复习防火墙(二)
会话表技术
- 原理:会话表是防火墙用于记录网络连接会话信息的数据结构。当一个网络连接建立时,防火墙会在会话表中创建一个新的条目,记录该连接的相关信息,如源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型、连接状态等。在连接的整个生命周期内,防火墙会根据会话表中的信息来对该连接的数据包进行处理。当连接结束时,防火墙会删除会话表中的相应条目。
- 优点
- 快速转发数据包:通过会话表,防火墙可以快速判断数据包是否属于已建立的连接,对于属于已建立连接的数据包,可以直接根据会话表中的信息进行快速转发,而无需再次进行复杂的规则匹配,大大提高了数据包的转发效率。
- 支持状态相关的过滤:结合状态检测技术,会话表可以实现基于连接状态的过滤策略。例如,只允许已建立连接的数据包进行双向通信,对于未建立连接的数据包进行拦截,从而增强了网络的安全性。
- 缺点
- 内存占用:随着网络连接数量的增加,会话表会占用大量的内存空间。如果防火墙的内存资源有限,可能会影响其性能,甚至导致会话表溢出,从而影响正常的网络通信。
- 会话表老化和清理:需要合理设置会话表的老化时间,以确保及时清理不再使用的会话条目,释放内存资源。但如果老化时间过短,可能会导致一些仍在使用的连接被强行中断,影响正常业务。老化时间过长,会话表中积累过多的无效条目,影响性能。
以下是部分会话类型的老化时间表:
查看防火墙会话表的命令:
<USG6000v1>display firewall session table
状态监测技术
- 原理:状态检测防火墙在网络层和传输层对数据包进行检测,不仅检查数据包的源地址、目的地址、端口号等基本信息,还会跟踪数据包的状态。它会分析数据包所属的连接状态,判断其是否符合已建立的连接状态信息。例如,对于一个 TCP 连接,状态检测防火墙会跟踪连接的建立、数据传输和连接终止等过程,只有当数据包属于一个已建立的合法连接或者符合连接建立规则时,才会允许数据包通过。
- 优点
- 安全性高:能够有效防范各种基于网络层和传输层的攻击,如端口扫描、IP 欺骗等。因为它可以根据连接状态来判断数据包的合法性,而不是仅仅依据静态的规则,所以能够识别出许多异常的网络行为。
- 性能较好:与传统的包过滤防火墙相比,状态检测防火墙在处理数据包时不需要对每个数据包都进行全面的规则检查,而是根据连接状态进行快速匹配,从而提高了数据包的处理速度,减少了网络延迟。
- 缺点
- 配置复杂:需要对网络环境和应用程序有深入的了解,才能正确配置状态检测规则。如果配置不当,可能会导致安全漏洞或者影响正常的网络通信。
- 对某些应用层攻击检测能力有限:由于状态检测主要关注网络层和传输层的信息,对于一些复杂的应用层攻击,如 SQL 注入、跨站脚本攻击等,可能无法直接检测到。
状态检测机制可以选择关闭或开启
[uSG6000v1]firewall session link-statetcpcheck---命令行中开启状态检测功能的命令,如果需要关闭,则在该命令前面加undo
数据包通过防火墙的处理流程
FTP——文件传输协议
TFTP——简单文件传输协议
| 对比项目 | FTP | TFTP |
|---|---|---|
| 传输层协议 | 基于 TCP 协议,面向连接,可靠传输。 | 基于 UDP 协议,无连接,传输不可靠但开销小、速度快。 |
| 端口号 | 使用两个 TCP 端口(控制连接默认 21,主动模式数据连接 20,被动模式随机高端口)。 | 仅使用一个 UDP 端口 69。 |
| 安全性 | 支持用户认证(需用户名和密码),部分可通过 FTPS 加密,但默认明文有安全风险。 | 无认证机制,数据全程明文传输,安全性低,易被窃听或篡改。 |
| 功能丰富度 | 功能全面,支持上传、下载、删除、重命名、目录列表、权限管理,可切换传输模式。 | 功能极简化,仅支持文件上传和下载,不支持交互及复杂操作。 |
| 可靠性与传输机制 | 依赖 TCP 可靠传输,支持断点续传、错误恢复,适合大文件或高可靠性场景。 | 基于 UDP,无连接保障,有简单确认机制(如停止等待协议),可能丢包,适合小文件或容忍一定丢包的场景(如设备临时传输)。 |
