local域外）轉(zhuǎn)發(fā)流量進(jìn)行安全檢查，例如控制哪些Trust域的內(nèi)網(wǎng)用戶可以訪問(wèn)Untrust域的Internet。

• 本地策略

  本地策略是指與Local安全區(qū)域有關(guān)的域間安全策略，用于控制外界與設(shè)備本身的互訪。

域間安全策略業(yè)務(wù)流程：

報(bào)文入站后，將首先匹配會(huì)話表，如果命中會(huì)話表，將進(jìn)入后續(xù)包處理流程，刷新會(huì)話表時(shí)間，并直接根據(jù)會(huì)話表中的出接口，轉(zhuǎn)發(fā)數(shù)據(jù)。

報(bào)文入站后，將首先匹配會(huì)話表，如果沒(méi)有命中會(huì)話表，將進(jìn)入首包包處理流程。依次進(jìn)行黑名單檢查，查找路由表，匹配域間安全策略，新建會(huì)話表，轉(zhuǎn)發(fā)數(shù)據(jù)。

黑名單的實(shí)現(xiàn)原理就是：設(shè)備上建立一個(gè)黑名單表。對(duì)于接收到的報(bào)文的源IP地址存在于黑名單中，就將該報(bào)文予以丟棄。

黑名單分類：

• 靜態(tài)黑名單

  管理員可以通過(guò)命令行或Web方式手工逐個(gè)將IP地址添加到黑名單中。

• 動(dòng)態(tài)黑名單

  轉(zhuǎn)發(fā)策略和缺省域間包過(guò)濾優(yōu)先級(jí)

  轉(zhuǎn)發(fā)策略優(yōu)先于缺省域間包過(guò)濾匹配。設(shè)備將首先查找域間的轉(zhuǎn)發(fā)策略，如果沒(méi)有找到匹配項(xiàng)將匹配缺省包過(guò)濾進(jìn)行處理。

• 刷新會(huì)話表

  刷新會(huì)話表主要是刷新會(huì)話表老化時(shí)間，老化時(shí)間決定會(huì)話在沒(méi)有相應(yīng)的報(bào)文匹配的情況下，何時(shí)被系統(tǒng)刪除。

配置轉(zhuǎn)發(fā)策略流程：

基于IP地址的轉(zhuǎn)發(fā)策略配置示例：

實(shí)驗(yàn)拓?fù)洌?/h3>

圖：實(shí)驗(yàn)拓?fù)鋱D

實(shí)驗(yàn)要求：

如上圖，防火墻的Gi0/0/0口在Trust區(qū)域，Gi0/0/01在UNtrust區(qū)域，通過(guò)配置策略，使得內(nèi)網(wǎng)中除了PC1:192.168.1.2可以訪問(wèn)服務(wù)器，其他主機(jī)都不能訪問(wèn)服務(wù)器。

配置文件：

FW配置文件：

配置成功后測(cè)試：