龙空技术网

1、带你了解防火墙的前世今生

网络之路Blog 1058

前言:

此时看官们对“防火墙实例”可能比较看重,同学们都想要了解一些“防火墙实例”的相关内容。那么小编也在网络上搜集了一些对于“防火墙实例””的相关知识,希望咱们能喜欢,大家一起来了解一下吧!

前言

在几年前其实博主是写了UTM时代的防火墙的,当时候就已经想以课程的形式讲解出来,后来因为工作原因,加上我闺女刚刚出生,事情太多,就给放一边了,结果那个文档我给不知道丢哪了!!找不到了,当时候设备都准备好了,弄了2台USG2110-F的,那会ENSP的模拟器还没出来,如今再次重新写,防火墙的变化已经很大了,已经进入下一代防火墙的时代了,更新换代是为了跟上目前形式的需要,对于学习防火墙而言,有必要了解下防火墙的发展史的,博主也会以通俗以及案例形式来讲解,以便大家能够理解。(整个系列会以博主工作经验为前提下进行编写,当然也会借鉴官方手册以及强叔的技术漫谈的资料),而且建议大家在学习本内容的时候,有一定的路由交换基础。

博主早期学习的两台USG2110-F跟官方的防火墙技术漫谈,包括最近讲课购买的6307E的防火墙。

防火墙的前世今生

1、第一代防火墙:包过滤防火墙,实现简单的访问控制,也就是我们经常在交换机路由器用到ACL技术

当我们192.168.1.1需要访问192.168.2.1的WEB服务的时候,先要去精确控制能匹配源目地址,端口号,包括方向。

(1)从PC访问服务器的方向来说,源地址是192.168.1.1,目的地址是192.168.2.1,源端口随机,目的端口号80

(2)从服务器返回数据包的方向来说,源地址是192.168.2.1,目的地址是192.168.1.1,源端口80,目的端口随机

我们写ACL规则的话(这里以通俗的表达展示,就不纠结格式了)

整体流程就是当PC1(192.168.1.1)去访问Server1(192.168.2.1)经过防火墙的时候,防火墙会进行包过滤检测,来检测当前的源目地址端口号是否匹配,匹配了则放行(这里匹配序列号1),抵达服务器后,服务器会响应,回复的过程中经过防火墙,防火墙再次检查策略(匹配2)放行通过,PC1最终完成数据交互。看似很顺利,但是这里有一个非常严重的问题,就是PC1的源端口号是随机的,所以我们没办法去精确匹配,为了数据通信正常,只能够全部放行端口号(因为PC的源端口随机端口号),一旦外部出现一个恶意的攻击者,伪装成WEB服务器就可以随意的穿越防火墙到达内网。其次带来的问题就是配置过于繁琐,不同的端口号以及地址需要写多条策略。(目前这功能只有路由器与交换机用最多)

2、第二代防火墙:代理防火墙,之前的访问都是客户端到服务器之间进行交互,而代理不一样,客户端与防火墙建立一个会话连接,然后访问服务器的流量,由防火墙在与服务器建立一个会话连接,这样安全性极高,带来的问题就是只有TCP应用可以支持,而且针对不同的应用需要独立的去开发对应的代理,处理速度也较慢,导致应用性不广。

3、第三代防火墙:基于状态检测的防火墙,当有PC需要访问WEB服务器的时候,FW通过检查安全策略允许通过后,建立一个会话表(五元组源目端口源目地址以及协议),WEB服务器收到请求报文后,进行回应,通过防火墙的时候,防火墙则先查找会话表进行匹配,如果有这个报文的会话信息则直接允许通过。

对于同一条数据流,只需在访问发起的方向上配置安全策略,反向流量无需配置安全策略。即首包匹配安全策略,通过安全策略过滤后建立会话表,后续包直接匹配会话表,无需再匹配安全策略,提高业务处理效率。

状态检测功能的出现使得防火墙开始慢慢的普及在网络中使用,对比于第一代的包过滤来说,状态机制能够解决配置带来的繁琐问题,而且又能动态的跟踪整个数据的会话流程,避免了大范围开放端口带来的风险。

4、第四代防火墙:真正防火墙开始普及其实算是第四代防火墙开始,第四代叫做UTM(统一威胁管理)时代,将状态防火墙、IPS、防病毒、URL过滤、行为管理、DPI、VPN等功能融合到一台防火墙上,博主最开始学习防火墙是从思科的PIX时代开始的,主打卖点就是远程接入的VPN,后来接触了华为的USG系列后,发现功能更加多,特别是应用控制、多种选路机制,更加的迎合于本土化的需求,随着项目接触华为的防火墙更多,也自购了两台二手的USG2110-F的,那会模拟器ENSP还没出现。(这里真吐槽下,思科防火墙的多线外网真的……)

5、第五代防火墙:NGFW下一代防火墙,UTM的出现虽然让产品的功能更加丰富,卖点也非常多,但是带来的问题就是同时运行处理性能会严重的降低,那么NGFW的定义出现就是解决多个功能同时运行时性能下降的问题,并且提出了针对用户、应用以及内容进行更深层的管控,还提供了丰富的日志与报表。现在市面上新项目遇到的都是以下一代防火墙为主了,当然也会遇到UTM的产品,目前服役的还很多,整体的配置思路与处理数据的流程都是一样的,所以学完这个后,就算遇到了老的产品也不用太过于担心。

