专题 二 ACL配置详解

  • 格式:pdf
  • 大小:375.42 KB
  • 文档页数:4

NGFW—ACL精确控制
一、netfilter架构
1.NGFW的底层架构是netfilter架构,而netfilter架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT 等,甚至可以是用户自定义的功能)。

IP层的五个HOOK点的位置如下图所示
[1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点;
[2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点;
[3]:NF_IP_FORWARD:要转发的包通过此检测点;
[4]:NF_IP_POST_ROUTING:所有马上要通过网络设备出去的包通过此检测点;
[5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点;
2.每个HOOK点(A、B、C、D、E)上罗列了可以调用的策略,并且已按优先级进行排列(越靠前的优先级越高);
需求:防火墙犹如放置在边界的一堵墙,作用是保护内网,隔离外网。

防火墙中内置了很多的关卡,比如:NAT、路由、ACL、流控等策略,数据包进入防火墙后就会经过这些关卡,只要任何一道关卡出现问题,数据包就无法再继续转发;为了发挥防火墙的最大功效,对每道关卡都要精确配置;
要实现安全策略(ACL)的细化控制,就必须要知道需要ACL控制的流量在经过ACL控制点的时候源地址,目的地址,甚至端口分别是什么,而影响数据流量的主要要素是NAT策略、VPN策略,下面分析VPN策略和NAT策略对数据的影响以及ACL的配置。

一、IPSEC数据NGFW处理(IPSEC处理)
1.分支VPN数据包处理:数据包进入—HOOKA—HOOKC(路由查找、ACL过滤)
---HOOKE(VPN封装)
注意点:(1)放通的流量也是私网到私网
(2)做分支IPSEC策略时,进行NAT排除,放通流量是
私网到私网
2.总部vpn数据包处理:数据包进入—HOOKA(判断)—HOOKB(解密)
---HOOKA---HOOKC(路由、ACL)---HOOKE
注意点: (1)放通的流量应该是私网到私网的流量
(2)做IPSEC策略时,进行NAT排除,放通流量是私网
到私网
二、SSL(客户端)数据NGFW处理(SSL处理)
总部SSL数据包处理:数据包进入—HOOKA(判断)—HOOKB(解密)---HOOKA---HOOKC(路由、ACL)---HOOKE(SNAT)
注意点:(1)在做总部ACL时放通的流量应该是下发地址到服务器资源
的流量
(2)下发地址如果是内网不存在的地址,就要进行地址伪装,
地址伪装实质就是进行了SNAT,将下发的地址转换成内网
接口的地址
三、非VPN数据,NGFW执行转发动作(内网数据访问互联网)
1.数据包由总部内网发出(SNAT):
数据包进入—HOOKA—HOOKC(路由查找、ACL过滤)---HOOKE(SNAT)
注意点:放通流量是私网到公网的流量,回来的流量不需要放通,
因为防火墙有记录会话的功能
2.数据包主动从外网发起(DNAT)
收到数据包时:
数据包回来流量/外网主动发起:—HOOKA(DNAT)—HOOKC(路由查找、ACL 过滤)---HOOKE
注意点:放通流量是放通外网对内网的流量,内网放回的流量不
需要放通,因为防火墙有记录会话的功能
四、内部用户用公网IP访问内部服务器(双向NAT)
数据包进入到设备:—HOOKA(DNAT)—HOOKC(路由查找、ACL过滤)---HOOKE (SNAT)
注意点:放通流量是放通私网对私网的流量
五、非VPN数据,就是交给NGFW设备
数据包进入—HOOKA—HOOKB
注意点:并没有经过NGFW的ACL过滤,所以无需放通流量
六、非VPN数据,从本设备发出
数据包发出—HOOKD—HOOKE
注意点:并没有经过NGFW的ACL过滤,所以无需放通流量。