华为防火墙介绍

防火墙

定义：

在通信领域，防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵，通常被应用于网络边界。

对比：

交换机：用于组建局域网；

路由器：用于连接不同的网络；

防火墙：用于隔离不安全的网络；

交换机个路由器本质都是把数据包转发出去，而防火墙本质是控制流量的通过。

分类;

保护的范围：

主机防火墙：只能保护单个主机；

网络防火墙：保护一片区域的主机；

工作原理：

包过滤防火墙：基于数据包的五元组信息对流量进行控制，类似于ACL。

五元组：源IP地址，目的IP地址、源端口、目的端口、协议类型。

基于ACL实现过滤，所以当策略配置过多时，就会对防火墙造成很大的压力。

不能过滤应用层的数据。

代理防火墙：防火墙在网络中起到第三 方代理的作用，比如，主机和服务器要通信的话，就都需要先把报文提交给防火墙，之后由防火墙进行检查，检查通过后，再把报文转发出去。

状态检测防火墙：通过检测流量的状态来确定连接是否正常。

四大默认的安全区域：（防火墙把网络划分成了四个区域）：

根据这四个区域的划分来判断该网络是否安全。

本地区域：Local，100，防火墙自己的所有接口（物理接口和虚拟接口）就都在该区域中。

信任区域：Trust，85，一般把企业网络划分为该区域。（内网）

非信任区域：UnTrust,5，一般把外网划分为该区域。

非军事化区域：dmz,50，一般把服务器部署在该区域。因为服务器既为内网用户提供服务，也为外网用户提供服务，也就是内外网的PC都可以访问这个服务器，那么服务器就不可以部署在内网中，但是又需要为服务器提供一定的安全功能，所以就部署在非军事化区域。

注意;

防火墙是通过优先级来区分网络的信任等级，优先级越高，就表示网络越受信任。

优先级的取值范围是1-100，值越大越优先。

默认的安全区域不能删除，也不允许修改安全优先级。

由管理员手动创建的安全区域，必须要指定一个优先级，并且这个优先级不可以重复。也就是不同的安全区域优先级必须不同。

默认情况下，同一个安全区域的主机可以互相访问，而不同安全区域的主机互相隔离，如果不同区域的主机需要互相访问，就必须要配置安全策略，通过后才可以互相访问。

一个设备的接口只能属于一个区域，多个接口可以加入到同一个区域。

会话表：

记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。

防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来判断该报文所属的连接并采取相应的处理措施。

TCP的SYN和ICMP的Request都是首包，防火墙就可以检测出来，但是UDP无法确定首包。

安全策略：

安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。

当防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，然后与安全策略的条件进行匹配。如果条件匹配，则此流量被执行对应的动作。

匹配顺序：由上至下进行匹配，先配置的安全测是优先匹配。

报文的转发流程：

1.接收到数据包后，查看接口有没有划分安全区域——没有划分划分安全区域就直接丢弃该报文；
2.接着查看有没有匹配只能路由表——没有就丢弃
3.接着查看有没有匹配中会话表——没有匹配中：
a)根据首包流程进行处理；
b)查看是否匹配安全策略；
4.接着查看是否匹配中安全策略

因为防火墙不识别应用层的数据，所以为了解决多通道协议的问题，就有了ASPF。

ASPF也称作基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则，即生成Server-map表。

Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单，是简化的会话表，在真实流量到达前生成。在流量真实到达防火墙时，防火墙会基于Server-map表生成会话表，然后执行转发。

Server-map表记录的不是当前的连接信息，记录的是预测信息。

当报文命中Server-map表后，是不受安全策略的控制的。

生成的条件：

在防火墙配置NAT Server、ASPF与NO-PAT等方式时，就会生成对应的Server-map表。

防火墙第一次配置启动方法：

下载Q群里的防火墙文件，解压得到一个配置包；

在模拟器中拉一个USG6000V的防火墙出来，启动，就会出现以下的界面：

通过浏览找到解压得到的配置包，然后确认导入；

至此，这个防火墙就可以启动了。

启动失败：

• 无限的“#”号问题：检查电脑是否开启了CPU虚拟化。CPU虚拟化一般是需要进入BIOS界面开启的，而进入到BIOS界面不同的品牌电脑是有不同的方法，这时候就百度自己的电脑怎么开启虚拟化。

• 错误代码45的问题：关闭Hyper-V

防火墙的图形化配置过程：

右键开始菜单，选择设备管理器，之后单击设备管理器中任意一项内容（就点击一下就可以了）；

再在上方的菜单栏选择操作，再选择添加过时硬件。

下一页：

选择安装手动从列表选择的硬件；

一直点击下一页：

选择网络适配器，再点击下一页：

等待一小会，等到页面出现以下内容：

左边选择Microsoft

右边选择环回适配器；

之后一直下一页，那么电脑就会开始安装一个虚拟接口。

等到安装完毕后，重启一下电脑。

重启完成后，就打开控制面板，选择网络和共享中心，再选择更改适配器选项。

就可以看到添加的连接了：

之后右键该连接，选择属性，修改IPV4地址为192.168.0.0/24网段中任意一个IP地址，注意，不可以是192.168.0.1/24这个IP。因为192.168.0.1/24是防火墙管理接口的IP地址。

修改完成后，回到模拟器，拉一朵云到界面中：

双击这朵云，打开以下界面：

打开后，直接点击增加：

在绑定信息中选择之前配置的那个连接（这个连接是192.168.0.0/24网段的连接），再点击增加：

之后在下面出端口编号选择2，勾选双向通道，再点击增加：

至此，这朵云配置完成。

之后，完成以下线路连接：

之后打开防火墙的CLI界面；

输入账号和密码：

账号：admin

密码Admin@123

一般来说，登录防火墙需要修改密码，就修改一下。

修改完成后，进入到管理接口G0/0/0，开启HTTP登录。

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]service-manage https permit

开启完成后，打开浏览器：

输入网址：https://192.168.0.1:8443