第二章 防火墙基础技术

目标 学完本课程后，您将能够: 了解防火墙的定义和分类 理解防火墙的主要功能和技术 理解防火墙的转发数据流和基本配置

目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置

防火墙概述 防火墙特征： 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 内网 未经防火墙流量可防护吗？ 被入侵 防火墙 路由器

防火墙分类 按照形态分为 按照保护对象分为 按照访问控制方式分为 硬件防火墙 软件防火墙 单机防火墙 网络防火墙 包过滤防火墙 代理防火墙 状态检测防火墙

防火墙硬件平台分类 多核 NP ASIC Intel X86 防 火 墙 硬 件 平 台 新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。 NP 网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案 ASIC 硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能 Intel X86 适用于百兆网络，受CPU处理能力和PCI总线速度的限制 防 火 墙 硬 件 平 台

防火墙分类 — 包过滤防火墙 IP TCP APP 1.无法关联数据包之间关系 2.无法适应多通道协议 3.通常不检查应用层数据 TCP层 只检测报头 数据链路层 数据链路层 IP TCP APP

防火墙分类 — 代理防火墙 1.处理速度慢 2.升级困难 外网终端 代理防火墙 内网Server 发送连接请求 对请求进行安全检查，不通过则阻断连接 通过检查后与Client建立连接 通过检查后与Server建立连接 向防火墙发送报文A 向Server发送报文A’ 向防火墙发送回应报文B 向终端发送回应报文B’

防火墙分类 — 状态检测防火墙 10.0.0.1 TCP SYN 20.0.0.1 10.0.0.1 TCP ACK’ 20.0.0.1 Server 20.0.0.1 Host 10.0.0.1 10.0.0.1 TCP SYN 20.0.0.1 10.0.0.1 TCP ACK’ 20.0.0.1 10.0.0.1 TCP ACK TCP SYN 20.0.0.1 20.0.0.1 TCP ACK TCP SYN’ 10.0.0.1 安全策略检查 记录会话信息 状态错误，丢弃 1.处理后续包速度快 2.安全性高

目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置

防火墙工作模式 路由模式：每接口均有IP地址； 路由模式 透明模式：每接口无IP地址； 混合模式：部分接口有IP地址； 防火墙 工作模式 透

防火墙工作模式—透明模式 透明模式特点 对网络拓扑透明 不需要更改组网 Internet 192.168.10.1/30 Untrust 192.168.10.2/30

防火墙工作模式—路由模式 路由模式特点 支持更多安全特性 对网络拓扑有所影响 Internet 192.168.10.1/30 Untrust 192.168.10.129/30 192.168.10.5/30 Trust 192.168.10.133/30

目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置

防火墙安全区域分类 ISP A ISP B 缺省安全区域 用户自定义安全区域 非受信区域Untrust 非军事化区域DMZ Local区域呢？ 防火墙安全区域分类 缺省安全区域 非受信区域Untrust 非军事化区域DMZ 受信区域Trust 本地区域Local ISP A ISP B Untrust 邮件服务器 Web服务器 DMZ 用户自定义安全区域 User Zone 1 User Zone 2 财务服务器 ERP数据服务器 OA服务器 用户终端 Trust 企业内网

G0/0/0Trust区域 G0/0/1Trust区域 防火墙安全区域与接口关系 安全区域与接口关系 防火墙是否存在两个具有完全相同安全级别的安全区域？ 防火墙是否允许同一物理接口分属于两个不同的安全区域？ 防火墙的不同接口是否可以属于同一个安全区域？ Internet G0/0/3Untrust区域 G0/0/2DMZ区域 G0/0/0Trust区域 G0/0/1Trust区域

防火墙安全区域的方向 Inbound与Outbound定义 什么是Inbound? 什么是Outbound？ Outbound Untrust区域 低 优 先 级 Internet Trust区域 高 优 先 级 企业内网 Inbound

目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置

防火墙多业务功能 交换 路由 安全 统一管理 UTM WLAN/WWAN FE, GE VLAN Trunk,802.1ad 静态路由 策略路由 RIPv2 OSPFv2 BGPv4 ACL NAT VPN:L2TP/GRE/IPSec/SSL/ MPLS P2P/IM UTM 统一管理 UTM SNMPv2v3 RMON TR069 Telnet/SSL/HTTP(s) FTP/TFTP SYSLOG AV IPS 反垃圾邮件 URL过滤 WiFi 802.11bg PPP PPPoE ADSL2+ HDLC 3G WLAN/WWAN

防火墙主要功能 — 访问控制 IP TCP MAC 策略 身份检查 访问控制 识别报头标识，给出执行措施 身份标识 主体属性 主体操作 数据载荷 IP TCP MAC 策略 身份检查 主机A 服务器 访问控制 身份标识 主体属性 主体操作

防火墙基本功能—深度检测技术 基于特征字的识别技术 基于应用层网关识别技术 基于行为模式识别技术

什么是DPI 传统网络设备基于五元组：源、目标地址，协议类型，源、目的端口号 源地址 目的地址 源端口 目的端口 数据/语音/视频/病毒/攻击…… 四层及以下的感知 应用层感知 IP载荷 包头 DPI 全称为“Deep Packet Inspection”，称为“深度包检测”，是以业务流的连接为对象，深入分析业务的高层协议内容，结合数据包的深度特征值检测和协议行为的分析，以达到应用层网络协议识别为目的的技术。 所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测”仅分析IP包的层4 以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测除了对前面的层次分析外，还增加了应用层分析，从原来的二到四层（数据链路层-传输层）覆盖到了第七层，强化了传统的数据包检测技术SPI的深度和精确度，能够识别各种应用及其内容，是对传统数据流检测技术的延伸和加强。

特征字识别 端口号是可以隐藏的，但目前较难以隐藏应用层的协议特征。 特征识别：是指检测引擎将数据包载荷中的数据与预先定义的应用层协议特征进行对比，以判定数据传输的真实网络应用； 以熟知的BT为例，其Handshake的协议特征字为“BitTorrent Protocol”，如果IP包的数据区包含BT对等协议的特征“BitTorrent protocol”，那么可以标识这是一个BT 流； 端口检测 BT客户端 端口范围 贪婪ABC 可以手工设置 BitComet 没有公开 BitTorrent Plus BitTorrent 6881～6889 比特精灵Bit Spirit 16881 特征字检测

异常检测技术(Anomaly Detection)：指根据使用者的行为或资源使用状况来判断是否发生异常行为，而不依赖于具体行为是否出现来检测； 对于网络上的攻击行为，并不是其数据报文本身具有特性，而是整个上网行为有特征； 通过异常检测技术，识别攻击、病毒和木马等异常流量。 行为分析技术 ACK值 固定 目的端口 随机 TCP flag值 固定 TCP攻击模式 源端口 随机 IP包长度 固定

用户行为分析 正常用户 园区网 异常用户 服务器群 网管平台 安全管理平台 ISAM Internet 交换机＋DPI 流量信息 …… 报文监控 流量行为分析 通过后台分析系统的数据挖掘，能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的个性化特征信息。 通过对用户的个性化信息的统计，能够及时和准确的调整业务运营方式、业务运营内容、或者发现新的业务增长点等。

SACG联动技术 认证后域 Agent：客户端代理 SACG：安全接入控制网关(防火墙) SM: 管理服务器 SC: 控制服务器 认证前域 分支机构 Agent Agent Agent VPN 访问 认证后域 Agent SACG UCL：帐号ACL Agent Agent：客户端代理 SACG：安全接入控制网关(防火墙) SM: 管理服务器 SC: 控制服务器 SM SC 安全审计员 SRS SPS 域管理 服务器 防病毒服务器 安全管理员 补丁服务器 认证前域

可靠性1 — 双机热备 USG（主） UNTRUST域 TRUST域 服务器 服务器 外部网络 内部网络 202. 10.0.0/24 PC PC PC UNTRUST域 TRUST域 服务器 服务器 外部网络 202. 10.0.0/24 内部网络 10.110.1.0/24 VRRP：提供冗余备份功能 VGMP：统一设备上所有接口的主备状态 HRP：同步防火墙之间会话信息即配置信息 USG（从）

可靠性 2 — IP LINK X IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括： 应用在静态路由中 运营商A X 运营商B IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括： 应用在静态路由中 应用在双机热备份中

QoS技术 端到端的流量控制 接收报文 分类与标记 拥塞监管 拥塞管理 带宽保证 提供业务质量保障 提高客户服务满意程度 保证资源利用最大化，全面提升服务质量

防火墙日志审计 外部网络 企业内网 日志服务器 企业内网用户 可收集网络中所有通过该设备的日志 通过二进志日志格式实现高速日志流传输 配合eLog日志软件，可以为用户提供清晰网络访问记录，分析备查。

防火墙性能指标 — 吞吐量 吞吐量：防火墙能同时处理的最大数据量 有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率

防火墙性能指标 — 延时 定义：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况 Smartbits 6000B 最后一个比特进入 第一个比特输出 包需要在队列中被 检测后才可以转发 包到达延迟 定义：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况

防火墙性能指标 — 每秒新建连接数 定义：指每秒钟可以通过防火墙建立起来的完整TCP连接 该指标是用来衡量防火墙数据流的实时处理能力

防火墙性能指标 — 并发连接数 定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 该参数是用来衡量主机和服务器间能同时建立的最大连接数 并发连接 并发连接

目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置

VRP平台 1 2 3 实现统一的用户界面和管理界面。包括统一的实时操作系统内核、IP 软转发引擎、路由处理和配置管理平面。 实现网络接口层，屏蔽各产品链路层对于网络层的差异。

VRP命令行级别 网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。 参观级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。 监控级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。 配置级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用 管理级

