通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  下士

注册:2010-3-17
跳转到指定楼层
1#
发表于 2012-4-2 12:33:11 |只看该作者 |倒序浏览


如果图片不清晰,可以参考链接http://blog.renren.com/blog/317947483/817455091?frommyblog


《调戏防火墙一大架子骨》
前言:本文有缪论,阅读需谨慎,纯属个人主观臆断与经验之谈。知识不是冷冰冰的文字,它可以变得很好玩。


调过路由交换的人都会调试防火墙,因为它的web界面太傻瓜了,人见人爱,花见花开。如此好调的东西,不得不由你戏说一番。
出来混江湖扬要么图名要么图利,无非一个套路:人无我有、人有我专、人专我精、人精我绝。由于各安全厂商习未能习得灭绝师太的真传,总是一群婆婆卖瓜,自卖自夸,至于好在哪里,还得看它什么瓜娃子。
欲练天下神功,无需挥刀自宫,一本易经在手,足以骗吃骗喝。厂家派系虽多,产品原理万变不离其宗。为什么需要一台防火墙,因为当今网络不太平。江湖上常见的六大杀手:



如果你能入侵中国银行的账户密码中心,大家谁还工作啊,每天数数钞票好了,无论你是添加账号后面的000,还是攻击银行的账户中心、恐怖勒索、卖号谋利、或者自杀性袭击,谁都怕怕,但防火墙不怕怕。
无论你“数据嗅探”,想知道操作系统、服务端口与业务协议;还是想“占着茅坑不拉屎”、抢占资源耗着服务器,防火墙针对“拒绝服务”也能见招拆招。无论是“社会工程”使用假情报套取信息,还是“BUG和病毒”通过漏洞搞攻击,防火墙不怕怕。


有攻就有防,防火墙防御路线图:
身份验证——安全准入——数据过滤——信息加密——安全策略——补丁与关闭服务
防火墙混迹江湖两件宝,一套加密技术,一套安全技术。
一、加密技术










二、安全技术
访问控制、IDS(入侵检测系统)、IPS(入侵防御系统)、  VPN(Virtual Private Network)






后面我们从防火墙的基本配置聊起,让你了解它攻防的魅力,后文待续,详见《调戏防火墙二NAT》






《调戏防火墙二NAT》
防火墙一般划分为四个安全域:local(本地)、trust(可信任的)、dmz(非军事)、untrust(不信任的)。域Local就是防火墙本身。trust、dmz、untrust相当于三间房,一般来说,房间trust放置内网PC、房间dmz放置内网对外提供服务的Server、房间untrust放置外网端口。
如图所示:

我们的防火墙就是区域交叉处的鬼子兵,来来往往的数据包都要受它盘查、听它号令,一般检查过程是这样子的:你的什么的干活?有良民证的没有?去拜访二大爷还是七大姑?你的良民的干活,走走走;你的土八路,巴嘎雅路杀啦杀啦的。
让我们具体看一下这鬼子的基本流程,配置端口地址、划分安全域、NAT地址转换、配置路由。
我们主要聊一下NAT(Network Address Translation)工作原理:



这里,我们重点提一下华赛防火墙的NAT机制,它分为
1、Outbound方向的NAT(直译过来,就是出方向的NAT地址转换,常用)
2、内部服务器(就是我们常说的端口映射出去或者NAT服务器)
3、双向NAT(用的少,特殊情况)



这里我就不啰里啰嗦婆婆妈妈唧唧歪歪解释1、2了,下面聊一下双向NAT:
3.1、Inbound方向的NAT(引入方向的NAT)
参考书面语:主要用在内部主机不能或者没必要知道某一条公网路由的情况
我的理解:私网主机比较懒, 没配置网关。这种配置很多余,与其多此一举,还不如服务器配个网关、加个外网路由。





3.2、域内NAT
参考书面语:当用户访问同一安全域服务器的公网地址,要使来回的数据包都经过防火墙。
3.2.1、举例说明:
如果没做域内NAT,当用户甲访问服务器的公网地址202.101.10.20,数据流如图(黑色路径为去包,红色路径为回包)

