作业（6）

 

防火墙的组网

物理接口

二层口--- 不能配IP 普通的二层口 接口对--- “透明网线”---可以将两个接口绑定成为接口对，如果流量从一个接口进入，则 必定从另一个接口出去，不需要查看MAC地址表。

 

---其实一个接口也可以做接口对，从该 接口进再从该接口出 旁路检测接口---主要用于防火墙的旁路部署，用于接收镜像口的流量。

三层口--- 可以配IP

虚拟接口 换回接口 子接口 链路聚合 隧道接口

Bypass --- 4个千兆口其实是两队bypass口。如果设备故障，则两个接口直通，保证流量不中 断。 虚拟系统---VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。需 要通过接口区分虚拟系统的范围。 管理口和其余物理接口默认不在同一个虚拟系统中

 安全区域

Trust --- 一般企业内网会被规划在trust区域中

Untrust --- 一般公网区域被规划在untrust区域中 我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区 域。

Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的， 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置， 并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz --- 非军事化管理区域---这个区域主要是为内网的服务器所设定的区域。这些服务器本 身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。

 

优先级---1 -100 --- 越大越优---流量从优先级高的区域到优先级低的区域---出方向 （outbound） 流量从优先级低的区域到高的区域---入方向 （inbound）

 

路由模式

 安全策略

传统的包过滤防火墙---其本质为ACL列表，根据数据报中的特征进行过滤，之后对比规制， 执行动作。

五元组---源IP，目标IP，源端口，目标端口，协议

 安全策略---相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面 是可以完成内容安全的检测。

 安全策略---

1，访问控制（允许和拒绝）

2，内容检测---如果允许通过，则可以进行内容检测

 需求：DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 -18：00） 访问，办公区的设备全天都可以访问

防火墙的状态检测和会话表

基于流的流量检测---即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流 的“特征”记录下来（记录在本地的“会话表”），之后，该数据流后续的报文都将基于这个 特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

 状态检测防火墙访问过程

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信 息进行性比对，如果，发现报文中的信息与会话表中的信息相匹配，并且，符合协议规 范对后续报文的定义，则认为该数据包属于PC，可以允许该数据包通过。 

1，会话表；2，状态检测

1，会话表---会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算 HASH来比较五元组。

因为HASH定长，所以，可以基于硬件进行处理，提高转发效 率。 因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触 发，则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除 掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会 话表，如果无法创建会话表，则将丢弃该数据流的数据。

如果会话表的老化时间过长：会造成系统资源的浪费，同时，有可能导致新的会话表项 无法正常建立 如果会话表的老化时间过短：会导致一些需要长时间首发一次的报文连接被系统强行中 断，影响业务的转发。 不同协议的会话表老化时间是不同

查看会话表的方法 

[USG6000V1]display firewall session table --- 查看会话表

[USG6000V1]display firewall session table verbose-- 查看会话表详情 

状态检测技术

状态检测主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建 会话表。可以选择开启或者关闭该功能。 

 

TCP协议

http://t.csdnimg.cn/V4R3k

UDP协议

http://t.csdnimg.cn/VXHWS

ICMP协议

http://t.csdnimg.cn/lYcQ7

数据通过防火墙的流程 

ASPF 

FTP --- 文件传输协议 

FTP协议是一个典型的C/S架构的协议

Tftp --- 简单文件传输协议

1，FTP相较于Tftp存在认证动作

2，FTP相较于Tftp拥有一套完整的命令集 

 FTP工作过程中存在两个进程，一个是控制进程，另一个是数据的传输进程，所以，需要使用 两个端口号20，21 并且，FTP还存在两种不同的工作模式---主动模式，被动模式

主动模式 

被动模式

192，168，1，1，8，2 --- 前面是IP地址信息，后面的8，2代表的是端口号信息，计算方 法--- 8 * 256 + 2 = 2050 

像FTP这种使用多个端口号的协议叫做多通道协议（双通道协议）

ASPF --- 针对应用层的包过滤 ---用来抓取多通道协议中协商端口的关键数据包，之后，将端 口算出，将结果记录在sever-map表中，相当于开辟了一条隐形的通道。 

