通信人家园

标题: [原创][原创]调戏防火墙（over） [查看完整版帖子] [打印本页]

时间: 2012-4-2 12:33

作者: shaoyuan8 标题: [原创][原创]调戏防火墙（over）

如果图片不清晰，可以参考链接http://blog.renren.com/blog/317947483/817455091?frommyblog

《调戏防火墙一大架子骨》
前言：本文有缪论，阅读需谨慎，纯属个人主观臆断与经验之谈。知识不是冷冰冰的文字，它可以变得很好玩。

调过路由交换的人都会调试防火墙，因为它的web界面太傻瓜了，人见人爱，花见花开。如此好调的东西，不得不由你戏说一番。
出来混江湖扬要么图名要么图利，无非一个套路：人无我有、人有我专、人专我精、人精我绝。由于各安全厂商习未能习得灭绝师太的真传，总是一群婆婆卖瓜，自卖自夸，至于好在哪里，还得看它什么瓜娃子。
欲练天下神功，无需挥刀自宫，一本易经在手，足以骗吃骗喝。厂家派系虽多，产品原理万变不离其宗。为什么需要一台防火墙，因为当今网络不太平。江湖上常见的六大杀手：

如果你能入侵中国银行的账户密码中心，大家谁还工作啊，每天数数钞票好了，无论你是添加账号后面的000，还是攻击银行的账户中心、恐怖勒索、卖号谋利、或者自杀性袭击，谁都怕怕，但防火墙不怕怕。
无论你“数据嗅探”，想知道操作系统、服务端口与业务协议；还是想“占着茅坑不拉屎”、抢占资源耗着服务器，防火墙针对“拒绝服务”也能见招拆招。无论是“社会工程”使用假情报套取信息，还是“BUG和病毒”通过漏洞搞攻击，防火墙不怕怕。

有攻就有防，防火墙防御路线图：
身份验证——安全准入——数据过滤——信息加密——安全策略——补丁与关闭服务
防火墙混迹江湖两件宝，一套加密技术，一套安全技术。
一、加密技术

二、安全技术
访问控制、IDS（入侵检测系统）、IPS（入侵防御系统）、 VPN(Virtual Private Network)

后面我们从防火墙的基本配置聊起，让你了解它攻防的魅力，后文待续，详见《调戏防火墙二NAT》

《调戏防火墙二NAT》
防火墙一般划分为四个安全域：local（本地）、trust（可信任的）、dmz（非军事）、untrust（不信任的）。域Local就是防火墙本身。trust、dmz、untrust相当于三间房，一般来说，房间trust放置内网PC、房间dmz放置内网对外提供服务的Server、房间untrust放置外网端口。
如图所示：

我们的防火墙就是区域交叉处的鬼子兵，来来往往的数据包都要受它盘查、听它号令，一般检查过程是这样子的：你的什么的干活？有良民证的没有？去拜访二大爷还是七大姑？你的良民的干活，走走走；你的土八路，巴嘎雅路杀啦杀啦的。
让我们具体看一下这鬼子的基本流程，配置端口地址、划分安全域、NAT地址转换、配置路由。
我们主要聊一下NAT（Network Address Translation）工作原理：

这里，我们重点提一下华赛防火墙的NAT机制，它分为
1、Outbound方向的NAT（直译过来，就是出方向的NAT地址转换，常用）
2、内部服务器（就是我们常说的端口映射出去或者NAT服务器）
3、双向NAT（用的少，特殊情况）

这里我就不啰里啰嗦婆婆妈妈唧唧歪歪解释1、2了，下面聊一下双向NAT：
3.1、Inbound方向的NAT（引入方向的NAT）
参考书面语：主要用在内部主机不能或者没必要知道某一条公网路由的情况
我的理解：私网主机比较懒，没配置网关。这种配置很多余，与其多此一举，还不如服务器配个网关、加个外网路由。

3.2、域内NAT
参考书面语：当用户访问同一安全域服务器的公网地址，要使来回的数据包都经过防火墙。
3.2.1、举例说明：
如果没做域内NAT，当用户甲访问服务器的公网地址202.101.10.20，数据流如图（黑色路径为去包，红色路径为回包）

