防火墙原理与定义（一） @TOC

---

一、什么是防火墙

1)官方定义:防火墙，用于保护一个网络免受另一个网络的攻击和入侵行为，其本质是==控制==

2)网络安全市场，存在一种设备名为ISR,全称叫集成多业务路由器Router

3)现在市面上的防火墙，主要以以下几种形态存在 ： ①硬件防火墙(独立) ②防火墙模块(能够集成到支持的设备中) ③虚拟化防火墙，(基于软件层面实现的一种应用)

4)为何虚拟防火墙只是一个趋势，没有成为主流? ①虚拟防火墙性能和稳定性上的限制，目前硬件防火墙在这两点是优于虚拟防火墙的

二、防火墙发展历史

1)第一代，==包过滤防火墙== ①访问控制列表Access Control List 在Routing&Switching主要学习访问控制列表有两种 -标准访问控制列表，简单，高效，但是控制元素单一,只能基于IP -扩展访问控制列表，相对标准访问控制列表复杂，但是挖制元素更为丰富，例如基于源目IP地址，源目端口号，协议

2)第二代，==代理防火墙== ①类似于中间人(中介) ,能够代替请求发起者，向被请求者发送数据包 ②功能单一，性能有限，没有成为防火墙市场主流 ③目前，代理防火墙模型被用于SSL VPN中

3)第三代，==状态检测防火墙== ①什么是初始化流量? 整个沟通开始的第-个数据包，就是初始化流量，或叫首包流量 ②什么是状态化表项? 当首包穿越防火墙时，防火墙会记录该数据包的信息(例如源目IP地址、源目端口号、协议) 然后把以上信息存放到状态化表项 ③什么是状态检测技术? 此时，返回的流量，防火墙首先检查是否存在匹配该流量的状态化表项 如果有，则流量直接放行 如果没有，检查访问控制策略， 若访问控制策略放行，则流量可以转发 若访问控制策略没有放行，则流量直接被丢弃 ④状态检测防火墙是由哪一个安全厂商首推的概念? CheckPoint,国际防火墙排名第一的安全厂商

4)==下一代防火墙== ①现在安全厂商大力推荐的一个产品 ②下一代防火墙特征: 一个数据包，一条策略，包含所有检查项的执行 趋势:可视化 ③下一代防火墙是由哪一个安全厂商首推的概念? PaloAlto,国际防火墙排名第一的安全厂商

三、华为安全产品线

1)不同层次的防火墙，区别==在于性能，而不在于功能==

2)判断防火墙性能的优劣，不能看==单纯的吞吐量，推荐参看多协议多安全技术同时激活之后的吞吐量==

3)大部分安全厂商的高端防火墙都是==模块化防火墙==，例如华为的9500系列的USG/思科的9000系列的Firepower

4)生产环境里面，设备版本I0S,需要用==最稳定的==，而不是最新的! 5）华为的防火墙，==业务日志功能并非默认，而是通过选配日志硬盘，安装之后才支持日志功能== 6)目前华为安全产品线主要有以下: ①低端系列6100 ②中低端系列6300 ③高端系列9500

扩展：关于虚拟化的一些有名的厂商平台和技术 ①VMware -VM Workstation个人家庭 -VM vSphere企业版针对服务器 ②微软Hyper-v

扩展：光电复用模块 ①存在重复口序号的模块 ②相同序号的两个接口只能使用其中一个 ③常出现在广电符合接口模块

四、防火墙区域(Firewall zone)

1)公司需要依据“==网络可信度==”来划分区域 2)安全工程师基于不同的区域，可以通过防火墙部署不同的访问控制策略 3)华为防火墙认为，==同一个安全区域的流量是不存在风险的，直接通== 4)华为USG防火墙，默认情况下，存在四个区域: ①Untrus t外网 ②Trust 内网 ③DMZ 隔离区域/非军事化区域 大部分情况下，DMz区域用于存放提供对外访问设备 Untrust、Trust、 DMz三个区域工程师都能在防火墙执行配置和修改 ④Local 本地 Local区域无法执行配置和修改，且默认情况下，防火墙的所有接口都属于本地区域 ==默认情况下，所有抵达防火墙的流量都是被丢弃的，需要执行策略放行== 凡是防火墙主动发送的数据包，都认为从LOCAL区域发出

扩展:思科防火墙区域 1)思科ASA防火墙默认也存在四个区域 ①Inside 内网 ②Outside 外网 ③DMZ 同华为 ④Local 同华为 2)默认情况下，思科ASA防火墙的本地流量是通的，不需要放行，和华为规则相反 3)思科防火墙认为，==同一个安全区域的流量是存在风险的，默认不允许通，可以通过配置改为放行==

验证

==默认情况下，所有抵达防火墙的流量都是被丢弃的，需要执行策略放行==

HUAWEI防火墙默认：所有到他的流量都是被丢弃的

执行策略放行：管理口的ping包被permit

扩展:为何华为防火墙图形化界面登录的地址后面需要跟上8443端口号? 1)默认情况下，HTTPS使用TCP端口号443 2)因为华为防火墙出于两个原因的考虑 ①出于安全考虑，不使用默认的端口号，而是使用更改的端口号8443 ②为了避免与其它功能使用的端口号冲突，例如SSLVPN使用的端口号就是443

5)对于华为USG防火墙而言，新建的安全策略，是否立刻生效?答案:是 6)如果安全策略需要管理内容安全(UTM) 的相关策略，则该策略必须要提交才能生效 7)使用Console连接防火墙，有哪些注意点? 1)新买的console线， 需要先把驱动给安装好，避免到了现场没有网络无法正常使用 2)连接上设备后，前往计算机管理>设备管理器>端口，查找新显示的COM口 3)在连接工具上新建连接，以secureCRT为例: