防火牆的功能特性
訪問控制功能
防火牆的主要功能是策略(policy)和機制(mechanism)的集合,它通過對流經資料流的報文頭標識進行識別,以允許合法資料流對特定資源的授權訪問,從而防止那些無權訪問資源的使用者的惡意訪問或偶然訪問。
實現訪問控制的工作過程:
①對於需要轉發的報文,防火牆先獲取報文頭資訊,包括IP層所承載的上層協議的協議號、報文的源IP地址、目的IP地址、源埠號和目的埠號(即五元組)。
②將報文頭資訊和設定的訪問控制規則進行比較。
③根據比較結果、按照訪問控制規則規定的動作,允許或拒絕對報文的轉發。
業務感知功能
業務感知(SA, Service Awareness)是相對普通報文分析而言的一種新技術,普通報文檢測僅僅分析IP包的四層以下的內容,包括源地址、目的地址、源埠、目的埠以及協議型別,而SA則在此基礎上,增加了對應用層的分析,可識別出各種應用及其內容。
針對不同的協議型別,識別技術一般可分為以下三類:
- 基於特徵字的識別技術:不同的應用通常會採用不同的協議,而各種協議都有其特殊的指紋,這些指紋可能是特定的埠、特定的字串或者特定的Bit序列。基於特徵字的識別技術,正是通過識別資料報文中的指紋資訊來確定業務流所承載的應用。
- 基於應用層閘道器識別技術:我們知道,有一類業務的控制流與業務流是分離的,其業務流沒有任何特徵。例如,SIP、H323協議都屬於這種型別的協議。SIP、H323通過信令互動過程,協商得到其資料通道,一般是RTP格式封裝的語音流。也就是說,純粹檢測RTP流並不能確定這條RTP流是通過哪種協議建立起來的,只有通過檢測SIP或H323的協議互動,才能得到其完整的分析。
- 基於行為模式識別技術:在實施行為模式識別技術之前,必須首先對終端的各種行為進行研究,並在此基礎上建立起行為識別模型。從E-mail的內容看,垃圾郵件(SPAM)業務流傳送郵件的速率、目的郵件地址數目、變化頻率等引數,建立起行為識別模型,並以此分揀出垃圾郵件。
安全接入控制閘道器(SACG)
安全接入控制閘道器(Security Access Control Gateway,簡稱SACG):控制終端的網路訪問許可權,對不同的使用者,不同安全狀況的使用者開放不同的許可權。由SC控制伺服器對終端進行認證,並把結果通知SACG,SACG根據UCL策略決定終端的訪問許可權,防止外部使用者訪問企業內部網路,防止內部合法但不安全使用者連線到企業網路進一步感染公司網路。
以SACG接入裝置為參考點,內部網路劃分為主要的三個邏輯區域:
- 接入區域:接入區域由一組客戶端組成,這些客戶端安裝了TSM代理Agent,通過二層交換或者三層交換組成一個本地網路。
- 認證前域:認證前域是一個邏輯區域,通過對SACG進行ACL配置,可以確保使用者在獲得接入授權以前,只能訪問ACL指定的網路或者主機。終端安全管理系統的認證前域主要包括SM管理伺服器、SC控制伺服器、AD域管理伺服器、防病毒伺服器、補丁伺服器等。
- 認真後域:認證後域是一個邏輯區域,與認證前域相對應。通過對SACG進行配置,當用戶獲得業務授權後,就可以訪問認證後域的業務資源。比如OA業務伺服器、ERP業務伺服器、財務伺服器等。
雙機熱備技術
虛擬路由冗餘協議(VRRP, Virtual Router Redundancy Protocol)將區域網的一組路由器組織成一個虛擬路由器,稱之為一個備份組。其中,僅有一臺裝置處於活動狀態,稱為主用裝置(Active);其餘裝置都處於備份狀態(Standby)。藉助VGMP機制,可以實現對多個VRRP備份組的狀態一致性管理、搶佔管理和通道管理等,保證一臺防火牆上的介面同時處於主用或備用狀態,實現防火牆防火牆VRRP狀態的一致性。另外,啟動HRP功能後,Active和Standby裝置之間將實時同步關鍵配置命令和會話表狀態資訊。如果Active裝置發生故障,導致VRRP管理組狀態改變,引起VRRP備份組搶佔,從而實現Standby裝置平滑地接替工作
