防火墙安全策略配置及精准排障指导

欢迎大家来到IT世界,在知识的湖畔探索吧!

一、防火墙的基本概念

防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种隔离是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。

防火墙控制网络流量的实现主要依托于安全域和安全策略，下文详细介绍。

二、接口与安全域

如图2-1所示，管理员将安全需求相同的接口进行分类，并划分到不同的安全域（Security Zone），能够实现域间策略的统一管理。安全域，是一个逻辑概念。

欢迎大家来到IT世界,在知识的湖畔探索吧!

图2-1安全域的划分图

设备上缺省存在Local、Management、Trust、DMZ和Untrust安全域。缺省安全域不能被删除。各缺省安全域的作用及应用场景说明如下：

Local

指设备本身，且不能向Local安全域添加接口成员。非Management安全域与设备本身之间相互通信时，需要配置放行相应安全域与Local安全域之间报文的安全策略。

Management

指用于管理设备的区域，该安全域与设备本身通信的报文默认放行，即Management与Local之间的报文默认放行，无需配置安全策略。缺省情况下，设备管理口属于Management安全域，用于通过PC登录设备进行配置。

Trust

指可信任的网络区域。通常会将设备连接内网的接口添加至Trust安全域，并通过配置安全策略，对其他安全域发往Trust的报文进行威胁检测，保护内网主机，对Trust发往其他安全域的报文进行严格管理和控制，避免机密数据外泄。

DMZ

Demilitarized Zone，隔离区。通常会将设备连接各类公共服务或资源（如Web server、FTP server等）的接口添加至DMZ安全域，并通过配置安全策略，对其他安全域发往DMZ的报文进行审计，避免服务器被攻击或机密数据被非法窃取。

Untrust

指不信任的网络区域。通常会将设备连接Internet的接口添加至Untrust安全域，并通过配置安全策略，对Untrust发往其他安全域的报文进行严格检测，阻断外来攻击和病毒等威胁。

三、安全策略

如图3-1所示，安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文，并根据预先设定的策略动作对此报文进行处理；若报文未匹配上任何策略，则丢弃该报文。当安全策略中未配置过滤条件时，则该策略将匹配所有报文。

图3-1 安全策略的报文处理流程图

四、安全策略配置

防火墙默认安全策略是全拒绝的，需要配置安全策略去放通域间的互访流量。配置方法参考如下：

需求说明

1）在防火墙通过安全策略实现不允许财务A员工（192.168.100.100）访问公网

2）在防火墙通过安全策略实现允许财务部门（192.168.100.0/24）访问公网

图4-1

配置举例

[H3C] security-policy ip //创建ipv4安全策略

[H3C-security-policy-ip] rule 0 name employee //创建规则0命名employee

[
H3C-security-policy-ip-0-employee] action drop //设置动作为拒绝（缺省为拒绝）

[
H3C-security-policy-ip-0-employee] source-zone Trust //添加源安全域Trust

[
H3C-security-policy-ip-0-employee] destination-zone Untrust //添加目的安全域Untrust

[H3C-security-policy-ip-0-employee] source-ip-host 192.168.100.100

//添加源ip192.168.100.100

[H3C] security-policy ip //创建ipv4安全策略

[H3C-security-policy-ip] rule 1 name Finance //创建规则1命名Finance

[
H3C-security-policy-ip-1-Finance] action pass //设置动作为允许

[
H3C-security-policy-ip-1-Finance] source-zone Trust //添加源安全域Trust

[
H3C-security-policy-ip-1-Finance] destination-zone Untrust //添加目的安全域Untrust

[H3C-security-policy-ip-1-Finance] source-ip-subnet 192.168.100.0 255.255.255.0

//添加源ip段为192.168.100.0/24

五、安全策略不通排查案例

以如下组网图为例，路由器作为出口，防火墙作为网关设备，目前PC访问路由器不通，在路由器与防火墙的路由表正确的情况下，我们应该怎么去做排查防火墙的安全策略配置是否正确呢？

图5-1 组网图

5.1

新建ACL，匹配不通数据流

当192.168.1.2的PC ping 不通192.168.2.2的路由器时，定义一个acl，以便于更直观的观察到异常数据流。

[H3C] acl advanced 3333

[H3C-acl-ipv4-adv-3333] rule 0 permit ip source 192.168.1.2 0 destination 192.168.2.2 0

