防火墻的主要功能及發(fā)展

（3）防火墻區(qū)域：

根據(jù)安全等級來劃分

區(qū)域擁有不同的安全等級，內(nèi)網(wǎng)（trust）一般100（滿分），外網(wǎng)（untrust）一般是0-1，DMZ一般是50

（防火墻的視角為不同區(qū)的視角）（防火墻既可以做交換，又可以做路由）

2、防火墻的發(fā)展

（1）包過濾防火墻 --- 訪問控制列表技術(shù)（ACL） --- 三層技術(shù)

簡單，速度慢 --- 逐包檢測

檢查的顆粒度粗 -- 5元組（源地址，目的地址，協(xié)議，源端口，目的端口）

（2）代理防火墻 --- 中間人技術(shù) --- 應(yīng)用層

降低包過濾顆粒度的一種做法，區(qū)域之間通信使用固定設(shè)備，一般使用代理服務(wù)器

代理技術(shù)只能針對特定的應(yīng)用來實現(xiàn)，應(yīng)用間不能通用

技術(shù)復(fù)雜，速度慢

能防御應(yīng)用層威脅，內(nèi)容威脅

（3）狀態(tài)防火墻 --- 會話追蹤技術(shù)（session） --- 三、四層

在包過濾（ACL表）的基礎(chǔ)上增加一個會話表，數(shù)據(jù)包需要查看會話表來實現(xiàn)匹配。會話表可以用hash來處理形成定長值，使用CAM芯片處理，達(dá)到交換機的處理速度

首包機制

細(xì)顆粒度

速度快

<1> 會話追蹤技術(shù)：防火墻使用會話追蹤技術(shù)可以把屬于這個流的所有包識別出來。（流相當(dāng)于會話）

<2> 會話表：記錄5元組，還有用戶

<3> 首包匹配 --- 策略表；轉(zhuǎn)發(fā)匹配 --- 會話表

ACL技術(shù)關(guān)注流量的全方向，防火墻的安全策略只需要考慮首包。

查詢和創(chuàng)建會話：

防火墻不會為重傳的包生成一個會話表：

[1] 首包可匹配策略，然后策略可創(chuàng)建會話表。若首包成功創(chuàng)建會話，第二個包由目標(biāo)IP返回。第三個包在會話老化時間過后才進入防火墻，將會被丟棄。此時將發(fā)第四個重傳的包，無法通過。

[2] 只有第一個包（時間上的第一個；會話開始的第一個）才可建立會話，后面的包無法建立會話

例1：狀態(tài)防火墻工作流程

（防火墻默認(rèn)deny any。一般將防火墻基礎(chǔ)的路由交換功能做完后，需做放行處理）

文字描述：

[1] PC端在trust區(qū)發(fā)出數(shù)據(jù)包，首包來到防火墻。防火墻默認(rèn)拒絕所有，首先查看路由策略（ACL---逐條匹配），匹配關(guān)于2.2.2.2的路由，關(guān)于2.2.2.2的策略是permit。

[2] 只要路由策略放行，防火墻會為該流量創(chuàng)建一個會話表（session）。（會話：和目標(biāo)通信的一系列連續(xù)的包）

[3] 流量從防火墻出去到達(dá)baidu.com后，然后返回防火墻。到達(dá)防火墻，先查看會話表。若流量屬于這個會話表，將會轉(zhuǎn)發(fā)到目標(biāo)IP地址2.2.2.2。

（首包匹配策略，策略創(chuàng)建會話表，后續(xù)直接通過會話表來實現(xiàn)通行）

例2：問題解決

（4）UTM（統(tǒng)一威脅管理） --- 深度包檢查技術(shù) --- 應(yīng)用層（串接式檢查）

將原來分散的設(shè)備進行統(tǒng)一管理，有利于節(jié)約資金和成本

統(tǒng)一有利于各設(shè)備之間協(xié)作

設(shè)備負(fù)荷較大，檢查也是由逐個模塊完成的，速度慢

（5）NGFW（下一代防火墻） --- 現(xiàn)代防火墻

<1> 說明：Gartner（IT咨詢公司）將NFGW看做不同信任級別的網(wǎng)絡(luò)之間的一個線速（wire-speed）實時防護設(shè)備，能夠?qū)α髁繄?zhí)行深度檢測，并阻斷攻擊

<2> NFGW必須具備以下幾個能力：

傳統(tǒng)防火墻功能

IPS與防火墻得到深度集成

應(yīng)用感知和全?？梢暬?--- （識別并展示出流量所屬類別和路徑）

利用防火墻以外的信息，增強管控能力

3、防火墻區(qū)域

（1）區(qū)域的作用：

安全策略都基于區(qū)域?qū)嵤?/p>

同一區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動是不存在風(fēng)險的，不需要實施任何安全策略

