华为防火墙基础

防火墙技术是安全技术中的一个具体体现，我们这里讨论的是硬件防火墙，它是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备成为硬件防火墙，硬件防火墙可以独立于操作系统、计算机设备运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的过滤。同时它可以提供包括访问控制、身份验证、数据加密、vpn技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，组织一些非法的访问，保护自己的网络安全。
现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在internet中的安全，同时也可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。
防火墙能够分布式保护整个网络，其特点是安全策略集中、安全功能复杂多样、专业管理员维护、安全隐患小、策略设置复杂。

防护墙发展历程：

判断一个网络的安全性：
1.数据机密性
2.数据完整性
3.高可用性
防火墙主要用于保护一个网络区域免受另一个网络区域的网络攻击和网络入侵行为，同时允许两个网络之间进行合法的通信

防火墙与交换机、路由器对比：
交换机：汇聚组建局域网，二、三层快速转发报文
路由器：寻址和转发，保证网络互联互通
防火墙：控制报文转发，防攻击病毒木马
路由器与交换机的本质是转发，防火墙是控制

防火墙和路由器实现安全控制的区别：
防火墙分类：
1.按照形态分为：硬件防火墙、软件防火墙
2.按照保护对象分为：单机防火墙、网络防火墙
3.按照访问控制方式分为：包过滤防火墙、代理防火墙、状态检测防火墙、UTM、下一代防火墙
（1）包过滤防火墙：
包过滤防火墙的基本原理是提取报文的IP包头或者帧头部中的信息，包括SIP/DIP/SM/DM/PRO/优先级/服务类型等，然后与设定好的规则进行匹配，根据结果决定报文是通过还是拒绝通过。
特点：对于经过防火墙的报文是逐包匹配包过滤规则，转发效率低下，且规则过多易出现配置错误
（2）代理防火墙：应用层作用
代理防火墙用代理服务器的方式运行于内网和外网之间，在应用层实现安全控制功能，起到内网和外网之间应用服务的转接作用（如外部pc访问内部web，不会直接访问web，而是将请求交给fw再交由web，web再将回复交给fw，fw交给pc）
特点：早期类似于代理服务器的技术，优点是成为用户访问业务的中间代理人，能够避免对服务器的直接入侵，缺点是只是应用层代理，缓冲时间长，速度较慢
（3）状态检测防火墙：
状态检测机制以流为单位对报文进行检测和转发，即只对第一条数据流的第一个报文进行包过滤规则检查，并将允许通过的流状态记录下来，对于该数据流的后续报文都直接根据这个状态来判断是转发还是丢弃，而无需再次检查报文内容（首包检查后会形成一个状态表，有老化时间）

特点：安全性好，性能高效，但是仍基于数据包的三层信息进行检测，无法彻底的识别数据包中大量的垃圾邮件、广告、木马等。

防火墙工作模式：
1.路由模式：每个接口需要配置IP（三层接口）
2.透明模式：每个接口不需要配置IP，适合于不影响网络拓扑的场景（二层接口）
3.混合模式：部分接口有IP地址
安全策略：
安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。规则的本质是包过滤
内容安全一体化检测：（下一代防火墙）
一体化检测是指对一条流量的内容只进行一次检测和处理，就能实现包括反病毒、入侵防御在内的内容安全功能
下一代防火墙支持以下特征：
1.路由：
（1）ipv4路由和ipv6路由
（2）支持静态路由
（3）支持RIP/OSPF/BGP/ISIS等动态路由
（4）支持路由策略和路由迭代
2.统一管理：
（1）SNMP
（2）WEB管理
（3）NTP
3.ethernet
（1）支持二层、三层以太网接口以及二层、三层以太网接口之间互相切换
（2）eth-trunk和vlan
4.安全：
5.UTM（统一威胁管理）
6.接入技术

防火墙的主要功能是策略和机制的集合，它通过对流经数据流的报文头标示进行识别，以允许合法数据流对特定资源的授权访问，从而防止那些无权访问资源的用户的恶意访问或偶然访问。
实现访问控制的主要工作过程如下：
（1）对于需要转发的报文，防火墙先获取报文头信息，包括IP层所承载的上层协议的协议号、报文的源地址、目的地址、源端口号和目的端口号。
（2）将报文头信息和设定的访问控制规则进行比较。
（3）根据比较结果，按照访问控制规则设定的动作，允许或拒绝对报文的转发。
攻击防范特性如下：
（1）流量型攻击，流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的。
（2）扫描窥探攻击，扫描窥探攻击主要包括IP地址扫描和端口扫描，从而准确地发现潜在的攻击目标。
（3）畸形报文攻击，畸形报文攻击是指通过向目标系统发送有缺陷的IP报文，主要畸形报文攻击有ping of Death、Teardrop等。
（4）特殊报文攻击，特殊报文攻击是指攻击者利用一些合法的报文对网络进行侦察或者数据检测，这些报文都是合法的应用类型，只是正常网络很少用到。
Elog是防火墙专用的日志软件，可以支持通用的syslog日志和二进制日志。
（1）syslog日志：即普通系统日志以及流量监控日志（除SA流量监控日志外）采用syslog方式以文本格式进行输出。这些日志信息必须通过信息中心模块进行日志管理和输出重定向，然后显示在终端屏幕上，或者发送给日志主机进行存储和分析。
（2）二进制日志。即会话日志中NAT/ASPF产生的日志、SA流量监控日志，对于这种类型的日志提供了一种“二进制”输出方式，直接输出到二进制日志主机以便对日志进行存储和分析，无需信息中心模块的参与。
下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，下一代防火墙能够为用户提供有效的应用层一体化安全防护，帮助用户安全的开展业务并简化用户的网络安全架构。
下一代防火墙通过签名和特征可以识别上千种应用，并且可以防护在应用层传输的网络入侵、蠕虫、病毒、木马和攻击。防火墙所提供的安全策略功能可以在一条策略中完成对一条流量的所有内容安全防护功能。目前在安全策略中可以使用内容的安全配置文件来实现相应的内容安全功能。如表所示为防火墙安全功能列表：

防火墙安全策略：
内容安全一体化检测：
一体化检测是指对一条流量的内容只进行一次检测和处理，就能实现包括反病毒、入侵防御在内的内容安全功能，这一点与UTM形成对比，UTM处理时必须先进行入侵防御，在进行反病毒等操作，处理速度慢
下一代防火墙产品型号及规格：

防火墙攻击防范：
扫描窥探攻击：攻击者利用工具（如Scanport）扫描网络中有哪些网段地址在使用，可以对这些IP地址和网段进行攻击
畸形报文攻击：如死亡之ping，攻击者发送了一个有缺陷的报文，ping的时候指定数据包大小，数据包非常大，可能会导致主机承受不了这么大的报文而死机

5、6、7、8口分别为4个光口，4个电口，比如5口的电口被占用了，那么后边的5口光口就不能用了

防火墙的MGMT口默认地址192.168.0.1，通过这个地址可以直接访问防火墙的web界面
默认用户名：admin，密码：Admin@123

创建USG虚拟机防火墙：
创建新的虚拟机

选择自定义，下一步

兼容性选择15版本

稍后安装操作系统

直接下一步

完成

另外添加几块网卡



1安装

2重启

更改密码后一直报错

解决报错：先关闭虚拟机

找到虚拟机文件中的USG6000v.vmx，用记事本打开，将网卡中的信息从e1000改为vmxnet3

再次打开虚拟机，错误解决，修改密码，原密码Admin@123，新密码为Admin@12345

默认管理口放行了这几个协议

防火墙划分区域：
firewall zone trust
add interface g0/0/1