序
事实上,几年前,这位博主写过UTM时代的防火墙。当时他想用课程的形式来解释。后来因为工作原因,加上我女儿刚出生,事情太多,就放在一边了。结果我把那份文件弄丢了!我找不到它。当设备准备好的时候,我得到了两个USG2110-F。那么ENSP的模拟器还没有出来。现在又写了。防火墙发生了很大的变化。它已经进入了下一代防火墙的时代。替换是为了跟上当前形式的需要。对于学习防火墙,有必要了解防火墙的发展历史。博主也会用通俗和案例的形式来解释,让大家都能理解。(整个系列会以博主的工作经验为前提来写,当然也会参考官方手册和强书的技术漫谈资料),建议大家在学习这个内容的时候有一定的路由和切换基础。
博主前期学到的两个USG 2110-Fs随便聊了聊官方的防火墙技术,包括最近讲座中购买的6307E防火墙。
00-1010 1.第一代防火墙:包过滤防火墙实现简单的访问控制,也就是我们在交换机路由器中经常用到的ACL技术。
当192.168.1.1需要访问192.168.2.1的WEB服务时,首先要精确控制匹配的源地址和目的地址、端口号,包括方向。
(1)从PC访问服务器的方向来看,源地址为192.168.1.1,目的地址为192.168.2.1,源端口为随机,目的端口号为80。
(2)从服务器返回的数据包方向来看,源地址为192.168.2.1,目的地址为192.168.1.1,源端口为80,目的端口为随机。
如果我们编写ACL规则(这里用流行的表达方式显示了这些规则),我们就不会为格式而烦恼了
整个过程就是当PC1(192.168.1.1)去访问Server1(192.168.2.1)并通过防火墙时,防火墙会进行包过滤检测,检查当前的源地址和目的地址端口号是否匹配,匹配的话就会释放(这里是匹配序列号1)。到达服务器后,服务器会做出响应。在回复过程中,防火墙将通过防火墙并再次检查策略。看起来很流畅,但是这里有一个很严重的问题,就是PC1的源端口号是随机的,所以我们不能完全匹配。对于正常的数据通信,我们只能释放所有的端口号(因为PC的源端口的端口号是随机的)。一旦外部出现恶意攻击者,他就可以伪装成WEB服务器,随意越过防火墙到达内网。第二个问题是配置太繁琐,不同的端口号和地址需要写多个策略。(目前这个功能只有路由器和交换机使用最多)
2.第二代防火墙:代理防火墙,以前的访问是客户端和服务器的交互,但是代理不同,客户端和防火墙建立会话连接,然后访问服务器的流量,防火墙和服务器建立会话连接,安全性极高,问题是只有TCP应用可以支持,需要针对不同的应用独立开发相应的代理,处理速度也比较慢,导致适用性不高。
3.第三代防火墙:基于状态检测的防火墙,当PC需要访问WEB服务器时,FW在检查安全策略允许通过后,建立会话表(五元组源-目的端口源-目的地址和协议)。WEB服务器收到请求消息后,会做出响应。当它通过防火墙时,防火墙首先查找会话表进行匹配,如果有这条消息的会话信息,就允许它直接通过。
对于同一个数据流,只需要配置访问发起方向的安全策略,不需要配置反向流的安全策略。即第一个包匹配安全策略,通过安全策略过滤后建立会话表,后续的包直接匹配会话表,不需要匹配安全策略,提高了业务处理效率。
随着状态检测功能的出现,防火墙逐渐在网络中流行起来。与第一代包过滤相比,有状态机制可以解决配置带来的繁琐问题,并且可以动态跟踪整个数据的会话流,从而避免大范围开放端口带来的风险。
4.第四代防火墙
:真正防火墙开始普及其实算是第四代防火墙开始,第四代叫做UTM(统一威胁管理)时代,将状态防火墙、IPS、防病毒、URL过滤、行为管理、DPI、VPN等功能融合到一台防火墙上,博主最开始学习防火墙是从思科的PIX时代开始的,主打卖点就是远程接入的VPN,后来接触了华为的USG系列后,发现功能更加多,特别是应用控制、多种选路机制,更加的迎合于本土化的需求,随着项目接触华为的防火墙更多,也自购了两台二手的USG2110-F的,那会模拟器ENSP还没出现。(这里真吐槽下,思科防火墙的多线外网真的……)5、第五代防火墙:NGFW下一代防火墙,UTM的出现虽然让产品的功能更加丰富,卖点也非常多,但是带来的问题就是同时运行处理性能会严重的降低,那么NGFW的定义出现就是解决多个功能同时运行时性能下降的问题,并且提出了针对用户、应用以及内容进行更深层的管控,还提供了丰富的日志与报表。现在市面上新项目遇到的都是以下一代防火墙为主了,当然也会遇到UTM的产品,目前服役的还很多,整体的配置思路与处理数据的流程都是一样的,所以学完这个后,就算遇到了老的产品也不用太过于担心。
华为目前主推的最新系列
