什么是防火墙:
- 防火墙是一个由软件和硬件设备组合而成、在内网和外网之间、专用网和公用网之间的界面上构造的保护屏障
- 是一种隔离技术
- 重要的特征是增加了区域的概念
路由器的本质是转发,防火墙的本质是控制
防火墙的发展历史
- 包过滤防火墙(ACL五元组)
- 代理防火墙(代理模式,处理速度慢)
- 状态监测防火墙(动态跟踪会话流程)
- 统一威胁管理(UTM、防病毒、防入侵、URL过滤、内容过滤等)
- 下一代防火墙(NGF、应用识别、内容识别、用户识别等)
- 未来:(AI)防火墙(已来)
什么是下一代防火墙
- 下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙
- 通过深入洞察网络流量中的用户、应用和内容,能够为用户提供有效的应用层一体化安全防护
下一代防火墙主要功能
- 行为管控和带宽管理
- VPN部署与智能路由
- 内容安全与数据防泄漏
- 入侵防御与web防护
- 应用识别与管控
- APT防御与Anti-DDoS
- 云管理与云安全感知
常见的下一代防火墙厂商
- 华为USG系列AI防火墙(NGFW)
- 深信服下一代防火墙(NGAF)
- 天融信下一代防火墙(NGFW)
- 启明星辰-天清汉马T系列防火墙
- 绿盟防火墙(NF)
- 奇安信新一代智慧防火墙
- 安恒-明御安全网关(NGFW)
防火墙安全区域
- Trust:受信区域,一般对应企业内网,安全级别85
- Untrust:非受信区域:一般对应互联网区域,安全级别5
- DMZ:非军事化区域:一般对应服务器区域,安全级别50
- Local:本地区域:对应防火墙设备本身,安全级别100
配置内网访问外网
需求:实现企业内网访问外部服务器
配置步骤
- 第一步:配置接口地址
- 第二步:配置安全策略
WEB页面配置
配置接口
- 网络/接口/接口,单击具体的“接口名称”
- 配置安全区域和ip地址
配置安全策略
- 策略/安全策略/安全策略/新建安全策略
- 配置策略名称、源安全区域、目标安全区域
测试结果
- 在client1上,使用ping测试
命令行配置
配置接口
配置安全策略
防火墙配置NAT
什么是NAT
- 网络地址转换
NAT作用
- 在节约ipv4地址的前提下,实现内网大量主机与公网通信
- 隐藏公司网络和ip,对内网主机起到一定的保护作用
NAT分类
- Basic NAT:ip地址转换
- NAPT:IP+端口号转换
NAT主要实现方式
- 静态NAT:静态一对一
- Easy IP:基于出接口的NAPT
- 地址池NAT:基于地址池的NAPT
- NAT Server:端口映射
配置Easy-ip
实验拓扑
- 防火墙配置默认路由
- 公网路由器不要配置去内网的路由表
企业需求:
- 企业出口部署一台边界防火墙
- 企业网络规模较小,公网ip地址为100.1.1.1/30,对端100.1.1.2
- 实现企业内网主机访问外部网络
- 因没有空闲的公网ip,所以使用出接口地址做NAT
配置步骤
- 第一步:配置接口地址和安全区域
- 第二步:配置安全策略
- 第三步:配置NAT策略
- 第四步:配置默认路由
- 第五步:测试
配置接口地址和安全区域
配置安全策略
配置NAT策略
- 转换模式:仅转换源地址
- 源地址转换为:出接口地址
配置默认路由
- 出接口:g0/0/1
- 下一跳:100.1.1.2
配置路由器
验证
- 在Client1上可以ping通server1
- 在Server1上不能ping通Client1
配置地址池NAT
需求
- 企业出口部署一台边界防火墙
- 企业公网ip段:100.1.1.0/29(可用地址:100.1.1.1~6/29)
本端IP地址:100.1.1.1
对端IP地址:100.1.1.6
NAT池:100.1.1.2~4
NAT Server:100.1.1.5 - 实现企业内网主机访问外部网络
- 配置公网出口地址100.1.1.1,对端地址100.1.1.6
- 空闲的公网IP地址配置地址池NAT,实现更高的并发会话连接
配置接口和安全策略
ps:g1/0/1子网掩码29为
配置安全策略
NAT策略
- 配置转换地址池
- IP地址范围:100.1.1.2~100.1.1.4(留出100.1.1.5)
- 源地址转化为地址池中的地址
配置默认路由
出接口:g1/0/1
下一跳:100.1.1.6
配置路由器
验证
- 在Client1上ping通Server1
- 查看会话:监控-会话表-刷新