0、防火墙组网模式

防火墙能够工作在三种模式下分别是路由模式、透明模式、旁路检测模式、混合模式

0.1、路由模式

路由模式：防火墙全部以第三层对外连接，即接口具有IP 地址。一般都用在防火墙是边界的场景下

防火墙需要的部署/配置：

1. 接口IP地址，区域划分
2. 写内网的回包路由
3. 安全策略
4. 由内到外的NAT
5. 服务器映射

0.2、透明模式

透明模式：防火墙都以二层对接（接口无IP 地址），只是让流量经过它而已，它对于子网用户和路由器来说是完全透明的，用户完全感觉不到防火墙的存在。

特点：可以避免改变拓扑结构造成的麻烦。就像放置一个交换机一样，不用修改其他设备的已有配置，与路由模式相同的是，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

防火墙需要的部署/配置：

1. 接口配置VLAN，划分区域
2. 安全策略
3. 增强设备的管理接口，用于控制管理设备和设备的自我升级

0.3、旁路检测模式

旁路检测模式：与核心设备进行连接，镜像复制核心设备的流量。可以检测传输的数据包，可以做上网管理行为，例如TCP协议中，可以伪装服务器给中断发一个rst标记位的数据包，形成中断（具有滞后性）

0.4、混合模式

混合模式：具有二层和三层的接口（某些接口具有IP 地址，某些接口无IP 地址），这种模式更加灵活，主要用于透明模式作双机备份的情况

---

 防火墙主要有以下七点功能：

以USG6000V防火墙为讲解，其管理页面为：

通过上图，我们可以将管理页面划分为6个子页面：面板页面、监控页面、策略页面、对象页面、网络页面和系统页面

初始账号：admin

初始密码：Admin@123

1、系统页面

1.1、管理员模块

 在系统页面中的管理员模块，我们可以看到有两大部分：

1. 管理员：实际的管理员账号
2. 管理员角色：为管理员定义的权限身份

1.1.1 管理员

点击“新建”，即可创建一个管理员账号（自选择身份）

本地认证：用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证：对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证：正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

信任主机：只有信任主机中的地址或者网段才能登录控制设备（最多可以添加10条信任主机，如果没有配置，则不做限制）

1.1.2 管理员角色

点击“新建”定义一个拥有自定义权限的身份

 2、网络页面

2.1、接口模块

2.1.1 接口模式和类型

在接口模块中，可以对防火墙的接口进行一个配置操作，其配置页面如下：

在接口修改页面中，我们可以看到四个模式和多个类型

它们又可分为物理接口和虚拟接口

物理接口：

1. 三层接口：可以配置IP地址
2. 二层接口：普通二层口、接口对，旁路检测接口

接口对：可相当于“透明网线”，可以将一个或多个接口配置称为接口对，则数据从一个接口进时，将不需要查看MAC地址表，而是直接从另一个接口出（当设备断电时，会直接将两个接口短接）

虚拟接口：

1. 环回接口
2. 子接口
3. Vlanif
4. Tunnel
5. 链路聚合

字母前的数字代表接口数量

GE：千兆以太网接口

XG：万兆以太网光接口

BYPASS：单位一般用“对”，两个BYPASS接口为一对。当设备断电时，会自动将两个接口缎短接，形成环路从而不影响网络。如4GE-BYPASS可理解为两对千兆BYPASS接口

2.1.2 接口虚拟系统VRF

虚拟系统的作用：将一个防火墙的硬件在逻辑上划分成多个防火墙系统，从而可以实现将一台设备当成多台设备来使用

在防火墙的接口列表中，Virtual-if0接口是虚拟系统互通使用的接口，每创建一个虚拟系统，会自动生成一个虚拟接口，仅需配置IP地址即可

2.1.3 接口默认网关

默认网关的作用的是自动生成一个指向该网关地址的缺省路由

2.1.4 接口启用访问管理

在启用访问管理这块，可以控制允许哪些协议访问

注意：“启动访问管理”的优先级高于安全策略，即如果安全策略未放通，但是如果这边启动了，则可以正常访问

2.2、接口对模块

接口对默认是trunk干道

2.3、安全区域模块

初始区域列表有四个：trust、untrust、local、dmz

trust：信任区域，一般放置内网

untrust：非信任区域，一般放置外网

local：防火墙上所有接口都属于接口

dmz：非军事化管理区域，介于管理严格和不严格之间，放置一些对外开放的区域

优先级：0-100

将接口划分到某个区域，代表的是将接口所连接的网络划分到该区域，而接口本身永远属于local

优先级的作用：定义方向

• 出方向（outbound）：从优先级高的区域到优先级低的区域
• 入方向（inbound）：从优先级低的区域到优先级高的区域

3、策略页面

3.1、安全策略

在安全策略列表中初始有一条测略，该策略不可被删除，只能修改其中的动作为“允许”或“拒绝”，即安全策略隐含一条拒绝所有的策略。

条件匹配中的所有匹配项为“与”关系，而匹配项中的多选项为“或”关系

        在传统的包过滤技术中，安全策略本质上就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，是逐包对比，效率较低。      

        而下一代防火墙（NGFW）的安全策略中，可以执行两块内容。第一块内容是访问控制，即允许或拒绝通过；第二块内容是在允许通过的情况下，可以进行内容的安全一体化检测。

        并且NGFW的安全策略涉及的维度更多

防火墙的状态检测和会话表技术：主要机制是以数据流为单位，仅针对首包进行检测，检测通过后会将数据包的特征记录在本地会话表中，在其老化时间内，数据流的其他数据包来到防火墙后不会再匹配安全策略，而是匹配会话表并根据会话表来进行转发。

所以我们在新建安全策略时，只需放行去时的流量，不用考虑后续回包。回包会根据去时的会话表记录转发回来

注意：为防止回来的信息是冒充的，所以回来的数据包需要符合协议定义的后续报文的要求，这就属于状态检测技术

例：HTTP协议中如果你发送了一个request请求，那么后续回来一定是response；TCP协议中发送的第一个数据包是SYN，则后续的数据包为ACK+SYN，光是一个ACK或SYN都是不符合定义的后续报文要求

会话表技术：提高转发效率的关键，其主要是采用老化机制

老化时间问题：

1. 会话表老化时间过长，会导致占用资源和一些会话（原会话/新会话）无法正常建立
2. 老化时间过短，会导致一些需要长时间发送一次的报文强行中断，影响正常业务

命令行查看会话表老化时间
<USG6000V1>display firewall session table

会话表技术还弥补了包过滤防火墙的一个安全缺陷，比如当我们进行安全策略时，以包过滤的角度来写就需要部署两条安全测略（来和去），但是回来的安全策略有一个严重的问题就就是回去的信息可能是存在欺骗的，即我可以去访问你的任何端口，包括3389、23、22、445等危险端口，防火墙根本拦截不了