防火墙应用层过滤
📒博客主页: 微笑的段嘉许博客主页
🎉欢迎关注🔎点赞👍收藏⭐留言📝
📌本文由微笑的段嘉许原创!
📆51CTO首发时间:🌴2022年10月12日🌴
✉️坚持和努力一定能换来诗与远方!
🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!
⭐本文介绍⭐
面对各种🐓行为,华为欸防火墙提供了强大的防护能力、VPN功能及应用层的探测识别技术。而应用层过滤技术则可以更有针对性地加固企业地安全建设。所谓的应用层过滤,就是针对OSI的七层报头做检查,其工作效率虽然比传统的包过滤防火墙低,但是其对安全性的提升确是普通防火墙所不具备的。加之随着计算机的发展,今天的硬件处理速度已经不再成为网络瓶颈,所以一款防火墙是否具备应用层探测,能够探测多少应用已经成为衡量防火墙好坏的主要标准。本文重点介绍华为的应用层技过滤技术和实验配置。
📝理论讲解:
文件类型过滤
文件类型过滤是根据文件的类型对通过防火墙的文件数据进行过滤的安全机制。随着网络技术的不断发展,如何防止用户的个人信息泄露及保证公司的机密数据安全成为企业网络安全建设的重要组成部分。传统的防火墙过滤企业及葛藤的隐私信息,而互联网中的bingdu木-马等文件通常附着在特定的文件类型过滤功能可以基于以下内容识别:
- 应用:承载文件传输的应用协议,如HTTP、FTP、SMTP、NFS、SMB、IMAP。
- 方向:文件传输的方向,如上传或下载。
- 类型:文件的实际类型,如一个可执行文件(EXE 扩展名)被🐓者恶意将扩展名修改为PDF,防火墙通过对内容分析依然判定为可执行文件。
- 扩展名:文件的扩展名类型,如DOC、RRT等。
防火墙的文件类型过滤允许只当若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量、动作的类型如下:
- 允许:默认动作,允许文件传输。
- 警告:允许文件传输,同时记录日志。
- 阻断:阻断文件传输,同时记录日志。
📢友情提示:
防火墙除了用户自定义规则外,还可以基于文件过滤全局配置处理异常流量,如可以检查压缩文件的层数和文件大小,防火墙会根据预设值(一般采用默认值即可)采取相应的处理动作。
内容过滤
内容过滤是一种对通过防火墙的文件内容进行过滤的安全机制。内容过滤一般配合为念类型过滤实现最佳的防护效果。当今企业在注重安全的同时,也比较看重网络效率。通过文件类型可以在一定程度上减少员工泄密及发生安全事故的概率,但无法有针对性地对文件内容执行检查,从而发现是否违规数据。如企业为了禁止员工泄密,阻断所有地办公文档类型,这种方式在达到目的地同时,也严重影响了员工地办公效率,一些正常地邮件业务来往也将受到影响。而内容过滤可以通过检查文件内容,从而判断该流量是否违规。内容过滤可以解决一下问题:
- 阻断机密信息传输,降低员工泄密地风险。
- 降低员工因浏览敏感信息而给公司带来法律风险地概率。
- 提高工作效率,阻断员工浏览与工作无关地内容。
防火墙过滤的内容如表:
| 应用/协议 | 过滤内容 |
| HTTP | 上传:发布的微博内容、论坛发帖内容、搜索时输入的内容、提交的表单内容、上传文件名称。下载:浏览网页的内容、使用HTTP下载文件的内容 |
| FTP | 上传和下载文件的名称 |
| SMTP | 发送的邮件标题、正文和附件名称 |
| POP3 | 接收的邮件标题、正文和附件名称 |
| IMAP | 接收的邮件标题、正文和附件名称 |
| FLASH | FLASH文件的名称 |
| SMB | 共享文件的名称 |
| 网页邮件 | 网页邮件的标题、正文和附件名称 |
防火墙的内容过滤功能通过“关键字”识别流量中的敏感信息,根据配置的动作来处理流量。关键字可以基于公司的实际情况进行定义(如公司机密、色情、暴力或其他违规信息),也可以使用预定义关键字(银行卡号、信用卡号、社会安全号、身份证号等)。关键字也支持模糊匹配(正则表达式)。
防火墙的内容过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的匹配动作处理流量。动作的类型如下:
- 警告:识别出关键字后,允许传输文件内容,同时记录日志。
- 阻断:识别出关键字后,拒绝传输文件内容,同时记录日志。
- 按权重操作:每个关键字都配置一个权重值,每当匹配到关键字后,将根据关键字的匹配次数进行权重值的累加,如果累加后的权重值结果大于等于"警告阈值"并且小于"阻断阈值",将执行"警告"动作;如果累加后的权重值结果大于等于"阻断阈值",将执行"阻断"动作。
URL过滤
当用户请求的URL资源匹配防火墙中的URL规则时,防火墙将根据URL规则的动作允许/拒绝该请求,同时发送回送页面。防火墙的URL过滤功能基于一下方式实现。