从下一代防火墙定义出现(2009年)、普及、发展到如今已经快11个年头了,华为从USG 2000、5000、9500的UTM时代系列,下一代防火墙USG6000系列,到如今(2020年)开始主推的HiSecEngine(华为新推出的概念),它在下一代防火墙的功能上面加入了AI芯片以及算法跟云端功能,以往的防火墙发现了攻击与威胁只能被动的告警跟日志提醒,新的概念里面加入了AI后,它能够根据这个攻击与威胁的发现,能够有效的自动化做出一些操作,来抵御这些攻击,实现智能化的防御功能(这个功能需要授权以及依赖云端提供分析)。
e.huawei.com/cn/products/enterprise-networking/security 华为防火墙安全产品,博主课程除了用模拟器以外,真机使用HiSecEngine6307E系列(小型环境使用)
针对应用场景推荐几个型号
1、小型办公、分支等场景:HiSecEngineUSG6100E(替代6100)、HiSecEngine USG6300E(桌面)HiSecEngine USG6500E(桌面)
2、中型企业:HiSecEngine USG6300E(盒式)HiSecEngine USG6500E(盒式)
3、大型环境、数据中心、云服务:USG9500、HiSecEngineUSG6700E、USG600V(虚拟化产品,主要针对数据中心)、HiSecEngineUSG12000(最新)
我们在选型的时候一定要考虑好客户的场景(终端数、流量大小)、需要的接口、功能可授权的数量来综合考虑,可以通过 support.huawei.com/enterprise/zh/info-finder 可以查看产品的任何功能、形状、接口数量等情况
防火墙是否能够替代路由器了呢?
可以发现在中小型场景中,防火墙作为出口的使用率比路由器要高些了,那么这些场景是否防火墙能够替代路由器作为出口呢?在现阶段设备性能越来越好的情况下,你会发现路由器的功能防火墙都有,包括源NAT、服务器映射、限速、VPN、甚至在多出口选路上面比路由器功能更加多,能够更加的满足客户的需求,在中小型场景中,防火墙是可以替代路由器作为出口的,直接下面接三层交换机,然后到接入交换机这样。
就单从路由器的选路来说,假如客户有多条外网线路,以华为的AR系列路由器,能够实现的(1)主备形式 (2)基于策略路由的内网负载分担 (3)同一运营商多线路的负载均衡,但是做不到比如防火墙提供的这些功能 (1)电信走电信、联通走联通 (2)基于利用率的切换,比如一条链路使用率达到了85%,就切换到另外一条使用 (3)基于延迟、抖动的判断 。基于这样的情况下,我们在给客户选型或者是推荐方案的时候就更加倾向于防火墙了,而防火墙还支持行为管理,带宽管理等 多合一功能(路由器的行为管理以及SSL这些都是要买授权的)。
在骨干网里面,那么路由器是无可替代的,丰富的路由协议、以及路由策略控制都是离不开路由器,防火墙更多的是在出口或者边界处提供一些安全的防护、隔离等功能。
现在随着市场的产品多样化,可以发现不管是主流厂商、还是二三线的都会推出一些性价比高的产品来满足小型办公、分支这些场景。从最早学习网络开始,那时候的路由器接口少的可怜,2个口很常见,一个接外网,一个接内网,多了得加模块扩展,但是现在的产品可以发现不管路由器还是防火墙,接口非常多,对于小型环境这样的场景就非常适合, 防火墙/路由器可以直接充当三层交换机的功能了,不同接口划分不同的VLAN网段,然后下面下挂傻瓜交换机,甚至有的路由器/防火墙接口非常多,可以直接接终端。在这种小型场景你经常可以遇到一台防火墙/路由器充当了很多角色功能,不在跟很早学网络的时候,路由器是路由器,交换机是交换机,现在很多产品迎合市场都有点多合一的趋势。(博主经常出方案或者告诉别人选哪个型号的时候,特别是刚工作或者还在学习中的朋友,会经常发问说,路由器还能划分VLAN吗,还能支持交换机的功能)。
总结
防火墙的发展到现在功能已经非常的全面了,那么我们在项目部署需要根据客户的需求来实施不同的功能,达到客户的目的,接下来博主会从防火墙的“灵魂”状态会话与区域开始讲解,这个对于我们部署防火墙是最关键的地方,以及后续遇到各种问题排错都离不开这个会话表查看,后续在这个基础上面加入NAT、服务器映射、多ISP选路、热备、用户认证、VPN的功能解决,这次课程还是以案例形式为主,预计课程篇数会超过40篇以上。
实验环境
对于没有真机环境的朋友,就只能依靠模拟器来做实验与验证学习了,一个好的学习离不开实验工具。(获取方式我会放在评论区)
介绍
《华为下一代USG防火墙(由浅入深实际案例系列)》是博主原创的针对华为厂商下一代USG防火墙组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。
上一篇回顾
37、华为AP如何关联到ENSP模拟器来搭建实验环境
下一篇学习
2、华为防火墙的初始化以及基础配置介绍