防火墙

1、基础

（1）防御对象：授权用户；非授权用户

（2）含义：

防火墙是一种隔离（非授权用户所在区域间）并过滤（对受保护网络中的有害流量或数据包）的设备 --- 在网络拓扑中，一般在核心层的边界

（3）防火墙区域：

根据安全等级来划分
区域拥有不同的安全等级，内网（trust）一般100（满分），外网（untrust）一般是0-1，DMZ一般是50

（防火墙的视角为不同区的视角）（防火墙既可以做交换，又可以做路由）

2、防火墙的发展

（1）包过滤防火墙 --- 访问控制列表技术（ACL） --- 三层技术

简单，速度慢 --- 逐包检测
检查的颗粒度粗 -- 5元组（源地址，目的地址，协议，源端口，目的端口）

（2）代理防火墙 --- 中间人技术 --- 应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备，一般使用代理服务器

代理技术只能针对特定的应用来实现，应用间不能通用
技术复杂，速度慢
能防御应用层威胁，内容威胁

（3）状态防火墙 --- 会话追踪技术（session） --- 三、四层

在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度

首包机制
细颗粒度
速度快

<1> 会话追踪技术：防火墙使用会话追踪技术可以把属于这个流的所有包识别出来。（流相当于会话）

<2> 会话表：记录5元组，还有用户

<3> 首包匹配 --- 策略表；转发匹配 --- 会话表

ACL技术关注流量的全方向，防火墙的安全策略只需要考虑首包。

查询和创建会话：

防火墙不会为重传的包生成一个会话表：

[1] 首包可匹配策略，然后策略可创建会话表。若首包成功创建会话，第二个包由目标IP返回。第三个包在会话老化时间过后才进入防火墙，将会被丢弃。此时将发第四个重传的包，无法通过。

[2] 只有第一个包（时间上的第一个；会话开始的第一个）才可建立会话，后面的包无法建立会话

例1：状态防火墙工作流程

（防火墙默认deny any。一般将防火墙基础的路由交换功能做完后，需做放行处理）

文字描述：

[1] PC端在trust区发出数据包，首包来到防火墙。防火墙默认拒绝所有，首先查看路由策略（ACL---逐条匹配），匹配关于2.2.2.2的路由，关于2.2.2.2的策略是permit。

[2] 只要路由策略放行，防火墙会为该流量创建一个会话表（session）。（会话：和目标通信的一系列连续的包）

[3] 流量从防火墙出去到达baidu.com后，然后返回防火墙。到达防火墙，先查看会话表。若流量属于这个会话表，将会转发到目标IP地址2.2.2.2。

（首包匹配策略，策略创建会话表，后续直接通过会话表来实现通行）

例2：问题解决

（4）UTM（统一威胁管理） --- 深度包检查技术 --- 应用层（串接式检查）

将原来分散的设备进行统一管理，有利于节约资金和成本
统一有利于各设备之间协作
设备负荷较大，检查也是由逐个模块完成的，速度慢

（5）NGFW（下一代防火墙） --- 现代防火墙

<1> 说明：Gartner（IT咨询公司）将NFGW看做不同信任级别的网络之间的一个线速（wire-speed）实时防护设备，能够对流量执行深度检测，并阻断攻击

<2> NFGW必须具备以下几个能力：

传统防火墙功能
IPS与防火墙得到深度集成
应用感知和全栈可视化 --- （识别并展示出流量所属类别和路径）
利用防火墙以外的信息，增强管控能力

3、防火墙区域

（1）区域的作用：

安全策略都基于区域实施
同一区域内部发生的数据流动是不存在风险的，不需要实施任何安全策略
不同区域之间发生数据流动，才会触发设备的安全检查，并实施相应的安全策略
一个接口只能属于一个区域，而一个区域可以有多个接口

（2）优先级的作用

每个安全区域都有自己的优先级，用1-100的数字表示，数字越大，则代表该区域内的网络越可信。报文在两个安全区域之间流动时，我们规定：报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound），报文从由高级别的安全区域向低级别的安全区域流动时为出方向（Outbound）。报文在两个方向上流动时，将会触发不同的安全检查。

（3）区域划分：

<1> DMZ区域：

两个防火墙之间的空间被称为DMZ。与Internet相比，DMZ可以提供更高的安全性，但是其安全性比内部网络低
服务器内外网都可以访问，但是依旧与内网隔离

<2> Trust区域：

可信任的接口，是局域网的接口，此接口外网和DMZ无法访问。外部和DMZ不能访问trust口

<3> Untrust区域：

不信任的接口，此接口是用来接internet的，这个接口的信息内网不接受。可以通过untrust口访问DMZ,但不能访问trust口

（4）新建区域和接口划入区域

<1> 新建区域

<2> 接口划入区域：

（5）扩展：

域基本分为：local、trust、dmz、untrust这四个是系统自带不能删除，除了这四个域之外，还可以自定义域
域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的
域与域之间如果不做策略默认是deny的，即任何数据如果不做策略是通不过的，如果是在同一区域的就相当于二层交换机一样直接转发
当域与域之间有inbound和outbound区分，华为定义了优先级地的域向优先级高的域方向就是inbound，反之就是outbound

4、防火墙接口及模式设置

（1）图形化配置

<1> 开启网卡：

<2> 设置ensp云：

<3> 防火墙配置：

1> 将防火墙的GE 0/0/0接口与云服务连接（每个厂商的防火墙都有一个管理口，华为默认管理口是G0/0/0）

2> 配置防火墙接口IP（与云同网段）以及放通所有协议

Username:admin --- 默认用户名是admin
Password: --- 默认密码是Admin@123
The password needs to be changed. Change now? [Y/N]: y --- 一般首次登入必须修改密码
Please enter old password: 
Please enter new password: 
Please confirm new password:

[USG6000V1-GigabitEthernet0/0/0]dis th 
#
interface GigabitEthernet0/0/0
 ip address 192.168.0.1  255.255.255.0 --- 默认ip地址为192.168.0.1，修改ip地址和回环网卡同一网段
[USG6000V1-GigabitEthernet0/0/0]ip add 169.254.7.1 --- 修改ip地址
[USG6000V1-GigabitEthernet0/0/0]dis th
#
interface GigabitEthernet0/0/0
 ip address 169.254.7.1 255.255.255.0 --- 修改成功
（图形化登录使用https协议登录的，所以需将协议放通）
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 此处放通所有协议

3> 测试：