暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 网络防火墙基础

网络防火墙基础

生有可恋 2021-11-28
3235

企业的防火墙都是部署在网络边界上,通过防火墙将网络隔出不同的区域。我们根据不同的部署位置将防火墙称为外网墙、内网墙、专线墙。防火墙除了部署位置不同,作用不同外,防火墙也可以按工作模式划分为出口墙和透明墙。我们一会逐一进行分析。


先说下防火墙的两种工作模式,防火墙如果走二层当网桥用,那么我们就称防火墙为透明墙,或者说防火墙是透明部署。如果防火墙走三层,那么就是把防火墙当路由器用,一般配合NAT可以当互联网出口墙。为了理解二层和三层的区别,我们需要先讲一下OSI七层模型。



二层设备只负责MAC转发,网桥就是工作在二层。三层设备才可以配置IP、网关,路由器工作在三层,三层设备负责路由。我们说设备工作在二层,意思就是二层设备的接口是不用配置IP的。一般设备接口类型为TRUNK,可以理解为主干,所有的VLAN都可以走二层。


防火墙以网桥方式部署,就是串在一根TRUNK网线中间。没接防火墙之前,汇聚交换机和核心交换机之间是通过TRUNK互联,防火墙串在中间相当于把一根完整的线拆到了两段,而防火墙充当了桥的作用。所有的数据包都会从防火墙过,此时防火墙就可以做防护了,比如封掉一些风险端口135-139,445,3389等。为什么说此时是透明墙,因为对于核心和汇聚交换机来说,此时是感觉不到防火墙一样,感觉还是一根线连着。这种部署方式是最省事的,当防火墙出现故障时,只用找一根线重新将核心和汇聚连起来就可以恢复网络。有些防火墙具有BYPASS功能,当防火墙出现故障时,能在没有电源的情况下保证网桥不中断,就和一根线一样。许多电口是支持BYPASS功能的,光口默认不支持,需要特殊设备支持光口BYPASS功能。


第二种方式就比较复杂了,因为涉及到很多概念。我一点一点讲,如果没有配置多端口设备的经验,一般很难理解,特别是只配置过电脑主机的一个网口,你很难理解那么多个网口相互之间是如何通信的。


与二层设备不同,工作在三层的设备,每个网口都要设置IP。我们把工作二层的网口叫TRUNK口,这种口没有IP,我们把工作在三层的网口叫ACCESS口。还有个概念就是一个三层设备,它首先是支持二层功能的。也就是它即可以配置TRUNK口,又可以配置ACCESS口。


和我们的电脑网口一样,配置上IP之后它就可以通信了。与普通电脑不同,防火墙上的口是非常多的,类型还不一样,有千兆电口,有千兆光口,还有10Gb光口、40Gb光口。这些口之间如何相互通信?


下面开始介绍这些口之间的通信基础:

  • 策略路由

  • 静态路由

  • IPS策略

  • 防火墙策略


这是一个数据包到达防火墙后要走的规则。数据包首先会从一个接口进入防火墙,我们把这个接口叫入口。我们假定这个数据包是从内网来的,它想上互联网。互联网是接在另一个接口上,我们把互联网出口简称出口。数据包如何知道互联网出口在哪?


首先可以通过策略路由来引导这个数据包的走向,也就是路由方向。策略路由需要配置的信息有下面三种:

  • 数据包源IP或网络

  • 接口

  • 接口的网关


通过策略路由可以让数据包从一个特定的出口出去。这种方式相当于人工选路,如果有多条互联网宽带出口,策略路由只能保证从其中一个出口出去。策略路由的优化级是最高的,先匹配策略路由再匹配静态路由。


策略路由的优点是可以根据策略调整不同IP或网段的出口,但缺点也很明显,策略路由无法保证即选出口A,又选出口B,不能二选一。如果防火墙即当互联网出口墙,又当专线墙,那么就会造成一个严重的问题,能上互联网就不能访问专线,或只能指定一条专线。这在很多场景都是不能满足实际需要的。所以策略路由好是好,但对网段划分要需要做到精细,不能让所有终端都混杂在一起,访问专线的终端不能和访问互联网的终端混在一起,不然以策略路由只能多选一的特点,会很难配置。


当策略路由匹配完,开始匹配静态路由。静态路由是一种明细路由,我们把配置静态路由所需信息列一下:

  • 目的地址

  • 掩码

  • 网关


静态路由中最重要的一条路由规则就是默认路由,即 0.0.0.0 网关



在windows cmd 下,输入 route print 可以打印路由表。这个路由表是动态的,而在防火墙里路由表是可以编辑的。路由表的匹配规则是先匹配明细路由再匹配默认路由。默认路由中的0.0.0.0的意义是,目的地址任意,也就是说不知道目的地址是什么。我们访问互联网就是使用的默认路由,因为互联网上的网段和IP地址我们都是不知道的。


静态路由是不知道接口的,策略路由要指定物理接口,静态路由只认网关。什么是网关,网关就是配置上各个接口上的地址。通过网关来路由要比找接口更灵活。策略路由指定接口把路由规则绑定在一个接口上,而通过路由表找网关就灵活多的,可以让不同的专线走不同的网关,就解决了策略路由多选一的问题。


一个防火墙只能有一个默认路由,如果配置多个只会匹配第一个被识别的。所以不具备自动选路功能的防火墙,默认路由将决定了所有的数据包在没有配置明细路由规则时走默认路由。


后面防火墙如果配置入侵检测功能(IPS),根据数据包的标识信息会被防火墙发现并阻断,比如挖矿、木马、漏洞扫描。IPS策略是防火墙自带的规则库,一般不出现误杀不用配置,只用启用就行了。IPS策略在防火墙策略之前生效。


最后才是防火墙的防火墙策略,主要定义不同接口间通或不通,也可以根据源IP、目的IP、源端口、目的端口进行阻断或放行。防火墙策略在策略路由、静态路由、IPS策略之后生效,优先级最低。


数据库
文章转载自生有可恋,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论