防火墙的基本运用

1.什么是防火墙？

        防火墙也称为防护墙，简单来说就是位于内部网络与外部网络之间的网络安全系统。这是一项信息安全的防护系统，依照特定的规则，允许或者限制传输的数据通过。

        在网络中，防火墙过滤的就是承载通讯数据的通讯包。实际上是一种隔离技术。

        总的来说，防火墙就是一种（非授权用户在区域间）并且检查过滤（对受保护网络有害的流量或者数据包）的设备。

2.状态防火墙的工作原理？

        状态防火墙使用各种会话表来追踪TCP会话和UDP伪会话，由访问控制列表决定建立哪些会话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接，以对UDP连接过程进行状态监控的会话。

                   状态防火墙使用的是会话追踪技术   ----处于网络层和传输层之间

                                在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。会话表可以用hash算法处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。

                                             首包机制

                                             颗粒度细

                                             速度快

                       UTM---深度包检查技术---应用层

                               把应用网关和ISP设备在状态防火墙的基础上进行整合和统一。

                                        把原来分散的设备进行统一管理，有利于节约资金和学习成本。

                                        统一有利于各设备之间的协作。

                                        设备负荷较大并且检查也是逐个功能模块来进行的，（在一个大的框架下，同样是分开的）速度慢。     

          

         防火墙的基本原理：

                        包过滤：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。

                                                同时包过滤防火墙使用的是访问控制列表技术，其优点是简单、速                                           度快，但是检查的颗粒度“粗”

                        应用代理：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。

                        状态检测：工作在数据链路层和传输层之间，访问控制方式与包过滤差不多，但是处理对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。

                        完全内容检测：工作在数据链路层和应用层之间，不仅要分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。

3.防火墙如何处理双通道协议？

       “对于多通道协议比如FTP、VOIP等协议，通道是随机协商出来的，防火墙不能设置策略也无法形成会话表”。

        解决的办法：

                  使用ASPF技术，查看协商端口号，并且动态建立server-map表放过协商通道的数据；

      ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息，并且根据应用层信息放开相应的访问规则，开起ASPF功能后，防火墙通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的server-map表，用于放行后续建立通道的报文，相当于创建了一条精细的“安全策略”。

                       

4.防火墙如何处理地址转换nat？

         NAT技术的基本原理：

                NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使得大量的私网IP地址通过共享少量的公网IP地址来访问公网。

                NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程，一般的NAT转换设备都是维护这一张地址转换表，所有经过NAT的设备（处于内部网络和外部网络的连接处，常见的设备有：路由器、防火墙等）并且需要进行地址转换的报文，都会通过这个表做相应的修改，地址转换的机制分为两个部分。

                        1.内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。

                        2.外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。

             源NAT地址池方式：        

                        不带端口转换的地址池方式（no-pat）

                                通过配置NAT地址池来实现，NAT地址池中可以包含多个公网地址，转换时只转换地址，不转换端口，实现私网地址到公网地址一对一转换。如果地址池中的地址已经全部分配出去了，则剩余内网主机访问外网是不会进行NAT转换，直到地址池中有空闲地址时才会进行NAT转换。                

                        带端口转换的地址池方式（pat）

                                 通过配置NAT地址池来实现，NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口，即可实现多个私网地址共用一个或者多个公网地址的需求（多对一） 由于在地址转换的同时还要进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，防火墙根据端口区分不同的用户。

          总结：   不带端口：实现一对一的IP地址转换，端口不进行转换。
                       带端口：将不同内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。

            easy ip （出接口地址方式）

                        直接使用接口的公网地址作为转换后的地址，不需要配置的NAT地址池，转换时同时转换地址和端口，即可实现多个私网地址共用外网接口的公网地址的需求。（多对一）

            NAT      ALG(应用级网关)

                        特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换。 

5.有哪些防火墙，以及防火墙的 技术的分类。

       常见的有：

                                HiSecEngine USG12000系列AI防火墙

                                HiSecEngine USG6600E系列AI防火墙(盒式)                

        分类：

         1、软、硬件形式分类：软件防火墙、硬件防火墙、芯片级防火墙。

         2、防火墙技术分类：包过滤型防火墙、应用代理型防火墙 。

         3、防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。

         4、防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。

         5、防火墙性能分类：百兆级防火墙、千兆级防火墙。

         6、防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙。
       
  

附带实验：

路由问题比较简单：

R2：172.16.2.2        再加一条缺省指到 交换机上        再从sw2交换机上指一条缺省到防火墙上即可

在防火墙上写一条回城路由到R2，下一跳到172.16.1.2上

然后就是R1写一条缺省指到 防火墙上即可

先组建拓扑图，再配好路由，对于各个区域进行分配好资源