防火墙到防火墙的高可用知识汇总

目录​​​​​​​

防火墙

防火墙的分类：

 防火墙的发展史

传统防火墙（包过滤防火墙）—— 一个严格的规则表

传统防火墙（应用代理防火墙）—— 每个应用添加代理

传统防火墙（状态检测防火墙）—— 首次检查建立会话表

入侵检测系统（IDS）—— 网络摄像头

入侵防御系统（IPS） —— 抵御2-7层已知威胁

防病毒网关（AV）—— 基于网络侧识别病毒文件

 Web应用防火墙（WAF）—— 专门用来保护web应用

统一威胁管理（UTM）—— 多合一安全网关

 下一代防火墙（NGFW）—— 升级版的UTM

 防火墙的其他功能

 防火墙的组网

 安全策略

例1 需求：DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00） 访问

防火墙的状态检测和会话表

 状态检测防火墙访问过程

1，会话表；2，状态检测

1，会话表

2，状态检测技术

数据通过防火墙的流程 

 ASPF

FTP --- 文件传输协议

 主动模式

被动模式

像FTP这种使用多个端口号的协议叫做多通道协议（双通道协议）

ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包，之后，将端 口算出，将结果记录在sever-map表中，相当于开辟了一条隐形的通道。

防火墙的用户认证

用户认证的分类

认证方式

认证策略

防火墙的NAT

三元组

防火墙的智能选路

策略路由 --- PBR

智能选路 --- 全局路由策略

基于链路带宽的负载分担

 基于链路质量进行负载分担

 基于链路权重进行负载分担

基于链路优先级的主备备份

 DNS透明代理

 防火墙的可靠性

接口故障切换场景

HRP --- Huawei Redundancy Protocol --- 华为冗余协

第一种备份方式 --- 自动备份

第二种备份方式 --- 手工备份

第三种备份方式 --- 快速备份

各场景过程分析

1，主备形成场景

 2，主备模式下，接口故障切换场景

 3，主备场景，主设备故障切换 --- 主故障之后，将无法周期发送HRP心跳报文，则备设备监听超时，进行设备状态的切换。

 4，主备场景，主设备接口故障恢复切换         没有开启抢占 --- 没有抢占则原主设备保持备份状态。        开启抢占：

 5，负载分担

 6，负载分担接口故障场景

---

防火墙

防火墙的主要职责在于：控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之后做出对应的动作。

防火墙的分类：

吞吐量：防火墙同一时间处理的数据

 防火墙的发展史

防火墙发展进程

传统防火墙（包过滤防火墙）—— 一个严格的规则表

1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险
2，逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列 表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末 尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

传统防火墙（应用代理防火墙）—— 每个应用添加代理

 1，因为需要防火墙进行先一步安全识别，所以，转发效率会降低（原来的三层握手就会变成 6次握手）。
2，可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有 开发，则无法进行代理。

传统防火墙（状态检测防火墙）—— 首次检查建立会话表

"会话表技术" —— 首包检测

入侵检测系统（IDS）—— 网络摄像头

 IDS —— 一种侧重于风险管理的安全机制 —— 滞后性

入侵防御系统（IPS） —— 抵御2-7层已知威胁

防病毒网关（AV）—— 基于网络侧识别病毒文件

 Web应用防火墙（WAF）—— 专门用来保护web应用

 因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护，则设备维 护成本大大提高，所有设备都需要对流量进行检测，所以，效率很低。

统一威胁管理（UTM）—— 多合一安全网关

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低。

 下一代防火墙（NGFW）—— 升级版的UTM

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有 功能模块都可以做出对应的处理。大大提高了工作效率。

 防火墙的其他功能

1. 访问控制
2. 地址转换
3. 网络环境支持
4. 带宽管理功能
5. 入侵检测和攻击防御
6. 用户认证
7. 高可用性

 防火墙的组网

物理接口
      二层口 --- 不能配IP
                普通的二层口 接口对 --- “透明网线” --- 可以将两个接口绑定成为接口对，如果流量从一
                个接口进入，则 必定从另一个接口出去，不需要查看MAC地址表。 --- 其实一个接口也
                可以做接口对，从该 接口进再从该接口出
                旁路检测接口 --- 主要用于防火墙的旁路部署，用于接收镜像口的流量。
      三层口 --- 可以配IP

虚拟接口
        换回接口
        子接口
        链路聚合
        隧道接口
        。。。

虚拟系统 --- VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。需要通过接口区分虚拟系统的范围。
管理口和其余物理接口默认不在同一个虚拟系统中。

不同的虚拟空间之间通信使用的虚拟接口，只需要配置IP地址即可。新创建一个虚拟系统会自 动生成一个虚拟的接口。

安全区域：

Trust --- 一般企业内网会被规划在trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
             我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区域。
Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的， 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置， 并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本 身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。
优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 ——出方向(outbound)
                                                     流量从优先级低的区域到优先级高的区域 —— 入方向(inbound)

 安全策略

传统的包过滤防火墙 --- 其本质为ACL列表，根据数据报中的特征进行过滤，之后对比规制， 执行动作。
五元组 --- 源IP，目标IP，源端口，目标端口，协议

安全策略 --- 相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面 是可以完成内容安全的检测。

 安全策略 --- 1，访问控制（允许和拒绝）
                     2，内容检测 --- 如果允许通过，则可以进行内容检测

例1 
需求：DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00） 访问

 以上部分均为流量匹配条件 每一项之间的关系为“与”关系，如果不进行选择，则默认为any； 多选的里面，每一项之间的关系为“或”

防火墙的状态检测和会话表

基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流 的“特征”记录下来（记录在本地的“会话表”），之后，该数据流后续的报文都将基于这个 特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

 状态检测防火墙访问过程

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信 息进行性比对，如果，发现报文中的信息与会话表中的信息相匹配，并且，符合协议规 范对后续报文的定义，则认为该数据包属于PC，可以允许该数据包通过。

1，会话表；2，状态检测

1，会话表

​会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算 HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效 率。1，会话表 --- 会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算 HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效 率。

因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触 发，则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除 掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会 话表，如果无法创建会话表，则将丢弃该数据流的