- 黑名单:防火墙将收到的请求与配置的白名单进行匹配,如果匹配成功,则拒绝该请求,并向发送则发送错误页面。
- 白名单:防火墙将收到的URL请求与配置的白名单进行匹配,如果匹配成功,则允许银狐发送请求。
- URL分类查询:防火墙根据用户访问的URL分类来决定是否允许用户发送该URL请求。URL分类包含自定义分类和预定义分类,其中自定义分类由用户自行定义,预定义分类时系统默认已经定义好的分类(可以从华为的安全中心升级)。一个URL分类可以包含若干条URL,一条URL可以属于多个分类。预定义分类分为两种查询方式。一种是本地缓存查询方式,通常情况下设开机启动时,会将预定义分类信息加载到缓存里。当防火墙收到一个URL请求时,首先会在缓存中查询该URL对应的分类。如果查询到对应的URL分类,则按照该URL分类配置和的响应动作进行处理。当处理动作为拒绝时,向发送则发送WEB推送页面。如果缓存中无法查询到分类信息,则向远程分类服务器继续查询,这也是第二种查询方式。远程分类服务器一把部署在互联网,提供更庞大的URL分类信息。如果在远程分类服务器查询到匹配的分类,则按照该URL分类配置的响应动作进行处理,同时将该URL分类信息保存到本地缓存中,以便下次快速查询。当处理动作为拒绝时,向发送者发送WEB推送页面。如果查询不到,则按照分类为"其他"的响应动作进行处理。
- 允许:只允许用户访问请求的URL。
- 警告:只允许用户访问请求的URL,同时记录日志。
- 阻断:只阻断用户访问请求的URL,同时记录日志。
防火墙中存在一个URL过滤的默认配置文件,名称default。该文件默认配置恶意网站的响应动作为阻断,其他URL分类的默认动作为允许。默认配置文件不能被修改和删除。
在配置URL过滤时,要确保华为防火墙可以通过互联网访问华为的安全服务中心(http://sec.huawei.com)。建议配置防火墙的域名解析。
📖实验配置与实现:
拓扑图:
推荐步骤:
将防火墙添加到指定的区域配置IP地址,给路由和服务器配置IP地址设置正确网关,配置服务器伟FTP服务器
FW1防火墙访问外网配置默认路由,R1访问Trust和DMZ区域配置静态路由
配置安全策略允许Trust和DMZ访问Untrust,配置安全策略允许Untrust访问DMZ区域的ftp服务器
配置Easy-IP的NAT将Trust区域访问Untrust区域流量映射到防火墙外网端口上
配置Nat Server将DMZ服务器的21号端口映射到192.168.20.3的21号端口
验证内网PC1和PC2访问外网抓包防火墙外网接口查看地址转换信息
外网Client访问DMZ发布到Untrust区域IP地址FTP
实验步骤:
一、将防火墙添加到指定的区域配置IP地址,给路由和服务器配置IP地址设置正确网关
1、将防火墙接口划分到指定的区域
1)防火墙接口划分区域
2、接口配置IP地址,允许ping防火墙
1)接口配置IP地址
2)查看配置的IP地址
3)允许ping防火墙
3、路由器接口配置IP地址、
1)路由器R1配置IP地址
2)查看配置的IP地址
4、客户端和服务器配置IP地址
1)FTP-server配置IP地址
2)PC1配置IP地址
3)PC2配置IP地址
4)PC3配置IP地址
5)client1配置IP地址
二、FW1防火墙访问外网配置默认路由,R1访问Trust和DMZ区域配置静态路由
1、防火墙访问外网配置默认路由
1)在FW1上配置一条去40.0的默认路由
2)查看配置表
2、R1访问Trust和DMZ区域配置静态路由
1)R1配置一条去10.0的静态路由和30.0的静态路由
2)查看路由表
三、配置安全策略允许Trust和DMZ访问Untrust,配置安全策略允许Untrust访问DMZ区域的ftp服务器
1、配置安全策略允许Trust访问Untrust区域
1)允许Trust访问Untrust区域
2、配置安全策略允许DMZ访问Untrust区域
1)允许DMZ访问untrust区域
3、配置安全策略允许Untrust访问DMZ区域
1)允许untrust访问DMZ区域
四、配置Easy-IP的NAT将Trust区域访问Untrust区域流量映射到防火墙外网端口上
1、配置Easy-IP的NAT将Trust区域访问Untrust区域流量映射到防火墙外网接口上
1)配置NAT地址策略
2)查看防火墙状态化连接表
五、配置NatServer将DMZ服务器的21号端口映射到192.168.30.2的21号端口
1、配置Nat Server 将DMZ服务器的21号段哦口映射到192.168.20.3 的21号端口
1)将服务器的21号端口映射到192.168.20.3的21号端口
2)配置应用层
六、验证内网PC1和PC2访问外网抓包防火墙外网接口查看地址转换信息
1、验证
1)PC1 ping PC2
2)使用抓包软件