学习DAY3

学习完几代防火墙区别和各自工作模式之后，接下来我们具体学习下。

随着国潮风的崛起，越来越多人对国产设备抱有相当大的信心了，华为作为国内顶尖的信息与通信技术公司，未来的产品肯定会更加贴合我们自己人的想法。下面就以华为USG6000系列的防火墙来进行学习。下图是USG6000E视频安全网关，我们公司核心视频网关就使用的这款产品，保障厂区内各个现场摄像机安全接入。

USG6000防火墙：
安全能力与应用识别深度融合，一体化安全防护。有六维控制包括应用、内容、时间、用户、威胁和位置六个维度。

1.策略管理
该系列防火墙优化了策略的管理，策略管理可以自动找出重复无用的策略，配置比较简单，其系统自带预置安全策略模板以及系统预置应用类别和风险组。比如上班时间禁止音乐视频类应用，禁止使用P2P文件共享等等。

2.全面威胁防护。
其安全防护主要包括入侵检测、反病毒、识别伪装、文件过滤、URL过滤、内容过滤、Qos优化、SSL加密等。通过智能感知引擎IAE能快速部署各种策略。

3.安全区域及策略。
同一区域之间的报文转发互通不受策略影响，在不同区域传送数据才会使用安全策略。华为USG防火墙默认有四个安全区域，区域需要配置安全级别。下面分别学习下这四个安全区域：
本地区域：防火墙本身，默认安全级别为100.
信任区域（Trust）：一般用来定义内部网络，默认安全级别为85.
非信任区域（Untrust）：一般定义非内部网络或者互联网，默认安全级别为5.
隔离区域（DMZ）:一般用来定义一些想让外部客户访问内部如邮件、FTP服务器等，默认安全级别为50.
区域数目可自定，最多可支持32个自定义区域。

数据流向：数据在安全区域之间流动一般分为入方向和出方向，分别是从低安全级别到高安全级别，另一种相反。

4.安全区域和接口
定义完安全区域，需要将安全区域与连接到各个接口，接口用来将安全区域和物理网络关联，这样才能实施访问控制。

5.安全策略的概念
即在匹配相应策略规则下，不同区域的报文才可以进行交换。常见的情况就是Trust区域访问Untrust区域，到达防火墙后就会匹配相应的策略，看是否可以通信。

6.NAT技术
简单来说，就是内部主机访问外部网络，防火墙可以把私有地址转为互联网地址。

7.VPN技术
就我的理解来说，VPN就是专线，在专线里面进行数据互通安全性肯定是够高的。主要使用到的技术如下：
隧道技术：在隧道两端使用封装和解封的方式对数据进行处理，体现安全性。
认证技术：数据认证技术主要是确保数据在传输过程中不被窜改或丢失，身份认证技术主要是用户接入使用到用户名密码和USBKey（私钥）认证方式。
加密技术：在进入隧道时对数据进行加密，出再解密。

8.双机热备技术
首先不谈防火墙，双机热备技术在大多数服务器上也会部署。为了在一台防火墙故障情况下影响网络通信，就需要一台备份。主要有两种备份技术，主从模式和负载分配两种。我个人认为负载分配更加不会浪费资源，主从模式会让备用防火墙大量时间空闲。
该书全程使用实体机进行配置，所以在实验方面就不能亲自动书了，只能在ENSP里面尝试性的学习下。