IP Link技術
IP-Link自動偵測是利用ICMP或者ARP協議的特徵對業務鏈路正常與否進行的自動偵測。它定時地向指定的目的IP地址傳送ICMP或者ARP請求,等待相應目的IP地址的迴應,根據迴應的情況判斷網路的連通狀況。如果在設定的時限內未收到迴應報文,則認為鏈路發生故障,並進行後續相應的操作。當原來認為發生故障的鏈路,在之後設定的時限內,有連續3個迴應報文返回,則認為發生故障的鏈路已經恢復正常,此後進行鏈路恢復的相關操作。
Qos技術
主要功能:
- 流分類:流分類依據一定的匹配規則識別出物件,是有區別地實施服務的前提。
- 流量監管:流量監管對進入網路的特定流量的規格進行監管。當流量超出規格時,可以採取限制或懲罰措施,以保護客戶的商業利益和網路資源不受損害。
- 流量整型:流量整型限制從某一網路流出的某一連線的流量,使這一流量的報文以比較均勻的速度向外傳送,是一種主動調整流量輸出速率的措施。
- 擁塞管理是一種當擁塞發生時指定資源排程策略從而決定報文轉發時處理次序的機制。主要排程策略包括FlFO(先進現出佇列)、PQ (Priority Queueing,優先佇列)、CQ(Customized Queue,使用者定製佇列)、WFQ(Weighted Fair Queueing,加權公平佇列)、5、CBWFQ(class-based weighted fair queuing,基於類的加權公平佇列)、6、LLQ(Low Latency Queueing,低延遲佇列)。
- 擁塞避免:擁塞避免是指通過監視網路資源(如佇列或記憶體緩衝區)的使用情況,在擁塞有加劇趨勢時,主動丟棄報文,通過調整網路的流量來接觸網路過載的一種流控機制。
攻擊防範功能
網路攻擊主要分為四大類:
- 流量型攻擊:指攻擊者通過大量的無用資料佔用過多的資源以達到伺服器拒絕服務的目的。
- 掃描窺探攻擊:主要包括IP地址掃描和埠掃描,從而準確的發現潛在的攻擊目標。
- 畸形報文攻擊:指通過向目標系統傳送有缺陷的IP報文。主要的畸形報文攻擊有Ping of Death、Teardrop等。
- 特殊報文攻擊:指攻擊者利用一些合法的報文對網路進行偵察或者資料檢測,這些報文都是合法的應用型別,只是正常網路很少用到。
防火牆黑名單
黑名單是一個IP地址列表。防火牆將檢查報文源地址,如果命中,則丟棄所有報文,可以凱蘇遮蔽特定IP地址的使用者。
防火牆動態建立黑名單的工作過程:
①根據報文的行為特徵檢測到來自特定IP地址的攻擊企圖。
②自動將這一特定IP地址插入黑名單表項。
③防火牆根據黑名單丟棄從該IP地址傳送的報文。
注:通過在黑名單中引用高階ACL,可繫結黑名單和高階ACL,確保一些特殊使用者免受黑名單的干擾。此時的安全策略是根據高階ACL規則確定是否允許該報文通過。對於ACL規則拒絕的流量進行丟棄,而ACL規則允許的流量則允許通過,此時即使使用者被加入黑名單,仍能正常通訊。
負載均衡
負載均衡將訪問同一個IP地址的使用者分配到不同的伺服器上。
負載均衡採用的技術:
- 虛服務技術:防火牆配置負載均衡功能後,多個伺服器公用一個公網的IP地址(即虛擬IP地址),這些伺服器被稱作真是伺服器。使用者對這些真實伺服器上內容的訪問都通過該虛擬IP地址進行。每一個真實伺服器使用冉的私網IP地址(即實IP地址),由多層交換機、防火牆將訪問虛擬IP地址的流量按照預先配置的演算法分配到每一個真實伺服器。
- 伺服器健康性檢測:即防火牆通過週期性的探測真實伺服器,實現健康性檢查功能。真實伺服器如果可用,則返回應答報文;如果不可用,一段時間後防火牆將禁止該真實伺服器,將流量按配置好的策略分配到其他的真實伺服器上。
- 基於流的轉發:即通過制定演算法,將資料流傳送到各個真實伺服器進行處理。
應用控制
通過SA(Service Awareness)技術對資料流進行業務感知,識別出應用層協議,並對指定型別的資料流量進行控制。