FTP协议

http://t.csdnimg.cn/8fU71

默认FTP协议开启了ASPF。

ASPF 

--针对应用层的特殊包过滤技术，其原理是检测通过设备的报文的应用层协议信息，记录临时协商的数据连接，使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。

记录临时协商的数据连接的表项称为Server-map 表，这相当于在防火墙上开通了“隐形通道”，使得像FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的，是防火墙分析了报文的应用层信息之后，提前预测到 后面报文的行为方式，所以才打开了这样的一个通道。

 防火墙的用户认证 防火墙管理员登录认证

---检验身份的合法性，划分身份权限 分区20240121防御保护寒假班 的第3 页 用户认证

---上网行为管理的一部分 用户，行为，流量

---上网行为管理三要素 用户认证的分类 上网用户认证---三层认证

---所有的跨网段的通信都可以属于上网行为。正对这些行 为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。

入网用户认证

---二层认证---我们的设备在接入网络中，比如插入交换机或者接入wifi 后，需要进行认证才能正常使用网络。

接入用户认证---远程接入---VPN ---主要是校验身份的合法性的 认证方式 本地认证---用户信息在防火墙上，整个认证过程都在防火墙上执行 服务器认证---对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将 认证结果返回，防火墙执行对应的动作即可

单点登录---和第三方服务器认证类似。

 认证域---可以决定认证的方式和组织结构

登录名---作为登录凭证使用，一个认证域下不能重复 显示名

---显示名不能用来登录，只用来区分和标识不同的用户。如果使用登录名区分，则也 可以不用写显示名。显示名可以重复。 账号过期时间---可以设定一个时间点到期，但是，如果到期前账号已登录，到期后，防火墙 不会强制下线该用户。 允许多人同时使用该账号登录

私有用户 ---仅允许一个人使用，第二个人使用时，将顶替到原先的登录 公有用户---允许多个人同时使用一个账户

IP/MAC 绑定---用户和设备进行绑定（IP地址/MAC地址）

单向绑定---该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录，但是，其他 用户可以在该设备下登录 双向绑定---该用户只能在绑定设备下登录，并且该绑定设备也仅允许该用户登录。 安全组和用户组的区别---都可以被策略调用，但是，用户组在调用策略后，所有用户组成员 以及子用户组都会生效，而安全组仅组成员生效，子安全组不生效 

 

认证策略

Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。

免认证---需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以 选择免认证，不做认证。 匿名认证---和免认证的思路相似，认证动作越透明越好，选

择匿名认证，则登录者不需要输 入用户名和密码，直接使用IP地址作为其身份进行登录。 

如果这里的上网方式选择protal认证，则认证策略里面也要选择portal认证。

如果这里的上网方式选择免认证或者单点登录，则认证策略中对应动作为免认证 如果认证策略中选择的是匿名认证，则不触发这里的认证动作。

 防火墙的NAT

静态NAT --- 一对一 动态NAT --- 多对多 NAPT --- 一对多的NAPT --- easy ip--- 多对多的NAPT

服务器映射

源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源 NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器

 

双向NAT --- 同时转换源IP和目标IP地址

 源NAT是在安全策略之后执行

配置黑洞路由---黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指 向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。）

 

决定了使用的是动态NAT还是NAPT的逻辑。 

 

高级

NAT类型--- 五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议这五个参数识别出 的数据流进行端口转换

 

三元组NAT ---针源IP，源端口，协议 三个参数识别出的数据流进行端口转换

 

在保留地址中的地址将不被用于转换使用 

 

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记 录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况 下，是可以访问到内网的设备。

 

基于端口的NAT转换，是不会生成server-map表的。 

 

三元组 P2P --- peer to peer

 

 

因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合 五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端 之间可以正常通信。

 

目标NAT

 

服务器映射 

 

安全区域---值的是需要访问服务器的设备所在的区域。 源NAT在安全策略之后执行，目标NAT在安全策略之前执行

 

（因为自动生成的安全策略的目标 地址是转换后的地址，说明需要先进行转换，再触发安全策略） 

 

 双向NAT

 

多出口NAT

源NAT 第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT 第二种：出去还是一个区域，选择出接口来进行转换

 

目标NAT 第一种：也可以分两个不同的区域做服务器映射 第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址 池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。