防御保护笔记

防火墙的主要职责在于：控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之

后做出对应的动作。

防火墙分类：

 包过滤防火墙：

1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险

2，逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

 应用代理防火墙：

1，因为需要防火墙进行先一步安全识别，所以，转发效率会降低（原来的三层握手就会变成

6次握手）

2，可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有

开发，则无法进行代理。

 状态检测防火墙：

 IDS:

IPS: 

 web应用防火墙：

 UTM:

 

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一 台设备中，所以，维护成本得到降低。

下一代防火墙：

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有

功能模块都可以做出对应的处理。大大提高了工作效率。

 

防火墙的控制

带内管理 --- 通过网络环境对设备进行控制 --- telnet，ssh，web --- 登录设备和被登
录设备之间网络需要联通

防火墙的管理员

认证： 

本地认证 --- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行
判断，如果通过验证，则成功登录。

服务器认证 --- 和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。

服务器/本地认证 --- 优先使用服务器认证，如果服务器认证失败，则也不进行本地认
证。只有在服务器对接不上的时候，采用本地认证

安全区域

Trust --- 一般企业内网会被规划在trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区
域。
Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的，
凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，
并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域
就代表是严格管理和松散管理区域之间的部分管理区域。

安全策略

传统的包过滤防火墙 --- 其本质为ACL列表，根据 数据报中的特征 进行过滤，之后对比规制，
执行动作。
五元组 --- 源IP，目标IP，源端口，目标端口，协议
安全策略 --- 相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面
是可以完成 内容安全 的检测。
1，访问控制（允许和拒绝）
2，内容检测 --- 如果允许通过，则可以进行内容检测
防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流
的“特征”记录下来（记录在本地的 “会话表” ），之后，该数据流后续的报文都将基于这个
特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

防火墙的用户认证

防火墙管理员登录认证 --- 检验身份的合法性，划分身份权限
用户认证 --- 上网行为管理的一部分，用户，行为，流量 --- 上网行为管理三要素

用户认证的分类：

上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。针对这些行
为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。

入网用户认证 --- 二层认证 --- 我们的设备在接入网络中，比如插入交换机或者接入wifi
后，需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的

认证方式：

本地认证 --- 用户信息在防火墙上，整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将认证结果返回，防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似。

防火墙的NAT

静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源
NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为
了保证公网用户可以访问内部的服务器。
双向NAT --- 同时转换源IP和目标IP地址

配置黑洞路由 --- 黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指
向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址
不再同一个网段中的场景。）

NAT类型

五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出
的数据流进行端口转换
三元组NAT --- 针源IP，源端口，协议 三个参数识别出的数据流进行端口转换

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记
录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况
下，是可以访问到内网的设备。
基于端口的NAT转换，是不会生成server-map表的。
 

多出口NAT
源NAT
第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT
第二种：出去还是一个区域，选择出接口来进行转换
目标NAT
第一种：也可以分两个不同的区域做服务器映射
第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址
池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。

防火墙的智能选路

就近选路 --- 我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高

通信效率，避免绕路。

策略路由 -- PBR

       传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对

一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。

策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行转发

智能选路 --- 全局路由策略

 

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中按照比例转发。

基于链路质量进行负载分担

丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回应报文个数除以探测报文个数。丢包率是最重要的评判依据。

时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均时延作为结果进行评判

延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时抖动的平均值

基于链路权重进行负载分担

 

基于链路优先级的主备备份

 

优先级也是由网络管理员针对每一条链路手工分配的。

执行逻辑：

1，接口没有配置过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故

障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

2，接口配置了过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超

过保护阈值，则优先级次高的链路开始工作。

 防火墙的可靠性

防火墙和路由器在进行可靠性备份时，路由器备份可能仅需要同步路由表中的信息就可以了，但是，防火墙是基于状态检测的，所以，还需要同步记录状态的会话表等。所以，防火墙需要

使用到 双机热备技术 。

双机 --- 目前防火墙的双机热备技术仅支持两台设备

热备 --- 两台设备同时运行，在一台设备出现故障的情况下，另一台设备可以 立即替代 原设备。