防火墙--防火墙的组网及一些配置

环境

实验环境：华为模拟器ensp

防火墙型号：USG6000V

防火墙的组网

（防火墙可以配置三层口也可以配置二层口，可以理解为一个三层交换机，且防火墙一般在边界，所以防火墙可以配置nat。但是三层交换机是不可以配置nat的）

组网配置在防火墙的网络面板

下面的面板展示的就是网络面板的内容，下面展示的接口就是防火墙的所有物理接口

接口分类

现在先脱离防火墙，补充一些知识，简单介绍一些接口分类

物理接口

三层口：可以配置IP地址的接口

二层口：普通二层口

              接口对 又称为 透明网线，可以将一个或者一对接口配置成接口对，数据从一个接口进，将不需要查看MAC地址表，直接从另一个接口出数据从一个接口进，将不需要查看MAC地址表。

做一个的接口对不是没有意义，做一个接口对的话流量从一个口进来，然后再从这个口出去，是不是在防火墙里面走了一圈

              旁落检测接口：接收镜像流量

如何增加物理接口

加板卡

下面是防火墙接口卡

4个千兆Bypass其实是两对Bypass接口 --- 如果设备出现故障，则两个bypass将直接短接，

形成通路，不影响网络数据的传输。

虚拟接口

环回接口

子接口

vlanif

tunnel

接口面板选项意义

现在回到防火墙web面板

三层接口面的各个选项的意思

接口名称：每个接口的名称，现在点开的就是防火墙的g0/0/0接口，所以接口名称处显示的就是接口名称

别名：相当于对接口的一个描述

虚拟系统：相当于虚拟路由转发技术，把一台防火墙逻辑的分成多个防火墙

看下图web接口和其他物理接口不在同意各个虚拟系统中。目的为了安全，在不同的虚拟系统中相当于在不同的局域网，他们是可以使用同一个IP的

上面的virtual-if接口，就是你每创建一个虚拟系统就会出现一个这个接口，这个接口就是用于不同虚拟系统互通

安全区域：

模式：选择不同的模式

再下面的选项就是IP地址和路由了

简单说一下

PPoE接口：和运营商连的时候可以用这个，拨号计费上网

（小知识，其实网关就相当于一个指向网关的缺省）

 二层接口面的各个选项的意思

 接口对配置

接口对是默认trunk，允许放通多个vlan

接口对状态同步就是可以将配置同步到其他接口

安全区域

Trust --- 信任区,内网

Untrust --- 非信任区

Local --- 防火墙上所有的接口都属于这个区域

DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器，介于严格和松散之间

安全策略就是通过管理区域来整的

将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本

身，永远属于Local。

优先级 （可以用来体现方向性）--- 1 - 100

从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

每个区域都可以加入不同的接口

划分区域

将那个被圈起来的接口划分到某个区域，然后下面的就属于你刚刚划分的了

防火墙组网方式

 路由模式

防火墙所有接口都是三层接口

在这个模式防火墙需要的配置

1，接口IP地址，区域划分

2，写内网的回报路由

3，安全策略

4，内到外的NAT

5，服务器映射

透明模式

1，接口配置VLAN，以及划分区域

2，安全策略

3，现在防火墙是二层接口没有办法通过IP地址找到。增加设备的管理接口，用于控制管理设备以及设备的自我升级

旁路检测模式

旁路部署可以做一些管理

混合模式

防火墙安全策略

新旧时代网络对比

 新旧时代过滤技术对比

 内容安全识别，深入到应用里

例子

限制了用户和某些应用的工作

安全策略流程

 安全策略进来了以后首先抓取根据条件匹配，然后看动作是什么是允许还是拒绝，在之后进行一个内容安全的审查，如下图

 防火墙中策略配置

在如下图所示中配置

新建安全策略

从VLAN id到时间段结束都是用来做条件匹配的

 在策略中用到的一些参数都在对象中

防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位，仅针对首包进行检测，检测之后，将数据包的特征记录在本

