二、防御保护---防火墙基础知识篇

一、什么是防火墙

墙，始于防，忠于守。自古至今，墙予人以安全之意。

防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。

引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

那么，用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的主要职责在于：控制和防护 — 安全策略
防火墙可以根据安全策略来抓取流量之后做出对应的动作。

二、防火墙的发展史

与人类的进化史相似，防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中，网络技术的不断发展，新需求的不断提出，推动着防火墙向前发展演进。

1.包过滤防火墙(一个严格的规则表)

1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险
2，逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。
在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

2.应用代理防火墙(每个应用添加代理)

1，因为需要防火墙进行先一步安全识别，所以，转发效率会降低（原来的三层握手就会变成6次握手）
2，可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有开发，则无法进行代理。

3.状态检测防火墙(首次检查建立会话表)

“会话表技术” — 首包检测

3.入侵检测系统(IDS)-----网络摄像头

IDS — 一种侧重于风险管理的安全机制 — 滞后性

4.入侵防御系统(IPS)-----抵御2-7层已知威胁

5.防病毒网关(AV)-----基于网络测识别病毒文件

6.Web应用防火墙(WAF)-----专门用来保护web应用

6.统一威胁管理(UTM)-----多合一安全网关

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低。

7.下一代防火墙(NGFW)-----升级版的UTM

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有功能模块都可以做出对应的处理。大大提高了工作效率。

从防火墙的发展历史中我们可以看到以下三个最主要的特点：

• 第一点是访问控制越来越精确。从最初的简单访问控制，到基于会话的访问控制，再到下一代防火墙上基于应用、用户和内容来做访问控制，都是为了实现更有效更精确地访问控制。
• 第二点是防护能力越来越强。从早期的隔离功能，到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能，防护手段越来越多，防护的范围也越来越广。
• 第三点是性能越来越高。随着网络中业务流量爆炸式增长，对性能的需求也越来越高，各个防火墙厂商通过对硬件和软件架构的不断改进，使防火墙的处理性能与业务流量相匹配。

三、防火墙的控制

1.带内管理

通过网络环境对设备进行控制 — telnet，ssh，web
登录设备和被登录设备之间网络需要联通

2.带外管理

console线，mini usb线

华为防火墙的MGMT接口（G0/0/0）出厂时默认配置的有IP地址：192.168.0.1/24，并且该接口默认开启了DHCP和web登录的功能，方便进行web管理。

防火墙默认登录账号密码：admin/Admin@123
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

三、防火墙的安全区域

防火墙上引入了一个重要的概念：安全区域（Security Zone），简称为区域（Zone）。安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查1。

我们都知道，防火墙通过接口来连接网络，将接口划分到安全区域后，通过接口就把安全区域和网络关联起来。通常说某个安全区域，就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。

Trust区域— 该区域内网络的受信任程度高，一般企业内网会被规划在trust区域中
Untrust区域— 一般公网区域被规划在untrust区域中
Local区域 — 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的，凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz区域 — 非军事化管理区域 — 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 — 1 - 100 — 越大越优
流量从优先级高的区域到优先级低的区域 — 出方向（outbound）
流量从优先级低的区域到高的区域 — 入方向（inbound）

默认情况下，报文在不同的安全区域之间流动时，才会触发安全检查，在同一个安全区域中流动时，不会触发安全检查。同时，华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查，更加灵活实用。