网络防御保护——课程笔记

一.防火墙

防火墙的主要职责：控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之后做出对应的动作。

 防火墙的分类

 防火墙的发展进程

 防火墙的控制

带内管理 --- 通过网络环境对设备进行控制 --- telnet，ssh，web --- 登录设备和被登

录设备之间网络需要联通

带外管理 --- console线，mini usb线

防火墙的管理员

本地认证 --- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行

判断，如果通过验证，则成功登录。

服务器认证 --- 和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方

服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创

建。

服务器/本地认证 --- 优先使用服务器认证，如果服务器认证失败，则也不进行本地认

证。只有在服务器对接不上的时候，采用本地认证。

防火墙的安全区域

Trust --- 一般企业内网会被规划在trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区

域。

Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的，

凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，

并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本

身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向（outbound）

流量从优先级低的区域到高的区域 --- 入方向（inbound）

 防火墙的安全策略

传统的包过滤防火墙 --- 其本质为ACL列表，根据 数据报中的特征 进行过滤，之后对比规制，

执行动作。

五元组 --- 源IP，目标IP，源端口，目标端口，协议

安全策略 --- 相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面

是可以完成 内容安全 的检测。

安全策略 --- 1，访问控制（允许和拒绝）

                   2，内容检测 --- 如果允许通过，则可以进行内容检测

防火墙的状态检测和会话表 

基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流

的“特征”记录下来（记录在本地的 “会话表” ），之后，该数据流后续的报文都将基于这个

特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

状态检测防火墙访问过程

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信

息进行性比对，如果，发现报文中的信息与会话表中的信息相匹配，并且， 符合协议规

范对后续报文的定义 ，则认为该数据包属于PC，可以允许该数据包通过。

会话表和状态检测

1，会话表 --- 会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算

HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效

率。

因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触

发，则应该删除掉。即会话表中的记录应该存在 老化时间 。如果会话表中的记录被删除

掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会

话表， 如果无法创建会话表，则将丢弃该数据流的数据 。

如果会话表的老化时间过长：会造成系统资源的浪费，同时，有可能导致新的会话表项

无法正常建立

如果会话表的老化时间过短：会导致一些需要长时间首发一次的报文连接被系统强行中

断，影响业务的转发。

不同协议的会话表老化时间是不同

2.状态检测主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建

会话表。可以选择开启或者关闭该功能。

数据通过防火墙的流程

 ASPF

FTP --- 文件传输协议

FTP协议是一个典型的C/S架构的协议

Tftp --- 简单文件传输协议

1，FTP相较于Tftp存在认证动作

2，FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程，一个是控制进程，另一个是数据的传输进程，所以，需要使用 两个端口号20，21 ，并且，FTP还存在两种不同的工作模式 --- 主动模式，被动模式

1.主动模式

2.被动模式

ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包，之后，将端 口算出，将结果记录在sever-map表中，相当于开辟了一条隐形的通道

