工业互联网网络互联技术课件 任务八 配置工业防火墙安全策略- 理论

任务1.8配置工业防火墙安全策略学习目标

理解防火墙的工作模式和部署位置。配置工业防火墙安全策略防火墙安全区域产生背景防火墙不仅只是一个“入口的屏障”，而应该是多个网络的接入控制点。所有进出内网的数据流都应该首先经过防火墙，形成一个信息进出的关口。如图所示，防火墙作为企业网络的重要组成部分，连接着企业网络管理层网络、市场部网络与服务器网络。防火墙一般部署在企业网络出口，与Internet连接。服务器区市场部管理层防火墙配置工业防火墙安全策略防火墙安全区域基本概念安全区域（SecurityZone）：它是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。TrustTrust服务器区市场部管理层防火墙Trust生产部UntrustDMZ研发部Trust配置工业防火墙安全策略包过滤防火墙

包过滤技术是利用定义的特定规则过滤数据包。规则的定义就是按照IP数据包的特点定义的，可以充分利用数据包中的五元组（源目的IP地址、源目的端口、协议号）来定义数据包通过防火墙的条件。包过滤防火墙的特点是简单，但是缺乏灵活性，另外包过滤防火墙针对每个数据包需要都进行策略检查，策略过多会导致性能急剧下降。Internet公司总部内部网络未授权用户办事处ACL规则从/24来的数据包能通过从/24来的数据包不能通过配置工业防火墙安全策略代理防火墙

代理型防火墙是把防火墙做为一个业务访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。如我们常用的Http代理。服务器客户机转发请求请求响应转发响应安全策略、审计监控、报警WWW、FTP、Email……代理发送请求配置工业防火墙安全策略域间通信-安全策略防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受“不信任”网络的攻击，但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行匹配。安全策略禁止通过的流量安全策略允许通过的流量防火墙IntranetTrustUntrust配置工业防火墙安全策略安全域间、安全策略与报文流动方向安全域间是用来描述流量的传输通道，它是两个“区域”之间的唯一“道路”。如果希望对经过这条通道的流量进行检测，就必须在通道上设立“关卡”，如防火墙安全策略。任意两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图；安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）。防火墙Trust85DMZ50Untrust5Local100OutboundInbound配置工业防火墙安全策略安全策略的匹配过程防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。安全策略匹配过程如下：匹配顺序策略编号匹配条件动作Policy1:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Policy2:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）……PolicyN:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Default:匹配条件均为any动作（禁止）配置工业防火墙安全策略状态检测机制状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。HostServer源IP：目的IP：TCPSYN源IP：目的IP：TCPACK防火墙源IP：目的IP：TCPSYN+ACK配置工业防火墙安全策略会话机制防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。会话ID源地址源端口目的地址目的端口动作1*80允许通过请求报文通过回应报文通过用户

Web服务器

防火墙允许通过建立会话匹配会话允许通过用户访问Web服务器Web服务器回应用户配置工业防火墙安全策略会话表项中的五元组信息会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。通过会话中的五元组信息可以唯一确定通信双方的一条连接；防火墙将要删除会话的时间称为会话的老化时间；一条会话表示通信双方的一个连接，多条会话的集合叫做会话表。httpVPN：public-->public:2049-->:80协议目的地址目的端口源地址源端口五元组小结

在防火墙安全策略的配置方面，我们了解到应该根据实际需求来设计合理的防火墙规则，并着重进行互联网通道限制，只允许特定的入站流量通过。此外，我们还学习了防火墙安全策略的审查和验