| 应用场景 | 广泛用于互联网文件传输,如网站文件管理、常规文件共享等需交互和可靠性的场景。 | 常用于局域网内,如网络设备(路由器、交换机)固件升级、配置文件传输,或资源受限设备(无磁盘系统)文件加载。 |
| 协议复杂度与资源占用 | 协议复杂,需维护控制连接和数据连接,资源占用较高。 | 协议简单,实现成本低,代码量小,适合存储和处理能力有限的设备。 |
最关键的不同:1,ftp需要验证 。2,拥有一套完整的命令集
ftp工作原理:
ftp协议有2个端口号20和21,一个给控制进程一个给数据进程。
FTP分为两只工作模式——主动模式,被动模式
主动模式:
命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 <- 服务器 20端口
被动模式:
命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 -> 服务器 >1023端口
ASPF即应用层状态包过滤,是一种针对应用层协议进行状态监控与过滤的技术,常用于防火墙等网络安全设备中,以解决传统包过滤在处理复杂应用层协议时的局限性。将识别到的端口信息记录在server-map表中,再根据这个记录,创建会话表。默认FTP开起来ASPF的
核心特点与工作原理:
- 动态跟踪会话状态:对于像 FTP(文件传输协议)、SIP(会话发起协议)、RTSP(实时流协议)等应用层协议,它们在传输层可能涉及动态端口协商(如 FTP 的控制连接与数据连接)。ASPF 会跟踪这些协议的会话建立过程,记录合法会话的状态信息(如端口映射关系),允许后续符合会话状态的数据包通过,而拦截非法或无关联的数据包。
- 应用层协议感知:ASPF 能识别特定应用层协议的指令和行为。例如,在 FTP 会话中,当客户端通过控制连接(默认端口 21)发送
PORT或PASV命令协商数据连接端口时,ASPF 会解析这些指令,自动允许数据连接(动态端口)的流量通过,确保文件传输正常进行,而传统包过滤仅检查静态端口,无法处理此类动态场景。
用户认证
防火墙管理员认证---校验登录者身份合法性
用户认证-----上网行为管理中的一环
上网用户认证----三层认证--将用户和行为进行绑定
定义:
用户通过网络服务提供商(ISP)或公共网络(如 Wi-Fi 热点)访问互联网时,验证其是否具备访问互联网权限的过程。
核心目的:
确认用户有权使用网络服务(如宽带、4G/5G、公共 Wi-Fi),并进行计费、流量控制或安全审计。
典型场景:
- 家庭宽带:通过 PPPoE 拨号(用户名 + 密码)或光猫自动认证接入 ISP 网络。
- 公共 Wi-Fi:通过 Web Portal 认证(输入手机号获取验证码、微信扫码、免密登录等),如机场、商场的免费 Wi-Fi。
入网用户认证---二层认证
定义:
用户接入特定局域网(如企业内网、校园网)时,验证其是否具备访问该内部网络资源权限的过程。
核心目的:
确保只有授权用户 / 设备能接入内部网络,保护企业数据安全,实现精细化权限管理。
典型场景:
企业办公:员工通过 802.1X 认证(用户名 + 密码、证书)接入公司 Wi-Fi 或有线网络。
校园网:学生通过学号认证登录校园内网,访问图书馆资源或校内系统。
接入用户认证---VPN---对身份合法性进行认证
定义:
泛指用户接入任何网络(有线 / 无线、广域网 / 局域网)时的身份验证过程,是前两者的 “通用概括”。
核心目的:
根据不同网络场景,可能是访问互联网(上网认证)或内部资源(入网认证),或两者兼顾。
典型场景:
混合场景:企业员工通过 VPN 接入公司内网(入网认证),同时允许访问互联网(上网认证)。
认证方式
| 维度 | 本地认证 | 服务器认证 | 单点登录(SSO) |
|---|---|---|---|
| 认证数据存储 | 本地设备 / 系统(分散存储) | 中央服务器(集中存储) | 统一认证中心(集中存储 + 共享) |
| 依赖网络 | 无需网络(离线可用) | 必须联网(与服务器通信) | 首次认证需联网,后续访问依赖信任票据 |
| 管理方式 | 独立管理(逐个设备维护) | 集中管理(服务器统一配置) | 集中管理(认证中心统一策略) |
| 适用场景 | 小规模设备、离线环境 | 中大规模网络、需要权限集中管理 | 多系统集成、跨应用统一访问 |