 防火墙的用户认证

防火墙管理员登录认证 --- 检验身份的合法性，划分身份权限

用户认证 --- 上网行为管理的一部分

用户，行为，流量 --- 上网行为管理三要素

用户认证的分类

上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行

为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。

入网用户认证 --- 二层认证 --- 我们的设备在接入网络中，比如插入交换机或者接入wifi

后，需要进行认证才能正常使用网络。

接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的

认证方式

本地认证 --- 用户信息在防火墙上，整个认证过程都在防火墙上执行

服务器认证 --- 对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将

认证结果返回，防火墙执行对应的动作即可

单点登录 --- 和第三方服务器认证类似。

认证域 --- 可以决定认证的方式和组织结构

认证域 --- 可以决定认证的方式和组织结构

登录名 --- 作为登录凭证使用，一个认证域下不能重复

显示名 --- 显示名不能用来登录，只用来区分和标识不同的用户。如果使用登录名区分，则也

可以不用写显示名。显示名可以重复。

账号过期时间 --- 可以设定一个时间点到期，但是，如果到期前账号已登录，到期后，防火墙

不会强制下线该用户。

允许多人同时使用该账号登录

私有用户 --- 仅允许一个人使用，第二个人使用时，将顶替到原先的登录

公有用户 --- 允许多个人同时使用一个账户

IP/MAC绑定 --- 用户和设备进行绑定（IP地址/MAC地址）

单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录，但是，其他

用户可以在该设备下登录

双向绑定 --- 该用户只能在绑定设备下登录，并且该绑定设备也仅允许该用户登录。

安全组和用户组的区别 --- 都可以被策略调用，但是，用户组在调用策略后，所有用户组成员

以及子用户组都会生效，而安全组仅组成员生效，子安全组不生效。

认证策略

Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网

认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。

免认证 --- 需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以

选择免认证，不做认证。

匿名认证 --- 和免认证的思路相似，认证动作越透明越好，选择匿名认证，则登录者不需要输

入用户名和密码，直接使用IP地址作为其身份进行登录。

认证域

如果这里的上网方式选择protal认证，则认证策略里面也要选择portal认证。

如果这里的上网方式选择免认证或者单点登录，则认证策略中对应动作为免认证

如果认证策略中选择的是匿名认证，则不触发这里的认证动作。

防火墙的nat

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

--- 多对多的NAPT

服务器映射

源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源

NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为

了保证公网用户可以访问内部的服务器

双向NAT --- 同时转换源IP和目标IP地址

VRRP技术

虚拟路由器冗余协议

Initialize --- 在VRRP中，如果一个接口出现故障之后，则这个接口将进入到该过渡状态

分区 20240121防御保护寒假班 的第 9 页

VRRP备份组之间是相互独立的，当一台设备上出现多个VRRP组时，他们之间的状态无法

同步。

VGMP ---- VRRP Group Management Protocol

华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组，之后统一进行

管理，统一切换的协议。以此来保证VRRP组状态的一致性。

接口故障切换场景

在防火墙的双机热备中，我们不论时VRRP组还是VGMP组，主备的叫法发生了变化，主

统一被称为Active，备被称为Standby

1，假设主设备的下联口发生故障，则这个接口的vrrp状态将由原来的Active状态切换为

initialize状态。（这种情况下，按照VRRP自己的机制，主设备将无法发送周期保活报文，

则备设备在超过超时时间后将切换为主的状态。但是，因为这里启用VGMP在，则VRRP

切换状态将由VGMP接管，VRRP的机制名存实亡。）

2，VGMP组发现VRRP组出现变化，将降低自身的优先级。（说明，在VGMP组中，也

存在优先级的概念。一开始，每台设备中都会存在两个VGMP组，一个叫做Active组，

另一个叫做Standby组。Active组初始的默认优先级为65001，Standby组初始的默认

优先级为65000（不同版本的防火墙，这个优先级的定义不同）。一开始，我们FW1将

两个VRRP组都拉入VGMP_ACTIVE组中，因为ACTIVE组的状态时active，所以，里面

两个vrrp组的状态也是active（VGMP组的状态决定了VRRP组的状态），FW2同理。当

一个VRRP组的状态变为initialize，则VGMP则的优先级-2。）之后，原主设备会发送一

个VGMP请求报文给对端，里面包含了自己当前变化后的优先级。

3，当原备设备接收到请求报文后，看到里面的优先级时64999，而低于自身的65000， 则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时，发送一个同意请求报文给原主设备。

4，原主设备接收到对方的应答报文之后，将会把自身VGMP_ACTIVE组的状态由原来的

ACTIVE切换为STANDBY。

5，在原备设备发送应答报文的同时，因为其VGMP组的状态切换，所以，其内部的

VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之

后，因为将其VGMP组状态切换，所以，同时将其内部的VRRP组状态由原来的active状

态切换为standby状态（注意，故障接口依旧保持init的状态。）

6，原备设备会通过接口向上下联链路发送免费ARP报文，切换交换机的MAC地址表。

流量将被切换到原被设备上。

HRP --- Huawei Redundancy Protocol --- 华为冗余协议

这是一款华为的私有协议 --- 备份配置信息和状态信息。

HRP备份有一个前提，就是两台设备之间必须专门连一根用于备份的线路，这跟线路我

们称为心跳线（广义上，任何两台设备之间的链路都可以叫做心跳线）

心跳线的接口必须是一个三层接口，需要配置对应的IP地址。这条备份数据的链路不受

路由策略限制（直连场景。非直连场景依然需要配置安全策略。）

HRP协议本身算是VGMP协议的一部分

HRP的心跳线也会传递心跳报文，用于检测对端是否处于工作状态。这个周期时间默认

1s，逻辑和vrrp一样，只有主设备会周期发送，备设备仅监听即可，如果在三个周期

内，都没有收到HRP的心跳报文，则将认定原主设备故障，则将进行失效判断，认定自

身为主。

VGMP的报文也是通过这条心跳线发送的。

配置信息 --- 策略，对象，网络里面的一些配置都属于配置信息。（接口IP地址，路由

之类的不同步，因为这些是需要在双机组建之前配置的）

第一种备份方式 --- 自动备份

默认开启自动备份，可以实时备份配置信息。但是，自动备份不能立即同步状态信息。

一般是在主设备上状态生成后一段时间（10s左右）同步到备设备上。

Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。

第二种备份方式 --- 手工备份

由管理员手工触发，可以立即同步配置信息以及状态信息。

第三种备份方式 --- 快速备份

该模式仅使用在 负载分担 的工作方式下。

因为负载分担的场景下，两台设备都需要处于工作状态，为了避免因为状态信息同步不

及时，导致业务流量中断，所以，该场景下，默认开启快速备份。

快速备份可以实时同步状态信息。但是，该方式不同步配置信息。