因應學校於2020年更換防火牆,發現自己什麼都不懂。四年保固期到期後,也就是2024年過保後,學校防火牆設定就要自己來。想到這點,自己就害怕。到時學校又有新的需求,需要修改防火牆設定。那我要如何變更設定呢?
那我就開始找資料,進行資料整理。將資料整理的過程,整理在自己的Blogger上。
那我就開始整理資料來源1。現在將整理的資料呈現在下方:
介面(Interface)和安全區(Security Zones)
從安全的角度,介面是一個網路介面的邏輯屬性,這些邏輯屬性包括:
(1).介面上運行的協定(Protocol)簇(包括任何協定定義的MTU)。
(2).IP地址以及關聯的地址,一個邏輯介面可以配置一個IPv4 位址,一個IPv6地址,或者同時配置。
(3).在整個系統中,每個介面的地址是需要唯一的,不同的介面地址也應該分配在不同網段,這樣介面的位址才可以實現邏輯可達(住:在使用虛擬路由器的情況下可能
存在不同介面屬於同一網段的情況)。
(4).VLAN配置
管理員登入SRX的第一件事就是要給介面配置一個IP地址,但是卻發現根本無法ping通。這是因為SRX作為安全設備,在沒有經過安全配置的情況下,任何流量都不能進出,聽起來合乎邏輯。
如果需要允許介面的流量進出,您需要配置更多內容,除了IP地址的配置之外,介面需要關聯到安全區上,同時安全區需要一個屬於一個路由實例,他們之間的邏輯關係圖如下所示:
圖1.1 SRX流量流向
在上圖中,您可以看到發往某個介面的流量可能是下面三種類型: (1).管理流量(或稱系統服務),例如HTTPS 和 SSH
(2).協定相關的流量例如OSPF 和 DHCP (簡化起見,通稱協定)
(3).用戶發起的流量,例如客戶端到服務器的對應的封包(Packet)
注意,發往介面的流量是為了管理設備的話,在SRX中將其定義為host-inbound traffic 。host-inbound traffic 功能指的是管理員可以在指定介面配置管理服務或者其他的控制相關的服務。這個配置可以在兩個類別下完成
(1).可以在Zone 層級下面進行配置,意味著這個區域的所有介面都會生效
(2).配置在特定介面層級下,只能在該介面開啟這些流量。如果同時在兩個地方配置,哪麼介面的host-inbound traffic 的配置將會覆蓋Zone 下面的配置。換句話說,服務不會被添加。
聽起來比較複雜,讓我們來舉例說明吧,如果您想允許Zone中的對應介面回應ping,那麼您可以在Zone 層級下配置系統服務,Zone下面的所有介面都會開啟ping的回應。如果,您進一步又想在一個介面開啟SSH服務,那麼當您在介面層級下配置host-inbound traffic ,允許SSH服務時,該介面ping的回應將會失效,因為介面的配置覆蓋了Zone的配置(介面下僅剩SSH服務開啟),如果想要同時開啟ping,就需要在介面層級加入ping服務。
注意:要記得host-inbound traffic的設置不會影響介面自身發出的流量
當轉移到介面層級之前,有兩個重要的技術點需要提醒:
(1).配置host-inbound traffic 的系統服務,並不是在介面上開啟系統本身的服務,當你在介面上允許Telnet、SSH、FTP 和 J-Web 的訪問時,一定要在系統層級下把這些服務開啟。
(2).host-inbound traffic 的設置不會影響fxp0,並在fxp0上也不允許做該配置,因為fxp0屬於外網管介面,如果您在系統層級下開啟了諸如Telnet等服務,fxp0也已經配置好 IP並能訪問,那麼就可以通過fxp0遠端管理。在本書中,我們管理SRX都是用過傳輸介面(也就是所謂的帶內管理),所以,需要了解一下帶內(In-Band)網管和帶外(Out-of-Band)網管的不同。
更進一步研究上圖,也揭示了策略(Policies)的工作原理,從任何Zone始發到其他區域(那怕是始發和終點都是同一個Zone)流量,都需要放置一個策略來允許其通過,請注意,從一個區域到其他區域的流量,被認為是用戶數據或者傳輸數據(多次稱為瞬時流量)。
如果沒有策略則意味著流量會被丟棄,這種特殊的操作是因為SRX本身的安全角色使然-您必須確定那些特定的流量,可以從一個Zone到另一個Zone,那怕是同一個區域的一個介面到另一個介面。
管理流量儘管不會穿越防火牆,但是實際上也是終止在防火牆,這就意味著不需要被任何安全策略檢查,儘管在最佳時間上,管理員會在安全策略上部署對於管理流量的控制。
最後,上圖的最外層,在路由實例的層面上,預設情況下,所有預定義的Zone和新創建的Zone都會屬於預設路由實例(IPv4路由表),除非有其他特殊配置,換言之,當我們配置一個介面位址,並綁定在一個Zone中,也就在inet.0的路由表中創建了一個主機路由規則。
您可以根據自己的路由需求,創建多個虛擬路由實例(VR),您可以一個虛擬路由實例運行BGP,一個關鍵虛擬路由實例(routing-instance)運行OSPF,一個預設的虛擬路由實例只接收這些定制路由實例的特定規則。
區域(Zone)的類型
了解什麼是Zone(區域),並且在SRX中Zone有哪些類型很重要。Zone在JunOS的定義中是一個邏輯區域,其中集合了介面、組件和在安全邊界的策略。
有兩個Zone 可以被配置functional zone(功能區) 和 security zone(安全區):
(1)功能區(functional zone)是一種邏輯區域,屬於這個區域的介面具備管理功能,注意,介面屬於功能區就不能用在安全區,在SRX上,功能區的作用就等於管理區,把介面放在功能區意味著這個界面將作為帶外(Out-of-Band)網管使用。