如果你不做域内NAT的设置,Server一收到用户甲的请求报文,一看甲的源地址(192.168.0.2)与自己(192.168.0.1)是同一网段的,它的回应报文就直接走二层交换返回给用户了,防火墙就就郁闷了,它奶奶的,你拿领导不当领导,不打一声招呼就溜了。


3.2.2、举例说明
做了域内NAT,当用户甲访问服务器的公网地址202.101.10.20,数据流向如下图(黑色路径为去包,红色路径为回包,数据来回路径一致)

怎们做到的呢?嘿嘿,防火墙老先生很多余,它把内网用户甲的源地址(192.168.0.2)转换成一个外网地址(举例202.101.10.172),当Server收到这么一个请求报文时,一看源地址(202.101.10.172)以为是外网发过来的,那就哪里来的回哪里去,不得不把响应报文返回给防火墙。


4、大家会不会发现防火墙还挺事妈的,嘛事都要管一管。事妈还有一个外号叫“状态检测防火墙”。
书面参考:ASPF(Application Specific Packet Filter)功能不但可以对报文的网络层信息进行检测,也可以对报文的应用层信息进行深度检测,是统一安全网关安全规则检查的重要组成部分。
ASPF(Application Specific Packet Filter)能够监控应用层数据包,并对应用层的流量进行监控。配置ASPF可以防止非法的应用层数据包通过。



后文待续,参见《调戏防火墙三VPN》









调戏防火墙三VPN
VPN(Virtual Private Network )是企业内网的扩展。相当于在公网上架设一条隧道加密的专线。


这章懒一点,直接放图



1、L2TP图文解说





我做过这么一个case,金华某房地产公司买了一台USG2210放在企业网络出口,出差员工想通过vpn干线连接到公司内网。当时刚学完防火墙,大脑混乱, 只知道原理,不知道具体怎么配,就照着产品手册找个案例往上套,结果不行,问老郭,老郭说不要迷信产品手册,手册也会出问题。

当时没想到用web界面,傻乎乎的在那边死敲命令:
1)启用L2TP

l2tp enable

2)在AAA中配置用户名密码及拨号用户获得的地址

aaa

local-user admin password simple admin123

local-user admin level 3

ip pool 0 192.168.100.2 192.168.100.254   
//
虚拟地址,网段可以任意设置

3)配置虚模板

interface Virtual-Template1

ppp authentication-mode pap

ip address 192.168.100.1 255.255.255.0     
//虚模板端口地址与地址池中的地址在同一网段

remote address pool 0

4)将虚模板添加到区域中

firewall zone untrust

add interface Virtual-Template1

5)配置L2TP

l2tp-group 10

allow l2tp virtual-template 1                                       //应用虚接口模板1

tunnel name lns                         //隧道名称为lns
一顿乱敲后,费了一天才搞定,后面想起用web界面配,鼠标点几下搞定,后面看了web界面配置IPSEC,也简单到吐血,真是“越复杂越简单”。





2、IPSEC图文解说
参考书本:
IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议
IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP(协议号50)两个协议
IPSec有隧道(tunnel)和传送(transport)两种工作方式


2.1、比较IPSEC两安全协议工作方式的不同





IKE(Internet Key Exchange,因特网密钥交换协议) 为IPSec提供了自动协商交换密钥、建立安全联盟的服务,它通过数据交换来计算密钥。




具体配置+详细介绍产品手册里都会说明,我这里只能为大家活个面团,具体怎么捏请参见手册。(推荐使用web界面配置)
产品手册下载连接(不需要账号与密码)http://support.huaweisymantec.co ... t.do/gotoKBNavi/137

后记:USG系列的防火墙也能做到很粗的上网行为管理,即URL过滤+P2P限流, 我一直觉得华赛防火墙功能上做到了大而全,就是上网行为管理这牛逼吹得太过了,如果能做到深信服那么专业,还有段不短的距离。


[ 本帖最后由 shaoyuan8 于 2012-4-4 11:59 编辑 ]

举报本楼

本帖有 4 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-17 14:23 , Processed in 0.286371 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部