VRP命令视图 系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。 命令视图的分类： 用户视图 <USG> 系统视图 [USG] 接口视图 [USG -Ethernet0/0/1 ] 协议视图 [USG -rip] ……

VRP在线帮助 键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。 <USG 5000> display ? 键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。 [USG 5000] interface ethernet ? <3-3> Slot number 键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。 <USG 5000> d? debugging delete dir display

VRP在线帮助（续） 输入命令的某个关键字的前几个字母，按下<TAB>键，可以显示出完整的关键字 暂停显示时键入<Ctrl+C> 停止显示和命令执行 暂停显示时键入空格键 继续显示下一屏信息 暂停显示时键入回车键 继续显示下一行信息

防火墙基本配置思路 三层接口 接口IP地址 根据组网需要 接口加入 安全区域 接口模式 二层接口 配置域间NAT 需要NAT NAT 配置路由 不需要NAT 报文转发 配置域间包过滤关系

配置接口模式 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令interface interface-type interface-number 步骤 3.1 执行命令ip address ip-address { mask | mask-length }，配置三层以太网接口。 步骤 3.2 执行命令portswitch，配置二层以太网接口。

配置安全区域 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name，创建安全区域，并进入相应安全区域视图。 步骤 3 执行命令set priority security-priority，配置安全区域的安全级别。 不必配置关键字name，直接进入安全区域视图 安全区域已经存在 安全区域不存在 需要配置关键字name，进入安全区域视图

将接口加入安全区域 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name，创建安全区域，并进入相应安全区域视图。 步骤 3 执行命令add interface interface-type interface-number，配置接口加入安全区域。

配置域间缺省包过滤规则 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令firewall packet-filter default { permit | deny } { { all | interzone zone1 zone2 } [ direction { inbound | outbound } ] }，配置域间缺省包过滤规则。 zone1与zone2有先后顺序吗 ？？？ 没有先后顺序。因为Inbound和Outbound的方向只与域的优先级有关

配置路由 配置静态路由，需要进行如下操作。 配置缺省路由，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole ]，增加一条静态路由。 配置缺省路由，需要进行如下操作。 步骤 2 执行命令ip route-static 0.0.0.0 { 0.0.0.0 | 0 } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole]，配置缺省路由。

AAA配置 防火墙在aaa试图下添加用户的配置方法如下： 步骤 1 执行命令aaa，进入AAA视图。 步骤 2   执行命令local-user user-name password { simple | cipher } password，创建用户并配置口令。

TELNET配置 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令user-interface [ user-interface-type ] user-interface-number [ ending-userinterface-number ]，进入用户界面视图。 步骤 3 执行命令idle-timeout minutes [ seconds ]，允许定时断开Telnet 连接。为了防止未授权用户的非法侵入，如果在一定时间内没有接收到终端用户的输入，则断开与用户的连接，终端用户缺省的定时断开时间为10 分钟。 备注：参照“AAA配置”添加telnet用户。

TELNET配置（续） telnet认证方式 密码认证 AAA认证 无认证 步骤 4 执行命令authentication-mode { aaa | none | password | local user username password password }。设置登录用户界面的验证方式。缺省情况下，验证方式为password 步骤 5 执行命令set authentication password { simple | cipher } password，设置本地验证的口令。当验证方式为password时需进行该命令的配置（可选）。 步骤 6 执行命令user privilege level level，配置从当前用户界面登录系统的用户所能访问的命令级别，默认级别是0（可选，当authentication-mode设置为aaa模式时，无需配置此步骤）。

WEB管理配置 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令web-manager [ security ] enable [ port port-number ]，启动Web 管理功能。 步骤 3 参照“AAA配置”添加WEB管理用户。 步骤 4 执行命令local-user user-name service-type web，配置用户的服务类型为WEB。 步骤 5 执行命令local-user user-name level 3，配置用户的级别，WEB用户的级别必须是最高级别，即级别3。

其他常见的基础配置 在用户视图下，执行命令save，保存当前配置。用户通过命令行接口可以修改防火墙当前配置，为了使当前配置能够作为防火墙下次上电时的起始配置，需要用save命令保存当前配置到默认存储设备中，形成配置文件。 在用户视图下，执行命令reset saved-configuration，擦除配置文件。配置文件被擦除后，防火墙下次上电将采用缺省的配置参数进行初始化。 在用户视图下，执行命令reboot命令，防火墙将重新启动，并将重启动作记录至日志中 执行命令startup system-software sysfile，配置下次启动时的系统软件文件名。

总结 防火墙的定义和分类 防火墙的主要功能和技术 防火墙的转发数据流和基本配置

思考题 状态检测防火墙与包过滤防火墙有哪些不同？ V100R005版本无防火墙工作模式配置？他主要通过什么方式来区分？ 安全区域与接口之间有哪些关系？ Inbound和Outbound在域间包过滤策略中有何不同？ 可靠性技术IP LINK与静态路由和双机热备整合后，有哪些优势？