快速了解防火墙以及防火墙基本的配置原理

一、防火墙的简单介绍：

防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络（如因特网）相连接的边界设都会放置防火墙，防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。

二、防火墙的发展历程：

2.1包过滤防火墙----访问控制列表技术—三层技术

包过滤型防火墙运用ACL技术，可以对数据进行限制，但是，此种技术限制较大，虽然操作原理比较简单，但是无法动态改变策略，需要的人工操作量巨大。而且对用户与非用户之间的管理较为粗糙，安全性得不到保证。

2.2代理防火墙----中间人技术—应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。但是只能针对特定的应用来实现，应用间不能通用。

代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理，这会导致数据包的吞吐能力降低。

2.3状态防火墙—会话追踪技术—三层、四层

在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。且具有首包机制（如下图），对第一个通过的包扫描安全策略，如果可以通过则创建会话表，后面的包则可以通过查看会话表来通行。会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。

2.4下一代防火墙

2008年Palo Alto Networks 公司发布了下一代防火墙（Next-Generation Firewall），解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009年Gartner（一家IT咨询公司） 对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性：

2.4.1 传统防火墙的功能

NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状 态检测、NAT、VPN等。

2.4.2 IPS 与防火墙的深度集成NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1+1>2的效果。Gartner特别强调IPS与防

火墙的“集成”而不仅仅是“联动”。例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策略，而不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场。

2.4.3 应用感知与全栈可视化

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控。

2.4.4利用防火墙以外的信息，增强管控能力

防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化带来的管控难题。

三、防火墙的安全区域

Trust区域。该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。

DMZ区域。该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络

Untrust区域。该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。

每个安全区域都有自己的优先级，用1-100的数字表示，数字越大，则代表该区域内的网络越可信。

四、防火墙的策略

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略，作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。

安全策略工作流程

查询和创建会话

五、防火墙基本操作的实验：

实验一：

Could1配置：

以太网2是回环网卡（回环网卡不会配置网上搜）

FW1：

账户：admin

密码：Admin@123

输完账户后选y然后更改密码，更改密码成功的界面

在g0/0/0口配置和could1中以太网2相同网段的IP

在FW1上输入命令：service-manage all permit //接口开启所有服务允许所有以便后面可以通过浏览器访问防火墙的可视化界面

进行测试

win+R：输入cmd去ping 192.168.0.10

浏览器上上登陆：输入在g0/0/0所配的IP地址

选择高级，然后点下面的继续前往

进入这个界面输入账户和刚在FW1上修改的密码

输入FW1的账户和刚修改的密码后进入这个界面

点击上面的网络

进入到下面的这个界面

点击GE1/0/0这个口进行配置

点击GE1/0/1这个口进行配置

对PC1进行配置

Server1的配置

此时由于防火墙的限制PC1和Server1无法相互访问访问

此时回到FW1的浏览器端点击策略

点击新建安全策略建立允许trust到untrust的流量允许通过

点击新建安全策略建立允许trust到untrust的流量允许通过

此时PC1可以去访问Server1但Server无法访问PC1

测试：用PC1去访问Server1

用Server1去访问PC1

接下来在新建一个策略允许untrust到trust的流量允许通过（现实中不允许外网内网，这仅仅是实验展示）

此时Server1可以去访问PC

测试：用Server1去访问PC1

实验二：

Cloud1和FW1的配置如实验一的配置

GE1/0/0接口在防火墙上的配置

此时路由器访问不了防火墙下的GE1/0/0接口

如果在防火墙上进行更改

此时AR1可以访问防火墙下的GE1/0/0接口

GE1/0/1接口在防火墙上的配置

GE1/0/2接口和GE1/0/3接口在防火墙上链路聚合

路由器AR1

GE0/0/0下的IP：100.1.1.2/24

配置命令：[AR1-GigabitEthernet0/0/0]ip add 100.1.1.2 24

GE0/0/1下的IP：200.1.1.1/24

配置命令：[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24

[AR1]ip route-static 0.0.0.0 0 100.1.1.1

Server1的配置：

LSW1的配置

[LSW1] vlan 2

[LSW1-GigabitEthernet0/0/1] port link-type access

[LSW1-GigabitEthernet0/0/1] port default vlan 2

[LSW1]int vlan 2

[LSW1-Vlanif3]ip add 10.1.255.1 24

[LSW1] vlan 3

[LSW1-GigabitEthernet0/0/2] port link-type access

[LSW1-GigabitEthernet0/0/2] port default vlan 3

[LSW1]int vlan 3

[LSW1-Vlanif3]ip add 10.1.3.1 24

[LSW1]ip route-static 0.0.0.0 0 10.1.255.2

LSW2的配置：

[LSW2]int Eth-Trunk 1

[LSW2-Eth-Trunk1]trunkport g0/0/1

[LSW2-Eth-Trunk1]trunkport g0/0/2

[LSW2-Eth-Trunk1]port link-type trunk

[LSW2-Eth-Trunk1]port trunk allow-pass vlan 10 to 11

[LSW2]vlan 10

[LSW2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]port link-type access

[LSW2-GigabitEthernet0/0/3]port default vlan 10

[LSW2]vlan 11

[LSW2]int g0/0/4

[LSW2-GigabitEthernet0/0/3]port link-type access

[LSW2-GigabitEthernet0/0/3]port default vlan 11

PC1的配置

配置静态路由

给trust区域配置一个回包路由（和上图配置静态的进入方式一样）

用PC1去访问10.1.255.2来测试是否成功创建回包路由

防火墙上创建网关

Server2的配置

Server3的配置

配结束后防火墙上的信息如下：

路由策略（此次策略只为展示基本实验效果，现实中以实际要求来设计策略）

trust区域访问untrust区域

测试PC1去访问Server1

turst区域访问DMZ区域的策略

测试

PC1访问Server3

PC1访问Server2

unturst区域访问DMZ区域的策略

测试

Server1访问Server2

Server1访问Server3

接口对的配置

GE1/0/4接口在防火墙上的配置

GE1/0/5接口在防火墙上的配置