配置防火墻安全策略之前,在《防火墻基礎(chǔ)——安全區(qū)域、安全策略》一文的基礎(chǔ)上,還需要對狀態(tài)檢測和會話進行了解。
目前的防火墻多是以狀態(tài)檢測技術(shù)為基礎(chǔ)的,而狀態(tài)檢測技術(shù)是包過濾技術(shù)的改進(兩者在《包過濾與狀態(tài)檢測防火墻的區(qū)別淺述》中有過簡單的比較),狀態(tài)檢測是基于連接狀態(tài)的檢測機制——將屬于通信雙方同一個連接的所有交互報文作為一個數(shù)據(jù)流看待,對這個數(shù)據(jù)流進行檢查時會考慮數(shù)據(jù)報文之間的聯(lián)系。
而這個連接狀態(tài)則是用會話來體現(xiàn)——如果安全策略允許,狀態(tài)檢測防火墻會為通信雙方同一個連接的第一個報文建立一個會話并暫存在會話表中,后繼報文將會直接匹配該會話而進行轉(zhuǎn)發(fā),不再進行安全策略檢查,示意如圖1。防火墻中的這個會話表就是快速、準(zhǔn)確配置防火墻安全策略的關(guān)鍵。
圖1
下面通過圖2所示的拓?fù)溥M行模擬實驗:
實驗場景是:在某單位的出口防火墻FW2(USG5500)上配置安全策略:僅允許內(nèi)網(wǎng)的特定計算機Client1(10.1.1.1)可以ping通和訪問外網(wǎng)中的特定Web服務(wù)器(1.1.1.1)。
圖2
一、配置防火墻的接口IP地址
[FW2]interface GigabitEthe.NET 0/0/0
[FW2-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[FW2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1]ip address 1.1.1.254 24
[FW2-GigabitEthernet0/0/1]quit
二、將防火墻的接口加入安全區(qū)域
將連接內(nèi)網(wǎng)的G0/0/0口加入trust區(qū)域,連接外網(wǎng)的G0/0/1口則加入untrust區(qū)域。
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/0
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/1
[FW2-zone-untrust]quit
此時,因為防火墻缺省安全策略是禁止,所以內(nèi)網(wǎng)的Client1還無法ping通和訪問外網(wǎng)的Web服務(wù)器。
三、將防火墻的缺省安全策略從禁止臨時修改為允許
[FW2]firewall packet-filter default permit all
注:
- 此時防火墻將放行所有數(shù)據(jù)報文,因此為安全計,建議盡量在測試環(huán)境中調(diào)試好,再轉(zhuǎn)移到生產(chǎn)環(huán)境中。
- 此時,內(nèi)網(wǎng)的Client1可以ping通和訪問外網(wǎng)的Web服務(wù)器。
四、查看防火墻會話表
(一) 用內(nèi)網(wǎng)的Client1訪問外網(wǎng)的Web服務(wù)器
操作如圖3
圖3
注:
Web服務(wù)器返回的HTTP的狀態(tài)是404,這應(yīng)該是模擬器的原因,不影響實驗效果。
(二) 查看防火墻的會話表
[FW2]display firewall session table
顯示如圖4
圖4
可以看到內(nèi)網(wǎng)的Client1訪問外網(wǎng)的Web服務(wù)器時,防火墻為其建立的會話。其中使用的協(xié)議:http;(Client1的)源IP地址:10.1.1.1,源端口:2050;(Web服務(wù)器的)目的IP地址:1.1.1.1,目的端口:80,IP地址和端口之間的“-->”代表的是Client1主動訪問Web服務(wù)器——數(shù)據(jù)請求方向從安全區(qū)域trust 到 untrust。這幾個就是配置Client1訪問web服務(wù)器所需安全策略的要素。
注:
- 其中源端口是隨機的,因此在配置安全策略時需要忽略。
- 因為會話表中的會話有老化時間,超時后會自動刪除,而在eNSP中訪問Web需要傳輸?shù)臄?shù)據(jù)很少所需時間很少,為了能看到會話,可以先將命令輸入后不敲回車鍵,接著用Client1訪問web,然后及時切換回防火墻命令界面按回車鍵。
- 不同協(xié)議/服務(wù)的會話默認(rèn)具有不同的老化時間,可以手動調(diào)整這個時間,一般情況下默認(rèn)就可以正常工作。
