防火墙概述

防火墙是一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。本质就是在各网络区域之间做监控。

防火墙的类型

• 包过滤防火墙（本质是ACL）：无法关联数据包之间的关系，对经过防火墙的每个报文都要查询ACL再决定动作，无法适应多通道协议，只能检查报文，而无法检查应用层数据。
• 代理服务器防火墙：通过执行一系列针对HTTP\HTTPS的安全策略来专门为Web应用提供保护的一款产品。如WAF设备。
• 状态监测防火墙：对首包进行检查并生成会话表，会话表是该防火墙转发的唯一依据，后续报文匹配回话即可。可以针对多通道协议，可以检查应用层数据。

[FW] firewall session link-state check  //开启状态监测功能

防火墙安全区域

安全区域（Zone）：指一个或多个接口的集合。防火墙通过接口连接各网络设备来划分网络，标识报文在网络中的流动方向。安全区域也通常指某接口所连接的网络。

防火墙通过安全区域标识报文流动的路线，并在路线上设置不同的“规则”，来控制报文在各安全区域间的流动。

安全区域可以手动创建，创建时需要设置优先级（Priority），如下

[FW]display zone     //查看安全区域

# 自定义安全区域
[FW]firewall zone xxx      //添加安全区域
[FW-zone-test]set priority xx       //配置优先级
[FW-zone-test]add interface GigabitEthernet xxx

# 防火墙上的接口只要划分到安全区域内才能UP

不同安全区域的优先级不同，华为默认提供4个安全区域：Local（100）、Trust（85）、DMZ（50）、Untrust（5）

默认安全区域不可被删除。
Local：防火墙的接口都属于Local，用户不能改变Local区域本身的任何配置，且不能向Local中添加任何接口。凡是设备构造并主动发出的报文均可认为是从Local区域发出的，凡是需要设备响应并处理的报文均可认为是Local区域接收的。
HW默认任何策略流量全部阻止（包括Local接收和发出的流量）

状态检测和会话机制

报文在不同安全区域之间流动时，防火墙通过设置“规则”来决定允许通过或进行拦截，有包过滤和状态检测两种机制。

包过滤：根据设定的静态规则来判断某个报文是否被允许通过，且只针对单个报文。

状态检测：基于连接状态的检测机制，将通信双方之间交互的、属于同一连接的所有报文都作为整体数据流来对待，关注同一数据流中报文之间的联系。

由于包过滤防火墙只针对单个报文来设定“规则”，无法动态关注报文的流动，所以需要尽可能放宽“规则”，很容易造成安全风险。

会话：会话是通信双方建立的连接在防火墙上的具体体现，代表通信双方的连接状态，一条会话就表示一条连接，而“五元组”唯一标识一个会话。

状态检测与会话创建： 防火墙收到首包时（首包满足放行“规则”），会创建会话，后续报文只需要匹配会话即可被放行，不需要再对照放行“规则”。

开启状态检测功能后，SYN首包、ICMP Request首包和UDP报文会创建会话（前提是防火墙上的规则允许这些报文通过），后续报文匹配会话即可。