如果你不做域内NAT的设置，Server一收到用户甲的请求报文，一看甲的源地址（192.168.0.2）与自己(192.168.0.1)是同一网段的，它的回应报文就直接走二层交换返回给用户了，防火墙就就郁闷了，它奶奶的，你拿领导不当领导，不打一声招呼就溜了。

3.2.2、举例说明
做了域内NAT，当用户甲访问服务器的公网地址202.101.10.20，数据流向如下图（黑色路径为去包，红色路径为回包，数据来回路径一致）

怎们做到的呢？嘿嘿，防火墙老先生很多余，它把内网用户甲的源地址（192.168.0.2）转换成一个外网地址（举例202.101.10.172），当Server收到这么一个请求报文时，一看源地址（202.101.10.172）以为是外网发过来的，那就哪里来的回哪里去，不得不把响应报文返回给防火墙。

4、大家会不会发现防火墙还挺事妈的，嘛事都要管一管。事妈还有一个外号叫“状态检测防火墙”。
书面参考:ASPF（Application Specific Packet Filter）功能不但可以对报文的网络层信息进行检测，也可以对报文的应用层信息进行深度检测，是统一安全网关安全规则检查的重要组成部分。
ASPF（Application Specific Packet Filter）能够监控应用层数据包，并对应用层的流量进行监控。配置ASPF可以防止非法的应用层数据包通过。

后文待续，参见《调戏防火墙三VPN》

调戏防火墙三VPN
VPN（Virtual Private Network ）是企业内网的扩展。相当于在公网上架设一条隧道加密的专线。

这章懒一点，直接放图

1、L2TP图文解说

我做过这么一个case，金华某房地产公司买了一台USG2210放在企业网络出口，出差员工想通过vpn干线连接到公司内网。当时刚学完防火墙，大脑混乱，只知道原理，不知道具体怎么配，就照着产品手册找个案例往上套，结果不行，问老郭，老郭说不要迷信产品手册，手册也会出问题。

当时没想到用web界面，傻乎乎的在那边死敲命令：

（1）启用L2TP

l2tp enable

（2）在AAA中配置用户名密码及拨号用户获得的地址

aaa

local-user admin password simple admin123

local-user admin level 3

ip pool 0 192.168.100.2 192.168.100.254
//虚拟地址，网段可以任意设置

（3）配置虚模板

interface Virtual-Template1

ppp authentication-mode pap

ip address 192.168.100.1 255.255.255.0
//虚模板端口地址与地址池中的地址在同一网段

remote address pool 0

（4）将虚模板添加到区域中

firewall zone untrust

add interface Virtual-Template1

（5）配置L2TP组

l2tp-group 10

allow l2tp virtual-template 1 //应用虚接口模板1

tunnel name lns //隧道名称为lns
一顿乱敲后，费了一天才搞定，后面想起用web界面配，鼠标点几下搞定，后面看了web界面配置IPSEC，也简单到吐血，真是“越复杂越简单”。

2、IPSEC图文解说
参考书本：
IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议
IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议
IPSec有隧道（tunnel）和传送（transport）两种工作方式

2.1、比较IPSEC两安全协议工作方式的不同

IKE（Internet Key Exchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务，它通过数据交换来计算密钥。

具体配置+详细介绍产品手册里都会说明，我这里只能为大家活个面团，具体怎么捏请参见手册。（推荐使用web界面配置）
产品手册下载连接（不需要账号与密码）http://support.huaweisymantec.co ... t.do/gotoKBNavi/137

后记：USG系列的防火墙也能做到很粗的上网行为管理，即URL过滤+P2P限流，我一直觉得华赛防火墙功能上做到了大而全，就是上网行为管理这牛逼吹得太过了，如果能做到深信服那么专业，还有段不短的距离。

[ 本帖最后由 shaoyuan8 于 2012-4-4 11:59 编辑 ]

时间: 2012-4-2 13:15

作者: yonka

详细点~
全点~

时间: 2012-4-2 13:59

作者: 寒子

更加期待后文,文字也挺俏皮的……

时间: 2012-4-2 17:01

作者: huaweix

感觉没啥内容啊

时间: 2012-4-2 17:40

作者: F1.4

如果你去某银行面试，说我能攻破你们的用户数据表，然后把得到的清单给对方看，那场面估计很滑稽。

通信人家园 (https://www.txrjy.com/)