| 安全性 | 低(本地存储易泄露) | 高(服务器可部署复杂安全策略) | 高(集中加密 + 票据机制,但存在单点风险) |
| 典型案例 | 路由器本地账户、Windows 本地账户 | 企业 AD 域、Radius 认证服务器 | 企业多系统统一登录、微信 / 支付宝扫码登录 |
认证策略
1)Portal认证
核心定义
基于网络端口(如交换机端口、Wi-Fi 接入点)的强制认证机制,通过验证用户 / 设备身份决定是否开放网络访问权限,是企业网络安全的重要防线。
工作原理: 一般来说,当用户或设备连接到支持 Porta 认证的网络端口时,会触发认证流程。用户需要提供相应的身份凭证(如用户名、密码等),这些凭证会通过 Porta 协议发送到认证服务器进行验证。认证服务器根据预先配置的用户信息和权限策略,对用户身份进行核实。如果认证成功,用户就可以获得网络访问权限;如果认证失败,则无法访问网络。
应用场景:常用于企业网络、校园网络等环境,用于对内部用户的网络访问进行严格控制,保障网络安全和资源的合理分配。例如,企业可以通过 Porta 认证确保只有本公司员工能够接入公司内部网络,防止外部未经授权的设备接入。
2)免认证
概述:免认证是指某些特定的用户、设备或场景下,无需进行常规的身份认证流程即可获得访问权限。它与不认证不同,免认证通常是基于特定的规则或条件来确定哪些用户或设备可以无需认证,而不是对所有用户都开放。
工作原理:系统会根据预先设定的免认证规则来判断是否给予用户免认证访问权限。这些规则可能基于用户的身份属性(如内部员工的特定标识)、设备的特征(如已注册的公司设备的 MAC 地址)、网络位置(如在公司内部特定网段)等因素。当用户或设备满足这些规则时,系统会自动识别并允许其直接访问,跳过正常的认证步骤。
应用场景:在企业内部,对于一些经常访问的内部系统,可能会对公司的办公设备设置免认证,以便员工能够更快捷地访问工作资源,提高工作效率。同时,在一些移动办公场景中,对于已经通过企业移动设备管理系统注册的设备,也可能给予免认证权限。
3)不认证
概述:不认证意味着在网络访问或系统登录等场景中,不要求用户提供任何身份凭证或进行身份验证过程,用户可以直接访问相关资源或系统。
工作原理:没有专门的认证机制来验证用户身份,只要用户发起访问请求,系统就会直接允许其访问,不进行任何身份核实和权限检查。
应用场景:一些公开的、对所有人开放的网络服务或资源可能会采用不认证方式,例如某些公共的无线网络热点、公开的网站等,旨在为用户提供便捷的访问体验,无需用户进行繁琐的注册和登录操作。
4)匿名认证
概述:匿名认证允许用户以匿名的方式进行访问,用户无需提供真实的身份信息,但系统仍会对用户进行一定程度的身份标识和验证,只是这种标识不涉及用户的真实身份细节。
工作原理:通常,系统会为匿名用户分配一个唯一的匿名标识。当用户发起访问请求时,系统会验证该匿名标识的有效性。如果是首次访问,系统会生成一个新的匿名标识并分配给用户;如果是已有匿名用户再次访问,系统会根据其携带的匿名标识来识别用户,并根据相应的权限策略为其提供访问权限。在整个过程中,用户的真实身份信息不会被要求提供或暴露。
应用场景:常见于一些需要保护用户隐私的应用场景,如某些在线论坛、匿名投票系统、部分学术数据库访问等。用户可以在不暴露自己身份的情况下进行相关操作,既能够保护用户的隐私,又能让系统对用户的访问行为进行一定的管理和记录。
用户管理
上网方式
认证策略中的认证方式与用户管理中的上网方式认证,两者要互相匹配
Portal认证---则认证策略里面的动作需要选择protal;
免认证---------则认证策略里面需要选择免认证
单点登录-------则认证策略里面也选择免认证
如果认证策略里面选择匿名认证,则不触发这里的认证方式(仅限华为模拟器ensp)
两个认证域之间是“或”的关系
总结:
认证策略中的认证方式与用户管理中的上网方式认证是网络认证体系中两个紧密关联但侧重点不同的概念。
- 认证方式是 “技术手段”:决定用户如何被验证(如通过端口、Web 页面、MAC 地址),是认证的 “通道”。
- 用户管理的上网认证是 “数据支撑”:决定用户身份的合法性和权限,是认证的 “内容”。
- 关系:两者相辅相成,认证方式需要用户管理提供身份数据,用户管理需依赖认证方式实现身份验证,共同构成完整的网络认证体系。