防火墙基本原理

内容：

1. 什么是防火墙？
2. 状态防火墙工作原理？
3. 防火墙如何处理双通道协议？
4. 防火墙如何处理nat？
5. 你知道那些防火墙？以及防火墙的技术分类？

总结：

1.什么是防火墙？

 防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或数据包)的设备

 百度词条上防火墙是指一种将内部网和公众访问网分开的方法

 防火墙的区域：

                区域的划分，根据安全等级来划分(外，DMZ，内)

 2.状态防火墙工作原理？

状态防火墙：是一种能够提供状态封包检查或状态检视功能的防火墙

工作原理：在包过滤(ACL表)的基础上增加一个会话表，数据包需要查看会话表来实现匹配。

 状态会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。

• 首包机制
• 细颗粒度
• 速度快

 3. 防火墙如何处理双通道协议？

○ 单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口

○ 多通道协议：通信过程中需占用两个或两个以上端口的协议。如：FTP被动模式下需占用21号端口以及一个随机端口（FTP主动模式下是20和21号端口）

使用单纯的包过滤方法，如何精确定义（端口级别）多通道协议所使用的端口呢？遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。

防火墙处理双通道是使用ASPF技术，查看协商端口号并动态建立Server-map表放过协商通道的数据。

ASPF(针对应用层的包过滤)：也叫基于状态的报文过滤，ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过 检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据 通道的报文，相当于自动创建了一条精细的“安全策略”。

ASPF对多通道协议的支持：创建Server-map→匹配Server-map（存在时间很短）

Server Map的作用

○ Server-map是一种映射关系，当数据连接匹配了动态Server-map表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。（NAT Server、NAT No-PAT产生的Server-map需要查找安全策略）

○ 另一种情况，当数据连接匹配Server-map表，会对报文中IP和端口进行转换。

○ Server-map通常只是用检查某个报文，通道建立后的报文还是根据会话表来转发。

Server Map的产生：转发多通道协议；转发QQ/MSN、TFTP等STUN类型协议；NAT Server或SLB时；NAT No-PAT

4. 防火墙如何处理nat？

•  华为防火墙收到报文后，查找NAT Server生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤4处理，如果报文没有匹配到Server-Map表，则进行步骤2处理
• 查找基于ACL的目的NAT，如果报文符合匹配条件，则转换报文的目的地址，然后进行步骤4处理，如果报文不符合基于ACL的目的NAT的匹配条件，则进行步骤3处理
• 查找NAT策略中目的NAT，如果报文符合匹配条件，则转换报文的目的地址后进行路由处理，如果报文不符合目的NAT的匹配条件，则直接进行路由处理
• 根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤5处理，如果没有找到路由，则丢弃报文
• 查找安全策略，如果安全策略允许报文通过且之前并未匹配过NAT策略（目的NAT或者双向NAT），则进行步骤6处理，如果安全策略允许报文通过且之前匹配过双向NAT，则直接进行源地址转换，然后创建会话并进入步骤7处理，如果安全策略允许报文通过且之前匹配过目的NAT，则直接创建会话，然后进行步骤7处理，如果安全策略不允许报文通过，则丢弃报文
• 查找NAT策略中源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话，如果报文不符合源NAT的匹配条件，则直接创建会话
• 华为防火墙发送报文 
   

5. 你知道那些防火墙？以及防火墙的技术分类？

包过滤防火墙---访问控制列表技术---三层技术

• 简单、速度快
• 检查的颗粒度粗

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

• 代理技术只能针对特定的应用来实现，应用间不能通用。
• 技术复杂，速度慢
• 能防御应用层威胁，内容威胁

状态防火墙---会话追踪技术---三层、四层

                在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。 会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。

• 首包机制
• 细颗粒度
• 速度快

 UTM---深度包检查技术---应用层

把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。

• 把原来分散的设备进行统一管理，有利于节约资金和学习成本
• 统一有利于各设备之间协作。
• 设备负荷较大并且检查也是逐个功能模块来进行的，貌合神离，速度慢。

下一代防火墙 

             是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

相关实验：

实验拓扑：

 实验过程：

1.进入防火墙

云如何配置：首先增加一个UDP端口，再增加一个虚拟网卡的口，对两个口进行映射

2、进入防火墙，先使用原用户名和密码登录，第一次会强制修改密码

原用户名：admin

原密码：Admin@123

 

  3、给防火墙的g0/0/0接口配上地址(该接口默认有地址，为192.168.0.1)，再开启管理（因为使用的模拟器需要手动开启，真实设备默认开启）

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 169.254.11.1 24    
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
 

4、 进入浏览器输入我们在g0/0/0端口设置的IP加上8443端口号进入防火墙web页面

区域划分

1、首先我们查看默认的区域有哪些

 2、我们可以新建区域

 

3、我们给区域划分接口：将g1/0/0划分到trust区域

两种方式：一种直接划分，另一种在接口划分

 配置接口IP地址以及VLAN划分：省略

防火墙的地址配置：

  在防火墙上写一个回程路由 （ 回程路由：路由器将用户的报文发到外网，外网回应的报文到路由器后，路由器需要根据回程路由将报文再发给用户。）

防火墙策略1：设置内网能访问外网 

1）选中新建安全策略

2）新建地址组

 

  3）策略完成

4）当我们外网PING内网时，查看策略可以看见有一个命中数 

  PS：有一个命中数的原因：首包原则