1. 防火墙的意义：

墙，始于防，忠于守。从古至今，墙予人以安全之意。

（隔离安全风险，，从一个区域蔓延到哦里一个区域）

防火墙的主要职责在于：控制和防护----（完成该任务的是）---安全策略---防火墙可以根据安全策略来抓取流量，之后做出对应的动作。

2. 防火墙分类：

安性能分类：吞吐量---防火墙同一时间处理的数据流量

3. 防火墙的发展史：

3.1 包过滤

传统防火墙 (包过滤防火墙)---一个严格的规则表：

判断信息:数堵包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

工作范围: 网络层、传输层(3-4层)

和路由器的区别:

普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。

防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否“

技术应用:包过滤技术

优势:对于小型站点容易实现，处理速度快，价格便宜、

劣势:规则表很快会变得庞大复杂难运维，只能基于五元组

1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险

2，逐包经行进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

匹配规则:

1. 有允许规则: 是：
2. 有拒绝规则：否：
3. 五相关规则：否：
4. 末尾隐藏拒绝所有

        在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过，但是，在防火墙的安全策略中，为了保证安全，末尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的.

3.2 应用代理

传统防火墙(应用代理防火墙)---每个应用添加代理

判断信息:所有应用层的信息包

工作范围: 应用层(7层)

和包过滤防火墙的区别:

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务.

技术应用:应用代理技术

优势:检查了应用层的数据

劣势:检测效率低，配运维难度极高，可伸缩性差

1，因为需要防火墙进行先一步安全识别，所以，转发效率会降低(原来的三层握手就会变成6次握

2，可伸缩性差: 每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有开发，则无法进行代理。

3.3. 状态检测

传统防火墙 (状态检测防火墙)---首次检建立会话表

判断信息: IP地址、端口号、TCP标记

工作范围:数据链路层、网络层、传输层(2-4层)

和包过滤防火墙的区别:

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行

技术应用:状态检测技术

优势:主要检查3-4层能够保证效率，对TCP防御较好

劣势:应用层控制较弱，不检查数据区

3.4. 专用设备

3.4.1 入侵检测系统(IDS)

入侵检测系统IDS)---网络摄像头（专用设备）

部署方式:旁路部署，可多点部署

工作范围:2-7层（主要检测七层）

工作特点:根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的:传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情

分析方式:

1、基于规则入检测

2、基于异常情况检测;

3、统计模型分析呈现

IDS--- 一种侧重于风险管理的安全机制 --- 滞后性

旁路部署：

3.4.2 入侵防御系统(IPS)

入侵防御系统(IPS)抵御2-7层已知威胁（专用设备）

部署方式:串联部署

工作范围:2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则)，对于识别为流量的阻断，对于未识别的放通（特征库）

目的:IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

3.4.3 防病毒网关 (AV)

防病毒网关 (AV)-基于网络侧识别病毒文件（专用设备）

判断信息:数据包

工作范围:2-7层

目的:防止病毒文件通过外网络进入到内网环境

和防火墙的区别:

3.4.4 Web应用防火墙 (WAF)

Web应用防火墙 (WAF)-专门用来保护web应用（专用设备）

判断信息: http协议数据的request和response

工作范围:应用层(7层)

目的:防止基于应用层的攻击影响Web应用系统

主要技术原理:

1. 代理服务:会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
2. 特征识别:通过正则表达式的特征库进行特征识别
3. 算法识别: 针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

       因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护，则设备维 护成本大大提高，所有设备都需要对流量进行检测，所以，效率很

3.5. 统一威胁管理 (UTM)

统一威胁管理 (UTM)-多合一安全网关

包含功能: FW、IDS、IPS、AV

工作范围:2-7层(但是不具备web应用防护能力)

目的:将多种安全问题通过一台设备解决

优点:功能多合一有效降低了硬件成本、人力成本、时间成本

缺点:模块串联检测效率低，性能消耗大

 在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低

3.6. 下一代防火墙 (NGFW)

下一代防火墙 (NGFW)---升级版的UTM

包含功能: FW、IDS、IPS、AV、WAF

工作范围:2-7层

和UTM的区别:

        与UTM相比增加的web应用防护功能;

        UTM是串行处理机制，NGFW是并行处理机制:

        NGFW的性能更强，管理更高效

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有 功能模块都可以做出对应的处理。大大提高了工作效率。

4. 防火墙的其他功能：

1. 防火墙的控制 

带内管理 --- 通过网络环境对设备进行控制 --- telnet，ssh，web --- 登录设备和被登录设备间网络需要联通

设备登录管理组网-Web/SSH/Telnet
        直接相连(通过局域网)

带外管理 --- console线，mini usb线
        设备登录管理组网-Console

         华为防火墙的MGMT接口 (G0/0/0) 出厂时默认配置的有IP地址: 192.168.0.1/24并且该接口默认开启了DHCP和web登录的功能，方便进行web管理

用户名：admin

密码：Admin@123         修改为Admin@321

命令：   [USG6000V1-GigabitEthernet0/0/0]service-manage all permit

                                                                                        # 开启管理口登陆服务

5. 防火墙的管理员

本地认证 --- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行判断，如果通过验证，则成功登录。

服务器认证 ---和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。

服务器/本地认证---优先使用服务器认证，如果服务器认证失败，则也不进行本地认证。只有在服务器对接不上的时候，采用本地认证

信任主机 #1 --- 可以添加一个地址或者网段，则其含义是只有在该地址活着地址段内，可以登录管理设备---最多可以添加10条信息

6. 防火墙的组网：

物理接口

二层口 --- 不能配IP

• 普通的二层口
• 接口对  --- “透明网线” ---可以将两个接口绑定成为接口对，如果流量从一个接口进入，则必定从另一个接口出去，不需要查看Mac地址表。  ---其实一个接口也可以做接口对，从该接口进再从该接口出
• 旁路检测接口---主要用于防火墙的旁路部署，用于接收镜像口的流量。

三层口 --- 可以配IP

虚拟接口

• 换回接口
• 子接口
• 链路聚合
• 隧道接口。。。

Bypass --- 4个千兆口其实是两队bypass口。如果设备故障，则两个接口直通，保证流量不终断

虚拟系统 --- VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响，需要通过接口区分虚拟系统的范围

高于安全策略

三层交换机，从二层切换到三层：

[Huawei-GigabitEthernet0/0/1]undo  portswitch     （portswitch三层切换二层）     

接口对默认为trunk链路:

         不同的虚拟空间之间通信使用的虚拟接口，只需要配置IP地址即可。新创建一个虚拟系统会自生成一个虚拟的接口。

7. 安全区域（四个）

Trust --- 一般企业内网会被规划在trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区域。

Local--- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的，凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz --- 非军事化管理区域 ---这个区域主要是为内网的服务器所设定的区域，这些服务器本身在内网，但但是需要对外提供服务。他们相当于处于内网和外网之间的区域。这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向 (outbound)

                # 或者 流量从优先级低的区域到高的区域 --- 入方向 (inbound)

路由模式:

1，接口，区域配置完成，并且做安全策略

2，内网配置回包路由

3，是否需要配置服务器映射

4，配置内网访问外网的NAT

5，针对内外网的安全策略

透明模式:

旁路模式

混合模式