防御保护（2）

防火墙

防火墙的主要职责---控制和防护---安全策略---翻过去可以根据安全策略来抓取流量之后做出对应的动作。

防火墙分类

按物理特性划分：软件防火墙、硬件防火墙

按性能划分：百兆级防火墙、千兆级防火墙 ······

按防火墙结构划分：单一主机防火墙、路由集成防火墙、分布式防火墙 ······

按防火墙技术划分：包过滤防火墙、应用代理防火墙、状态检测防火墙 ······

吞吐量---防火墙同一时间处理的数据量

防火墙的发展史

防火墙发展进程

传统防火墙（包过滤防火墙）

缺点：

1.很多安全风险几种在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全分险

2.逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末尾会隐含一条拒绝所有的规则，即只要是没有放通的流量，一律不允许通过。

传统防火墙（应用代理防火墙）

缺点：

1，因为需要防火墙进行先一步安全识别，所以，转发效率会降低（原来的三层握手就会变成6次握手）

2，可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有开发，则无法进行代理。

传统防火墙（状态检测防火墙）

”会话表技术“——首包检测

缺点：因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护，则设备维护成本大大提高，所有设备都需要对流量进行检测，所以，效率很低

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低。

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有功能模块都可以做出对应的处理。大大提高了工作效率。

比较

防火墙的其他功能：

1.访问控制

2.地址转化

3.网络环境支持

4.带宽管理功能

5.入侵检测和攻击防御

6.用户认证

7.高可用性

防火墙的控制

带内管理--- 通过网络环境对设备进行控制---Telnet，ssh，web---登录设备和被登录设备间网络需要联通

带外管理---console线，mini USB线

华为防火墙的MGMT接口（G0/0/0）出厂时默认配置的有IP地址：192.168.0.1/24，并且该接口默认开启了DHCP和web登录的功能，方便进行web管理。

防火墙的管理员：

本地认证--- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行判断，如果通过验证，则成功登录。

服务器认证--- 和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。（一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。）

服务器/本地认证--- 优先使用服务器认证，如果服务器认证失败，则也不进行本地认证。只有在服务器对接不上的时候，采用本地认证

信任主机#1 --- 可以添加一个地址或者网段，则其含义是只有在该地址活着地址段内，可以登录管理设备（最多可以添加10条信息。）

防火墙的组网

物理接口

二层口--- 不能配IP

普通的二层口

接口对--- “透明网线” --- 可以将两个接口绑定成为接口对，如果流量从一个接口进入，则必定从另一个接口出去，不需要查看MAC地址表。--- 其实一个接口也可以做接口对，从该接口进再从该接口出

旁路检测接口--- 主要用于防火墙的旁路部署，用于接收镜像口的流量。

三层口--- 可以配IP

虚拟接口

环回接口

子接口

链路聚合

隧道接口

······

虚拟系统--- VRF技术

相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。需要通过接口区分虚拟系统的范围。

管理口和其余物理接口默认不在同一个虚拟系统中

高于安全策略

安全区域

Trust --- 一般企业内网会被规划在trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区域。

Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的，凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz --- 非军事化管理区域--- 这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级（1 - 100） 越大越优

流量从优先级高的区域到优先级低的区域--- 出方向（outbound）

流量从优先级低的区域到优先级高的区域--- 入方向（inbound）

配置思路：

1，接口，区域配置完成

2，内网配置回包路由

3，是否需要配置服务器映射

4，配置内网访问外网的NAT

5，针对内外网的安全策略

四种模式：

路由模式

透明模式

旁路模式

混合模式