1.防火墙的主要功能是实现网络隔离和访问控制
1).不受信区域:一般指internet
2).受信区域:一般指内网
3.)DMZ区域:放置公共服务器的区域,能接受外部访问,但不主动访问外部
Aspf:针对应用层的包过滤
2.Secpath 防火墙体系结构
型号:
Secblade: 防火墙插卡
Secpath F100-C
Secpath F100-S
Secpath F100-M
Secpath F100-A-S
Secpath F100-A
Secpath F100-E
Secpath F1000-M
Secpath F1000-S
Secpath F1000-A
Secpath F1000-E 100w并发连接,每秒新建5w连接 10G吞吐量
3.安全区域
在H3C SecPath防火墙上,判断数据传输是出方向还是入方向,总是相对高级别的一侧而言,即由高级别区域向低级别区域的数据流动为出方向,由低级别区域向高级别区域数据流动为入方向。
安全区域基本配置包括
1) 创建安全区域
2) 进入安全区域视图
3) 进入区域间视图
4) 为安全区域添加接口
5) 设置安全区域的优先级
缺省情况系,所有接口不属于任何安全区域。
一个接口只能属于一个安全区域。将接口加入到一个安全区域中前,
这个接口不能已经属于其他的安全区域,否则需要先将此接口从其他区域中删
缺省情况下,Local区域的优先级别为100,Trust区域的优先级别为85,Untrust区域的优先级别为5,DMZ区域的优先级别为50。系统定义的这些区域的优先级别是不能被更改的。
- ACL
基本访问控制列表:仅仅根据数据包的源地址对数据包进行区分
高级访问控制列表:高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口,ICMP协议的类型、代码等内容定义规则
基于接口的访问控制列表:
基于MAC的访问控制列表:
5.包过滤技术
所谓包过滤就是对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃的动作
ACL存在的问题:
对于多通道的应用层协议(如FTP、H.323等),部分安全策略无法预知;
无法检测某些来自于应用层的攻击行为(如TCP SYN Java applet等)
Aspf(状态防火墙)
ASPF (Application Specific Packet Filter)是针对应用层及传输层的包过滤,既基于状态的报文过滤。
ASPF能够实现的应用层协议检测包括:FTP HTTP SMP RTSP H.323(Q.931 H.245 RTP/RTCP),ASPF能够实现的传输层协议检测包括:通用TCP/UDP的检测
会话状态表:一个会话可以认为是一个tcp连接,会话状态表在检测到第一个外发报文时创建,即通过第一个syn包建立
临时访问控制表:
传输层协议检测的原理:
应用层协议检测优先于传输层协议检测,通用TCP/UDP检测要求流入接口的报文与之前流出接口的报文完全匹配,即源、目的地址及端口号恰好对应,否则返回的报文将被丢弃