不同區(qū)域之間發(fā)生數(shù)據(jù)流動，才會觸發(fā)設(shè)備的安全檢查，并實施相應(yīng)的安全策略

一個接口只能屬于一個區(qū)域，而一個區(qū)域可以有多個接口

（2）優(yōu)先級的作用

每個安全區(qū)域都有自己的優(yōu)先級，用1-100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。報文在兩個安全區(qū)域之間流動時，我們規(guī)定：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向（Inbound），報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發(fā)不同的安全檢查。

（3）區(qū)域劃分：

<1> DMZ區(qū)域：

兩個防火墻之間的空間被稱為DMZ。與Internet相比，DMZ可以提供更高的安全性，但是其安全性比內(nèi)部網(wǎng)絡(luò)低

服務(wù)器內(nèi)外網(wǎng)都可以訪問，但是依舊與內(nèi)網(wǎng)隔離

<2> Trust區(qū)域：

可信任的接口，是局域網(wǎng)的接口，此接口外網(wǎng)和DMZ無法訪問。外部和DMZ不能訪問trust口

<3> Untrust區(qū)域：

不信任的接口，此接口是用來接internet的，這個接口的信息內(nèi)網(wǎng)不接受?？梢酝ㄟ^untrust口訪問DMZ,但不能訪問trust口

（4）新建區(qū)域和接口劃入?yún)^(qū)域

<1> 新建區(qū)域

<2> 接口劃入?yún)^(qū)域：

（5）擴展：

域基本分為：local、trust、dmz、untrust這四個是系統(tǒng)自帶不能刪除，除了這四個域之外，還可以自定義域

域等級local>trust>dmz>untrust,自定義的域的優(yōu)先級是可以自己調(diào)節(jié)的

域與域之間如果不做策略默認(rèn)是deny的，即任何數(shù)據(jù)如果不做策略是通不過的，如果是在同一區(qū)域的就相當(dāng)于二層交換機一樣直接轉(zhuǎn)發(fā)

當(dāng)域與域之間有inbound和outbound區(qū)分，華為定義了優(yōu)先級地的域向優(yōu)先級高的域方向就是inbound，反之就是outbound

4、防火墻接口及模式設(shè)置

（1）圖形化配置

<1> 開啟網(wǎng)卡：

<2> 設(shè)置ensp云：

<3> 防火墻配置：

1> 將防火墻的GE 0/0/0接口與云服務(wù)連接（每個廠商的防火墻都有一個管理口，華為默認(rèn)管理口是G0/0/0）

2> 配置防火墻接口IP（與云同網(wǎng)段）以及放通所有協(xié)議

Username:admin---默認(rèn)用戶名是admin
Password:---默認(rèn)密碼是Admin@123
Thepasswordneedstobechanged.Changenow?[Y/N]:y---一般首次登入必須修改密碼
Pleaseenteroldpassword:
Pleaseenternewpassword:
Pleaseconfirmnewpassword:

[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress192.168.0.1255.255.255.0---默認(rèn)ip地址為192.168.0.1，修改ip地址和回環(huán)網(wǎng)卡同一網(wǎng)段
[USG6000V1-GigabitEthernet0/0/0]ipadd169.254.7.1---修改ip地址
[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress169.254.7.1255.255.255.0---修改成功
（圖形化登錄使用https協(xié)議登錄的，所以需將協(xié)議放通）
[USG6000V1-GigabitEthernet0/0/0]service-manageallpermit---此處放通所有協(xié)議

3> 測試：

<4> 登錄防火墻圖形化界面

通過ip地址登入：https://IP:8443

1> 繼續(xù)訪問

2> 登入

3> 登入成功

（2）接口模式配置

<1> 將接口加入?yún)^(qū)域：

法1：

法2（此處將接口劃入?yún)^(qū)域順便配置接口IP）：

<2> 配置接口IP：

（3）接口對

有些廠商將接口對稱為 --- 虛擬網(wǎng)線

5、防火墻策略

（1）定義與原理

定義：網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信

原理：防火墻的基本作用是保護特定網(wǎng)絡(luò)免受“不信任”的安全策略是控制設(shè)備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略，作用就是對通過防火墻的數(shù)據(jù)流進行檢驗，符合安全策略的合法數(shù)據(jù)流才能通過防火墻

（2）安全策略配置

（3）安全策略工作流程

審核編輯：彭菁