防火墙,配置,如何,基本配置,方法iPhone15系列配置前瞻,八大爆料一文看懂
1.1 什么是防火墙
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受另一个网络的攻击和入侵。 这种“隔离”并不是一刀切的,而是一种受控的隔离,允许合法流量通过防火墙,并禁止非法流量通过防火墙。
如图1.1所示,防火墙位于企业出口,保护企业内网的安全。 可以在防火墙上指定规则,允许内网10.1.1.0/24网段的PC访问,禁止用户访问IP地址为192.168.1.2的内网主机。
1.1
从上面可以看出,防火墙与路由器、交换机不同。 路由器用于连接不同的网络,通过路由协议保证互连互通,保证消息转发到目的地; 交换机通常用于组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发消息; 防火墙主要部署在网络边界,控制进出网络的访问行为,安全防护是其核心功能。 路由器和交换机的本质是转发,防火墙的本质是控制。
防火墙对网络流量控制的实现主要依靠安全区域和安全策略,下面详细介绍。
1.2 接口及安全区域
前面提到,防火墙是用来隔离不同安全级别的网络的,那么防火墙如何识别不同的网络呢? 答案就是安全区(Zone)。 通过将防火墙的接口划分为不同的安全区域,将接口所连接的网络划分为不同的安全级别。 防火墙上的接口必须加入安全区域(部分型号的独立管理口除外)才能处理流量。
安全区域的设计理念可以减少网络攻击面。 一旦划分了安全区域,流量就无法在安全区域之间流动,除非管理员指定合法的访问规则。 如果网络被入侵,攻击者只能访问同一安全区域内的资源,将损失控制在较小的范围内。 因此,建议通过安全区域对网络进行精细划分。
当接口加入安全区域时,意味着该接口所连接的网络加入该安全区域,而不是该接口本身。 接口、网络和安全区域之间的关系如图1.2所示。
1.2
防火墙的安全区域根据不同的安全级别分为1到100的安全级别。 数字越大,安全级别越高。 防火墙默认有四个安全区域:trust、dmz、local。 管理员还可以自定义安全区域以进行更细粒度的控制。 例如,某企业按照图1-3划分防火墙的安全区域。 将内网接口添加到trust安全区域,将外网接口添加到安全区域,将服务器区域接口添加到dmz安全区域,并为guest区域定制一个名为guest的安全区域。 。
一个接口只能加入一个安全区域,多个接口可以加入一个安全区域。
1.3
上图中,有一个特殊的安全区域local,最高安全级别为100。local代表防火墙本身。 任何接口都不能添加到本地区域,但防火墙本身的所有接口都隐式属于本地区域。 防火墙主动发送的所有报文都可以认为是从本地安全区域发出的,防火墙接收到的所有报文(非转发的报文)都可以认为是本地安全区域接收的。
除了物理接口之外,防火墙还支持逻辑接口,如子接口、接口等,这些逻辑接口在使用时也需要添加到安全区域中。
1.3 安全策略
前面提到,防火墙通过规则来控制流量,这个规则在防火墙上被称为“安全策略”。 安全策略是防火墙产品的基本概念和核心功能。 防火墙通过安全策略提供安全管理和控制能力。
如图1-4所示,安全策略由匹配条件、动作和内容安全配置文件组成。 可对允许的流量进行防病毒、入侵防御等内容安全检查。
1.4 网络和Web界面
所有匹配条件都是安全策略中的可选配置; 但一旦配置完成,必须满足所有匹配条件才算匹配,即这些匹配条件之间存在“与”关系。 如果匹配条件中配置了多个值,则多个值之间的关系为“或”。 只要流量与任意一个值匹配,就认为条件匹配。
安全策略中的匹配条件越具体,描述的流量就越准确。 您可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别和用户识别能力来更准确、更方便地配置安全策略。
穿墙安全策略和本地安全策略
经过防火墙的流量、防火墙发送的流量、防火墙接收的流量都受到安全策略的控制。 如图1-5所示,内网PC需要登录防火墙来管理设备并通过防火墙访问设备。 此时,需要针对两种流量分别配置安全策略。
1.5 穿墙安全策略和本地安全策略
特别讲一下本地安全策略,即与本地域相关的安全策略。 上例中,位于信任域内的PC登录防火墙,配置信任访问本地的安全策略。 另一方面,如果防火墙主动访问其他安全区域的对象,例如向日志服务器上报日志、连接安全中心升级特征库等,则需要进行配置。 本地到其他安全区域的安全策略。 请记住,防火墙本身就是一个本地安全区域,接口加入的安全区域意味着该接口所连接的网络属于该安全区域。 这样就可以区分防火墙本身与外部网络的域间关系。
默认安全策略和安全策略列表
防火墙中有一个默认的安全策略,默认禁止所有域间流量。 默认策略始终位于策略列表的底部,无法删除。
用户创建的安全策略按照创建顺序从上到下排列。 默认情况下,新创建的安全策略位于策略列表的底部、默认策略之前。 防火墙收到流量后,根据安全策略列表从上到下进行匹配。 一旦安全策略匹配成功,匹配就会停止,流量将按照安全策略指定的动作进行处理。 如果手动创建的安全策略均不匹配,则将使用默认策略。
可见,安全策略列表的顺序是策略是否符合预期的关键。 创建新的安全策略后,常常需要手动调整顺序。
企业内服务器地址为10.1.1.1,允许IP网段10.2.1.0/24的办公区访问该服务器,并配置安全策略。 运行一段时间后,要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器。
此时新配置的安全区域策略位于下方。 因为 's 的地址范围覆盖了 's' 的地址范围,所以永远无法匹配。
需要手动调整到顶部,调整后的安全策略如下:
因此,在配置安全策略时,要先细后宽。 如果添加新的安全策略,请注意现有安全策略的顺序。 如果没有达到预期,就需要进行调整。