5.2

使用debug命令收集信息并进一步分析

执行debug命令，然后使用PC ping路由器测试，收集报文在防火墙上的收发、以及安全策略匹配信息进一步分析。

<H3C>debugging security-policy packet ip acl 3333

<H3C>debugging aspf packet acl 3333

<H3C>terminal monitor

<H3C>terminal debugging

图5-2 debug信息

*Aug 5 15:28:46:189 2024 H3C ASPF/7/PACKET: -Context=1; The packet was dropped by ASPF for nonexistent zone pair. Src-Zone=-, Dst-Zone=-;If-In=GigabitEthernet1/0/2(3),If-Out=GigabitEthernet1/0/3(4);Packet Info:Src-IP=192.168.1.2, Dst-IP=192.168.2.2,VPN-Instance=none,Src-Port=169, Dst-Port=2048. Protocol=ICMP(1).

可以由debug信息看出来流量的源、目安全域均为空，说明源、目接口都没有加入安全域。通过debug 信息If-In=GigabitEthernet1/0/2(3), If-Out=GigabitEthernet1/0/3(4)可以确认流量的进、出接口。in代表的是流量入接口g1/0/2，out代表的是流量出接口g1/0/3。那么我们将这两个接口加入对应安全域再来看看：

[H3C] security-zone name Trust

[H3C-security-zone-Trust] import interface GigabitEthernet 1/0/2

[H3C] security-zone name Untrust

[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/3

此时我们在pc上ping 发现依旧不通

图5-3 PC ping路由器

我们接着查看防火墙的debug信息，发现报文被拒绝，具体信息如下：

图5-4 debug信息

*Aug 5 15:39:22:982 2024 H3C ASPF/7/PACKET:-Context=1;The first packet was dropped by packet filter or object-policy.Src-Zone=Trust,Dst-Zone=Untrust;If-In=GigabitEthernet1/0/2(3),If-Out=GigabitEthernet1/0/3(4);Packet Info:Src-IP=192.168.1.2,Dst-IP=192.168.2.2,VPN-Instance=none,Src-Port=170,Dst-Port=2048.Protocol=ICMP(1).

*Aug 5 15:39:25:357 2024 H3C FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=Trust, Dst-Zone=Untrust;If-In=GigabitEthernet1/0/2(3), If-Out=GigabitEthernet1/0/3(4); Packet Info:Src-IP=192.168.1.2, Dst-IP=192.168.2.2,VPN-Instance=,Src-Port=8,Dst-Port=0,Protocol=ICMP(1),Application=ICMP(22742),Terminal=invalid(0), ACL=none, Rule-ID=none.

从以上信息我们看到没有任何的安全策略规则能放行源地址是192.168.1.2、目的地址是192.168.2.2，源安全域是Trust，目的安全域是Untrust的流量。手动增加如下的rule 1配置后，PC 可以正常ping通路由器。

[H3C] security-policy ip

[H3C-security-policy-ip] rule 1 name trust-untrust

[H3C-security-policy-ip-1-trust-untrust] action pass

[H3C-security-policy-ip-1-trust-untrust] source-zone trust

[H3C-security-policy-ip-1-trust-untrust] destination-zone untrust

图5-5 PC ping路由器

Debug信息可以看到报文被rule 1 放行。

图5-6 debug信息

*Aug 5 16:05:12:672 2024 H3C FILTER/7/PACKET:-Context=1;The packet is permitted.Src-Zone=Trust,Dst-Zone=Untrust;If-In=GigabitEthernet1/0/2(3), If-Out=GigabitEthernet1/0/3(4);Packet Info:Src-IP=192.168.1.2,Dst-IP=192.168.2.2,VPN-Instance=,Src-MacAddr=1e98-089c-0106,Src-Port=8, Dst-Port=0,Protocol=ICMP(1),Application=ICMP(22742),Terminal=invalid(0),SecurityPolicy=1,Rule-ID=1.

注意：结束操作后务必关闭debug，以免占用不必要的cpu资源。操作命令如下：

<H3C>undo debugging all //也可按快捷键ctrl+O

<H3C>undo terminal monitor

<H3C>undo terminal debugging

5.3

无debug日志信息可能的原因

1、防火墙的info-center信息中心功能被关闭（默认开启），需要在系统视图执行info-center enable开启功能；

2、ACL定义的规则与实际测试流量的源、目IP地址不一致，通过修改ACL规则匹配实际测试流量；

3、测试流量未经过防火墙转发。