(三) 用內(nèi)網(wǎng)的Client1 ping 外網(wǎng)的Web服務(wù)器
操作如圖5
圖5
可以看到ping發(fā)了10次測試包,均成功。
(四) 再次查看防火墻的會話表
[FW2]display firewall session table
顯示如圖6
圖6
可以看到Client1 ping Web服務(wù)器時,防火墻也為其建立了會話。其中使用的協(xié)議:icmp;(Client1的)源IP地址:10.1.1.1,源端口:256;(Web服務(wù)器的)目的IP地址:1.1.1.1,目的端口:2048,IP地址和端口之間的“-->”代表的是Client1 ping Web服務(wù)器。這幾個則是配置ping所需安全策略的要素。
注:
- ICMP工作在傳輸層以下,報頭中并沒有端口字段,因此在會話表中用ICMP報頭中的標(biāo)識符字段值代表源端口,用固定的值2048代表目的端口,來標(biāo)識ping的數(shù)據(jù)流。
- 其它有些協(xié)議也存在報頭中沒有端口字段的情況,處理方式和ICMP類似。
- 對于TCP連接來說首個報文的標(biāo)志是SYN,因此對于TCP協(xié)議,防火墻只有收到SYN報文且配置的規(guī)則允許通過才會建立會話。由此在路徑不一致的環(huán)境中,如果防火墻沒有收到SYN報文,只收到SYN+ACK的及后繼報文將無法建立會話(使用undo firewall session link-state check命令關(guān)閉狀態(tài)檢測功能后則可以建立會話,如無必須不建議關(guān)閉)。
- UDP協(xié)議是沒有連接狀態(tài)的協(xié)議,因此只要防火墻上配置的規(guī)則允許UDP報文通過,防火墻就會建立會話。
- 對于ICMP協(xié)議,其中Ping報文,防火墻只有收到Ping回顯請求報文且配置的規(guī)則允許通過,才會建立會話(關(guān)閉狀態(tài)檢測功能后只收到Ping回顯應(yīng)答報文也可以建立會話);其他類型的ICMP報文,只要防火墻上配置的規(guī)則允許通過,防火墻就會轉(zhuǎn)發(fā)報文,但不建立會話。
五、 配置防火墻的安全策略
[FW2]policy interzone trust untrust outbound
[FW2-policy-interzone-trust-untrust-outbound]policy 1
[FW2-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.1 0
[FW2-policy-interzone-trust-untrust-outbound-1]policy destination 1.1.1.1 0
[FW2-policy-interzone-trust-untrust-outbound-1]policy service service-set http i
cmp
[FW2-policy-interzone-trust-untrust-outbound-1]action permit
[FW2-policy-interzone-trust-untrust-outbound-1]quit
[FW2-policy-interzone-trust-untrust-outbound]quit
注:
- 安全區(qū)域方向從區(qū)域trust 到untrust ,源地址僅為10.1.1.1,目的僅為1.1.1.1,服務(wù)集則有http icmp分別代表了使用的協(xié)議和目的端口,動作為permit——允許。
- 與包過濾不同,不用再配置Web服務(wù)器響應(yīng)Client1的數(shù)據(jù)報文方向的策略。
- 只能Client1 ping和主動訪問 Web,Web不能 ping通和主動訪問 Client1。
- 對于多通道協(xié)議如FTP,以及QQ之類的協(xié)議,僅像上面那樣配置還不行,還需要開啟ASPF功能,以后有機會專門進行實驗。
六、將防火墻的缺省安全策略修改為禁止
[FW2]firewall packet-filter default deny all
七、驗證配置
(一) 用Client1訪問Web服務(wù)器
圖7
結(jié)果如圖7,訪問成功。
(二) 用Client1 、 Web服務(wù)器相互ping
圖8
Client1 ping Web服務(wù)器,結(jié)果如圖8,可以ping通。
圖8
Web ping Client1服務(wù)器,結(jié)果如圖8,不能ping通。
綜上,安全策略配置正確。
以上輸入和描述可能有疏漏、錯誤,歡迎大家在下方評論區(qū)留言指正!
另以上文字如有幫助,望不吝轉(zhuǎn)發(fā)!
