华为_防火墙（一）

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接： https://blog.csdn.net/zhouchuan152/article/details/95188583

                                                               华为防火墙

华为防火墙产品介绍：

华为防火墙目前共有四款系列的防火墙：USG2000、USG5000、USG6000和USG9500分别适用于不同的网络环境中，其中USG2000和USG5000系列定位于UTM，统一威胁管理的网络需求，其中USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。

注意：USG2110系列针对小企业以及连锁机构，具有性能高，可靠性高，配置简单方便等特性。

USG6600系列针对中型企业及数据中心等网络环境，具有访问控制精准、防范范围全面、安全管理简单等优势

UGS9500则是适用于云服务提供商、大型数据中心等，拥有最精准的访问控制，最实用的NGFW特性，最领先的NP+多核+分布式；架构及最丰富的虚拟化，被称为最稳定可靠的安全网关产品。

传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管理和防护，分别是：应用、内容、时间、威胁、位置、用户

基于应用：运行多种手段准确识别Web应用内超过6000以上的应用层协议及其附属功能，从而进行精确的访问控制和业务加速。

基于用户：借助于AD活动目录，目录服务或AAA服务器等，基于用户进行访问控制，QoS管理和深度防护。

基于位置：结合全球位置信息，智能识别流量的发起位置，从而获取应用和攻击的发起位置。

防火墙的工作模式：

华为防火墙具有三种工作模式：路由模式、透明模式、混合模式。

路由模式：如果华为防火墙链接网络的接口配置IP地址，则认为防火墙工作在路由模式下。如果防火墙位于内部网络和外部网络之间时，这时候需要从新规划自己内部网络的拓扑。

透明模式：如果华为防火墙通过二层对外链接(接口无IP地址)，则防火墙工作在透明模式下。工作在透明模式的优点是：无须修改任何已有的IP配置，此时防火墙就像一个交换机一样工作。

混合模式：如果华为防火墙工作在路由模式的接口(接口具有IP地址)，又工作在透明模式的接口(接口无IP地址)，这时候防火墙则工作在混合模式下。目前这种模式只用于双机热备的特殊应用中，别的环境不建议使用。

防火墙的安全区域划分：

安全区域(Security Zone)：简称为区域Zone。防火墙通过区域分安全网络和不安全网络，在华为防火墙上安全网络区域是一个多接口的集合，是防火墙区分于路由器的主要特性。

华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和local。

不同区域拥有不同的受信任优先级，防火墙则根据这些区域的优先级来区分区域的保护

Trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高。

DMZ区域：非军事化区域，一般公司的web网站和ftp服务器都放在这个区域，其安全性介于Trust区域和Untrue区域之间，优先级为50，安全级别中等。

Untrust区域：通常定义外部网络，优先级5，安全等级很低。Untrust区域表示不受信任的区域。

Local区域：通常定义防火墙本身，优先级为100.防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理，运行动态路由协议等。

其他区域：用户可以自定义区域，默认最多定义16个区域，自定义区域没有默认优先级，所以需要手动指定。

注意：安全区域的优先级必须是唯一的，即每个安全区域都需要应对不同的优先级，因为防火墙根据优先级大小确定网络的受信任级别。而且一个接口只能加入一个安全区域。

防火墙Inbound和Outbound

防火墙基于区域之间处理流量，即使由防火墙本身发起的流量也属于local区域和其他区域之间的流量传递。当数据流在安全区域之间流动时，才会激发华为防火墙进行安全策略的检查，华为的防火墙的安全策略通常都是基于域间的，不同的区域之间可以设置不同的安全策略。域间的数据流分两个方向：

入方向(Inbound)：数据由低级别的安全区域向高级别的安全区域传输的方向。

出方向(Outbound)：数据由高级别的安全区域向低级别的安全区域传输的方向。

示意图：

安全策略：

防火墙的基本作用就是保护特定网络免受“不信任”的网络攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才可以通过防火墙。

防火墙的策略规则：

默认情况下，华为防火墙的策略有以下四点：

1. 任何两个安全区域的优先级不能相同。
2. 本域内不同接口的报文不过滤直接转发
3. 接口没有加入域之前不能做转发
4. 在USG6000系列的防火墙默认是没有安全策略的，也就是说，不管哪个区域都可以互相访问

设备管理方式：

AAA介绍：

AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称。是一个能够处理用户访问请求的服务程序，主要目的是管理用户访问网络服务器，为具有访问权的用户提供服务。

验证：那些用户可以访问网络服务器。

授权：具有访问权限的用户可以得到那些服务，有什么权限。

记账：如何对正在使用的网络资源的用户进行审计。

AAA服务通常同网络访问控制，网关服务器，数据库及用户信息目录等协同工作。

若要访问网络资源，首先要进行用户的入网认证，这样才能获取网络资源。

华为防火墙常见的管理方式有：

通过Console方式管理，属于带外管理，不占用用户带宽，适用于新设备。

通过Telnet方式管理，属于带内管理，配置简单，安全性低。

通过Web方式管理，属于带内管理，可以基于图形化管理，更适用于新手配置设备

通过SSH方式管理，属于带内管理，配置复杂，安全性高，资源占用少。

案列演示：

防火墙的配置命令：

配置各区域相应的IP地址：

配置Telnet功能：

配置防火墙区域：

配置trust区域到local区域的安全策略：

配置认证模式及本地用户信息：

测试登录防火墙：(第一次登录都需要重置密码)

配置安全策略：

达到pc1能够ping通外部主机：

Ping测试：

让外部主机可以访问dmz区域中的ftp、http、ping

测试：从pc2 ping dmz区域的主机192.168.3.2