(2)安全區(security zone)是實際配置中非常常見的邏輯區域,安全區域之間通過策略來確定允許或者拒絕哪些流量通過,一個邏輯介面,只能屬於一個安全區。
從一個安全區進出的流量可以執行諸多安全功能,如封包(Packet)過濾,安全策略,UTM(統一威脅管理),應用控制,Screen功能(防攻擊)。例如,SRX可以做出以下動作:
(1).封包(Packet)是否允許進入設備
(2).是否對封包(Packet)進行Screen功能
(3).封包(Packet)根據目的地進行路由
(4).是否有QOS中的分類動作
(5).是否執行NAT
(6).是否存在應用層閘道(Gateway)
封包(Packet)進出設備,在SRX中有兩種處理方式,基於封包(Packet)的處理與基於流(flow)的處理:
(1).基於流的處理方式依賴於一個或一串封包,封包的處理基於由第一個包而在防火牆建立的flow(流),也可以理解為對話(session)。封包的分組和順序需要保持不變。
(2).基於封包,或者無狀態的處理方式,封包直接進行路由轉發,相當於路由器的處理方式,每一個封包都相互獨立,也不存在連續和對話(session)的概念。
本書主要集中在流的處理方式。
理解基於流的處理
當封包在封包過濾或者一些Screen操作(只有配置才會有這些操作)後,就會進入基於流的處理,如下圖1.2介紹了在SRX上基於流處理的關鍵環節
圖1.2 基於流的轉發的流量流向
在SRX確定封包是屬於一個新的流還是已知的流後,在確定對這個封包或者對話(session)如何操作之前,實際上SRX已經完成了更為複雜的分析,這種分析很大程度上取決於SRX是否已經看到流(對話(session))的存在。
如果封包沒有匹配已知的對話(session),SRX將會對封包進行首包路徑處理,如果這個封包匹配一個已知的對話(session),SRX將會執行快速路徑處理。
要確定封包已經屬於一個流,SRX需要基於已知流的如下關鍵訊息來和封包進行匹配: (1).來源位址(Source address)
(2).目的位址(Destination address)
(3).來源埠(Source port)
(4).目的埠(Destination port)
(5).協定(Protocol)
(6).唯一的給定區域或者虛擬路由器的對話令牌號(session token)
如果封包來自一個新的流,那麼將會執行下列步驟:
(1).SCREENS檢查
(2).靜態或者目的NAT檢查(如果有這類操作)
(3).對於下一跳的路由檢查
(4).目的介面和區域Zone查詢
(5).防火牆策略查詢
(6).反轉或來源位址NAT查詢(如果配置)
(7).是否配置ALG(應用層閘道)
(8).應用入侵檢測和防護系統,VPN或者高級安全服務
(9).在SRX的對話表(session table)中安裝一個新的對話(session)
如果封包匹配已有的對話(session),那麼SRX將會執行快速路徑的流處理,快速路徑的處理過程中,很多首路徑處理的步驟將不會重複檢查(已經完成),快速路徑處理包括如下流程:
(1).SCREENS檢查
(2).TCP 頭端和標記檢查
(3).路由檢查和NAT轉換
(4).應用閘道(Gateway)策略
(5).應用高級安全服務
非常重要的是,儘管封包流對話(session)已經建立,並且已經通過快速路徑處理,安全檢查還是會執行,SRX依然會阻止和丟棄拒絕服務攻擊和其他類型的惡意攻擊(注:例如在已知對話(session)上的惡意攻擊)
還有一個需要說明的是應用層閘道(Gateway)服務,應用層閘道(Gateway)服務是對於特定的協議,例如語音中使用的SIP協定,文件共享FTP協定以及其他需要反向建立傳輸通道的協定(此時協定的埠並不固定),因此,應用層閘道(Gateway)服務就是為了保證這些協定可以被識別,並且可以創建非固定埠的對話(session)
高級安全服務例如UTM,應用層安全,Sky ATP,SSL-Proxy,安全情報,與IDP。高級安全服務和ALG服務在圖1.3的安全服務模組中顯示。
圖1.3 安全服務和ALG應用層閘道的細節
本書參考拓樸 圖1.4顯示的拓樸將會用在本書配置和部署中,是最小程度的展示一個企業網路的環境和功能分區:
(1).可信區 Trust Zone(用戶終端,印表機等等)-設備管理也必須在通過本區訪問
(2).服務區 Server Zone (沒有連接網際網路的內部服務器,例如活動目錄,檔案共享等)
(3).非軍事區 DMZ Zone (面向網際網路的服務,例如Web server)
(4).不可信區 Untrust Zone (連接網際網路)
圖1.4 本書參考拓樸
在本拓樸中,終端連接在可信區並且執行例如用戶防火牆,應用防火牆,病毒防護,網頁過濾,惡意程式防護(Sky ATP)和威脅情報等安全功能,為終端機提供如上高級安全功能,同時支持網路安全的可視化功能。
服務區保護的內網服務,並且實現和終端的安全隔離,這個區域管理員只會開放必要的服務埠,開啟必備的服務,並且儘可能地減少攻擊威脅,同時開啟入侵防護服務,來保護服務器的服務資源。 DMZ區內的設備提供面向網際網路的服務,只允許特定的埠和應用,阻止其他所有的服務流量。入侵防護服務必須在本區域開啟,通過IPS可以極大限度的削減前端帶來的滲透等攻擊。應用層防火橋可以不限於TCP/UDP的固定埠來控制機那些應用可以開啟。
沒有留言:
張貼留言