如何配置防火墙之了解防火墙基本机制

前言

本文档是初识防火墙的引路者，阅读本文后您将对防火墙配置过程有了初步认识，并完成防火墙基本配置。

01

 **了解防火墙基本机制**

1.1 什么是防火墙

防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。

如图1-1所示，防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则，允许内网10.1.1.0/24网段的PC访问Internet，禁止Internet用户访问IP地址为192.168.1.2的内网主机。

图1-1 防火墙控制流量转发

由上文可见，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

防火墙控制网络流量的实现主要依托于安全区域和安全策略，下文详细介绍。

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

1.2 接口与安全区域

前文提到防火墙用于隔离不同安全级别的网络，那么防火墙如何识别不同网络呢？答案就是安全区域（Security Zone）。通过将防火墙各接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域（部分机型的独立管理口除外）才能处理流量。

安全区域的设计理念可以减少网络攻击面，一旦划分安全区域，流量就无法在安全区域之间流动，除非管理员指定了合法的访问规则。如果网络被入侵，攻击者也只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。

接口加入安全区域代表接口所连接的网络加入安全区域，而不是指接口本身。接口、网络和安全区域的关系如图1-2所示。

图1-2 接口、网络和安全区域

防火墙的安全区域按照安全级别的不同从1到100划分安全级别，数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。例如，一个企业按图1-3划分防火墙的安全区域，内网接口加入trust安全区域，外网接口加入untrust安全区域，服务器区接口加入dmz安全区域，另外为访客区自定义名称为guest的安全区域。

一个接口只能加入到一个安全区域，一个安全区域下可以加入多个接口。

图1-3 划分安全区域

上图中有一个特殊的安全区域local，安全级别最高为100。local代表防火墙本身，local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出，凡是接收方是防火墙的报文（非转发报文）均可认为是由local安全区域接收。

另外除了物理接口，防火墙还支持逻辑接口，如子接口、VLANIF、Tunnel接口等，这些逻辑接口在使用时也需要加入安全区域。

1.3 安全策略

前文提到防火墙通过规则控制流量，这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能，防火墙通过安全策略来提供安全管控能力。

如图1-4所示，安全策略由匹配条件、动作和内容安全配置文件组成，针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

图1-4 安全策略的组成及Web界面

所有匹配条件在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。你可以只使用五元组（源/目的IP地址、端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

穿墙安全策略与本地安全策略

穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如图1-5所示，内网PC既需要Telnet登录防火墙管理设备，又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。

图1-5 穿墙安全策略与本地安全策略

表1-1 穿墙安全策略和本地安全策略配置

尤其讲下本地安全策略，也就是与local域相关相关的安全策略。以上例子中，位于trust域的PC登录防火墙，配置trust访问local的安全策略；反之如果防火墙主动访问其他安全区域的对象，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域，接口加入的安全区域代表接口连接的网络属于此安全区域，这样就可以分清防火墙本身和外界网络的域间关系了。

缺省安全策略与安全策略列表

防火墙存在一条缺省安全策略default，默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端，且不可删除。

用户创建的安全策略，按照创建顺序从上往下排列，新创建的安全策略默认位于策略列表底部，缺省策略之前。防火墙接收到流量之后，按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功，则停止匹配，并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配，则按照缺省策略处理。

由此可见，安全策略列表的顺序是影响策略是否按预期匹配的关键，新建安全策略后往往需要手动调整顺序。

企业的一台服务器地址为10.1.1.1，允许IP网段为10.2.1.0/24的办公区访问此服务器，配置了安全策略policy1。运行一段时间后，又要求禁止两台临时办公PC（10.2.1.1、10.2.1.2）访问服务器。

此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围，policy2永远无法被匹配。

需要手动调整policy2到policy1的上方，调整后的安全策略如下：

因此，配置安全策略时，注意先精确后宽泛。如果新增安全策略，注意和已有安全策略的顺序，如果不符合预期需要调整。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；

• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取