« Back
in 安全 思科 read.

防火墙基础(1)

防火墙是什么?
manage access between two or more networks.
防火墙的作用:网络区域间作访问控制。

 

防火墙区别:
Reflexive ACLs: 静态开放脆弱点

IOS firewall: 状态化包过滤,动态放行流量

物理防火墙: 会对IP选项做控制;7.0以后可以对IP选项(IP选项可以有40byte;比如源栈路由是可以穿过PAT的,在使用IOS防火墙的时候) 和 TCP选项(比如BGP md5认证,option 19)做控制

PIX: 支持接口卡、VAC或VAC+加密卡;不支持web-vpn;pix支持failover: lan-base 或 cable-base(DB-15)

ASA: 支持IPS、防毒模块;ASA算法;支持web-vpn;ASA支持failover:lan-base

IOS防火墙和PIX防火墙的区别:PIX上有初始化序列号扰乱功能,而IOS防火墙没有初始化序列号扰乱功能。

 

防火墙基于以下三个技术组成:

packet filtering 明确放行流量,存在静态脆弱点 (ACL,优点:占用资源小)

proxy server (代理服务器) 扩展网络可达性,能够读懂应用层信息

stateful packet filtering(状态化包过滤) 使用状态化信息对流量进行放行,动态的生成、删除ACL。面向连接的协议是可以被状态化的,比如TCP(缺点:不能明确放行);不会产生静态的脆弱点, 但是不能实现明确放行流量。想要明确放行,需要借助acl来实现。更加消耗资源。支持的协议有限, GRE和ESP不能被状态化监控。

GRE协议:防火墙可以监控PPTP,通过监控PPTP返回的GRE是允许的。

ICMP在6.3之前,不能被状态化监控,  7.0以后支持状态化监控, 但是默认没有开。

 

应用层监控两大功能(只监控应用层的控制信道):

1.保证应用层协议正常工作(可以读懂应用层协议协商的动态端口,用来放行流量;比如 读懂FTP控制信道,放行流量)

2.维护应用层协议安全(可以读懂应用层信息,用来做过滤;比如 读懂FTP中的命令,对某些命令做控制)

 

Feature特性:

1. proprietary operating system

2. stateful packet inspection

3. user-based authentication

4. protocol and application inspection 对4到7层监控( 5.0和6.0 使用fixup,使用rfc为基准,只能保证协议正常工作,不能实现保护 ;7.0使用mpf,在7.0防火墙上敲fixup, 会自动转为MPF)

5. Modular policy framework - MPF(7.0支持police priority ;8.0支持police,priority,traffic shape)

6. VPN VPN功能大大增强,支持大部分VPN。但不建议在防火墙上部署VPN

7. Security contexts(virtual firewalls)从65防火墙模块继承而来,Context总数量为可用数量+1(1为admin context)

8. stateful failover capabilities (6.3防火墙只能支持AS;7.0支持AA,AA必须依赖于多模)

9. transparent firewalls(可以理解为有安全特性的交换机,7.0透明墙不支持NAT,8.0透明墙支持NAT)

10. web-based management solutions(基于web的网管,ASA上面有个management接口,只接收抵达的网管流量,不接收穿越流量)

11. 网管软件:6.3的叫PDM,7.0的叫ASDM

12. 8.0版本 3种QoS:

policy 设置最高阀值,超过丢弃

priority queuing 对流量打tag,排队

traffic shaping 设置一个阀值,如果超过,放入缓冲区;缓冲区填满后,后续流量丢弃

 

防火墙默认策略:

从高到低,permit;从低到高,deny;相同security level,默认被拒绝,可以使用 same-security-traffic permit 打开。

如果是从高到低的,支持状态化的协议,出去了可以再回来。

CBAC:ACL与监控策略配合来实现

Zone-base firewall:基于区域来进行控制

ASA、PIX:基于security level来进行控制