安全防御之防火墙篇（一）

一.什么是防火墙？

二.状态防火墙的工作原理？

三.防火墙实验

实验1：接口模式

实验2：安全策略

编辑实验拓扑如上：

实验步骤：

防火墙配置：

一.什么是防火墙？

防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

目前使用的防火墙就是一种防护设备，路由器和交换机在整个网络系统中主要是一个连通作用，属于连通性设备，防火墙属于防护性设备。

防火墙主要用来隔离授权用户和非授权用户，并过滤掉对受保护网络有害的流量或者数据包。

防火墙会根据安全等级划分不同的区域，在华为设备中安全区域分为turst区，untrust区，dmz区（安全区域也可自己在设备上创建）。

目前使用的防火墙叫“下一代防火墙”是“状态防火墙”和“UTM---深度包检测技术”，“IPS---入侵检测”等技术的结合体，检查的范围已经触及到网络层，传输层和应用层，检查的颗粒度已经大大降低，防护效果更好，实现了“1+1>2的效果”。

二.状态防火墙的工作原理？

状态防火墙----会话追踪技术，主要检查的是三层和四层的数据流量。

在ACL的基础上增加"session表"，数据包需要查看会话表来匹配（仅首包需要查看策略表）。

会话表：会话表使用hash算法来处理定长值，使用类似于交换机的处理芯片“CAM”处理，处理速度与交换机的处理速度相差不大。

优点：

首包机制
细颗粒度
速度快

状态防火墙的工作过程：
当一台主机去访问服务器的时候，第一个数据包文来到防火墙后，防火墙会先检查session表（由于是第一个报文还没有建立会话表），所以直接去匹配策略表，当命中某条策略后，会直接建立会话表。当后面所有数据报文来到防火墙之后，都不再查看策略表，而是匹配会话表直接转发。----------会话表中匹配本次会话的所有数据报文，并非只匹配一个报文。

整个过程又叫首包机制，期间共有两张表----策略表，会话表

三.防火墙实验

实验1：接口模式

拓扑图

1.路由

2.交换----将两台设备IP修改在同一网段

3.接口对------转发速度较交换机快，因为不需要查MAC地址表

实验2：安全策略

实验拓扑如上：

实验步骤：

通过Cloud设备将USG6000V防火墙与真实物理机相连通
通过浏览器登录防火墙
在防火墙上创建安全区域，将对应接口划入安全区域(根据要求选择接口的工作状态---路由，交换，旁路，接口对)
配置安全策略和路由
测试

防火墙配置：

1.通过浏览器登录USG6000V

2.创建安全区域

3.接口划入安全区域

由于右侧所连接的交换机需要做接口聚合

4.配置安全策略

5.配置路由

查看路由表

6.测试