地的会话表中，之后，数据流中的其他数据包来到防火墙，不再匹配安全策略，则匹配会话

表，根据会话表来进行转发。

来个例子对比以下包过滤和状态检测

包过滤，想要相互访问需要如下图下两条规则

状态检测只需要整一条，且当数据包回来后会被检测是否符合协议定义的后续报文的要求

在防火墙中会话表的查看

会话表技术的一些特点

提高转发效率的关键

老化机制

1，会话表老化时间过长 --- 占用资源，导致一些会话无法正常建立

2，老化时间过短 --- 会导致一些需要长时间发送一次的报文强行终端，影响正常业务

状态检测技术是可以关闭的

在下图中

命令行的执行

[USG6000V1]firewall session link-state tcp check

下面会说一下Server Map表和ASPF这个协议的知识

ASPF协议--针对应用层的包过滤技术

需要前置的一些知识--ftp

ftp协议-文件传输协议，tcp工作，端口一个20一个21，不加密，需要认证。有一套完整命令集，可以对文件进行查询等一些操作

tftp协议-简单文件传输协议，基于udp工作，不需要认证，效率更快

下面来一张图是一个简单的ftp工作过程

 FTP还分为了两种工作模式：主动模式，被动模式

主动模式

被动模式

说了这么多，但是ftp可能出现一些问题

ASPF协议的由来和ASPF协议于ftp协议的关系

向FTP这样的多进程的协议我们叫多通道协议，这种多通道协议在状态检测下会有问题，在第一次通过21号端口时好放通，建立会话表放通就可以了，但是后面的传输过程，开放的端口是随机的，会话表既不能用别的也不能重新创建因为开放端口时随机的。这样防火墙没有办法检测。但是这个随机的端口号时协商出来的，所以防火墙是有机会获得这个端口号的，但是如果想要得到这个端口号就要深入到ftp协议内部。

想要深入ftp内部获取这个随机的端口号。就需要ASPF协议了

server map表和ASPF的关系

ASPF取得了抓取信息后，需要记录在server map表中，在根据这个表中的记录，创建会话表。多通道协议都可以使用这个技术

web接口中在如下图所示位置中可以配置

用户认证

防火墙管理员认证目的校验登录者身份合法性

用户认证是上网行为管理中的一环

上网用户认证 --- 三层认证 --- 将用户和行为进行绑定

入网用户认证 --- 二层认证 --- 接入网络的用户需要认证

接入用户认证 --- VPN --- 对身份合法性进行认证，认证VPN通道的安全

认证方式

本地认证

服务器认证

单点登陆：和服务器认证逻辑类似

现在来看一下用户认证web界面的配置

配置位置

认证域可以定义用户的认证方式以及用户的组织结构

下图是新创建的一个认证域，用户的管理配置就在该页面

新建用户组

新建安全组

动态安全组就是满足某些条件可以加入某个组

新建用户

登录名 --- 用于登录的凭证，同一个认证域下不可以重复

显示名 --- 用来方便区分用户，不用的登录使用，可以重复，也不是必要项。

 用户属性

单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录，但该设备也可以让

其他用户登录

双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录，且其他用户不允许

在该设备上登录

认证策略

认证动作

Portal：网页认证，在触发需要认证的流量后，将提供网页认证界面，需要在界面中输入用 户名和密码进行认证

免认证：认证透明化，在符合单点登录或者IP/MAC双向绑定的前提下，可以不需要进行认 证环节，直接通过IP/MAC地址信息来追溯用户信息。

匿名认证：通过流量中的IP地址来作为用户的身份标识，不需要输入用户名和密码

用户管理

Portal认证 --- 则认证策略里面的动作需要选择protal；

免认证 --- 则认证策略里面需要选择免认证

单点登录 --- 则认证策略里面也选择免认证

如果认证动作里面选择匿名认证，则不触发这里的认证方式