华为目前主推的最新系列

从下一代防火墙定义出现(2009年)、普及、发展到如今已经快11个年头了,华为从USG 2000、5000、9500的UTM时代系列,下一代防火墙USG6000系列,到如今(2020年)开始主推的HiSecEngine(华为新推出的概念),它在下一代防火墙的功能上面加入了AI芯片以及算法跟云端功能,以往的防火墙发现了攻击与威胁只能被动的告警跟日志提醒,新的概念里面加入了AI后,它能够根据这个攻击与威胁的发现,能够有效的自动化做出一些操作,来抵御这些攻击,实现智能化的防御功能(这个功能需要授权以及依赖云端提供分析)。

e.huawei.com/cn/products/enterprise-networking/security 华为防火墙安全产品,博主课程除了用模拟器以外,真机使用HiSecEngine6307E系列(小型环境使用)

针对应用场景推荐几个型号

1、小型办公、分支等场景:HiSecEngineUSG6100E(替代6100)、HiSecEngine USG6300E(桌面)HiSecEngine USG6500E(桌面)

2、中型企业:HiSecEngine USG6300E(盒式)HiSecEngine USG6500E(盒式)

3、大型环境、数据中心、云服务:USG9500、HiSecEngineUSG6700E、USG600V(虚拟化产品,主要针对数据中心)、HiSecEngineUSG12000(最新)

我们在选型的时候一定要考虑好客户的场景(终端数、流量大小)、需要的接口、功能可授权的数量来综合考虑,可以通过 support.huawei.com/enterprise/zh/info-finder 可以查看产品的任何功能、形状、接口数量等情况

防火墙是否能够替代路由器了呢?

可以发现在中小型场景中,防火墙作为出口的使用率比路由器要高些了,那么这些场景是否防火墙能够替代路由器作为出口呢?在现阶段设备性能越来越好的情况下,你会发现路由器的功能防火墙都有,包括源NAT、服务器映射、限速、VPN、甚至在多出口选路上面比路由器功能更加多,能够更加的满足客户的需求,在中小型场景中,防火墙是可以替代路由器作为出口的,直接下面接三层交换机,然后到接入交换机这样。

就单从路由器的选路来说,假如客户有多条外网线路,以华为的AR系列路由器,能够实现的(1)主备形式 (2)基于策略路由的内网负载分担 (3)同一运营商多线路的负载均衡,但是做不到比如防火墙提供的这些功能 (1)电信走电信、联通走联通 (2)基于利用率的切换,比如一条链路使用率达到了85%,就切换到另外一条使用 (3)基于延迟、抖动的判断 。基于这样的情况下,我们在给客户选型或者是推荐方案的时候就更加倾向于防火墙了,而防火墙还支持行为管理,带宽管理等 多合一功能(路由器的行为管理以及SSL这些都是要买授权的)。

在骨干网里面,那么路由器是无可替代的,丰富的路由协议、以及路由策略控制都是离不开路由器,防火墙更多的是在出口或者边界处提供一些安全的防护、隔离等功能。

现在随着市场的产品多样化,可以发现不管是主流厂商、还是二三线的都会推出一些性价比高的产品来满足小型办公、分支这些场景。从最早学习网络开始,那时候的路由器接口少的可怜,2个口很常见,一个接外网,一个接内网,多了得加模块扩展,但是现在的产品可以发现不管路由器还是防火墙,接口非常多,对于小型环境这样的场景就非常适合, 防火墙/路由器可以直接充当三层交换机的功能了,不同接口划分不同的VLAN网段,然后下面下挂傻瓜交换机,甚至有的路由器/防火墙接口非常多,可以直接接终端。在这种小型场景你经常可以遇到一台防火墙/路由器充当了很多角色功能,不在跟很早学网络的时候,路由器是路由器,交换机是交换机,现在很多产品迎合市场都有点多合一的趋势。(博主经常出方案或者告诉别人选哪个型号的时候,特别是刚工作或者还在学习中的朋友,会经常发问说,路由器还能划分VLAN吗,还能支持交换机的功能)。

总结

防火墙的发展到现在功能已经非常的全面了,那么我们在项目部署需要根据客户的需求来实施不同的功能,达到客户的目的,接下来博主会从防火墙的“灵魂”状态会话与区域开始讲解,这个对于我们部署防火墙是最关键的地方,以及后续遇到各种问题排错都离不开这个会话表查看,后续在这个基础上面加入NAT、服务器映射、多ISP选路、热备、用户认证、VPN的功能解决,这次课程还是以案例形式为主,预计课程篇数会超过40篇以上。

实验环境

对于没有真机环境的朋友,就只能依靠模拟器来做实验与验证学习了,一个好的学习离不开实验工具。(获取方式我会放在评论区)

介绍

《华为下一代USG防火墙(由浅入深实际案例系列)》是博主原创的针对华为厂商下一代USG防火墙组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

上一篇回顾

37、华为AP如何关联到ENSP模拟器来搭建实验环境

下一篇学习

2、华为防火墙的初始化以及基础配置介绍

标签: #防火墙实例