你好!大家好，我来告诉大家最新情况。过来把小板凳拿来，敲黑板。

防火墙是连接内网和外网的一道屏障，它可以根据系统管理员预先定义的规则控制数据包的进出。防火墙是系统的第一道防线，它的作用是防止非法用户的进入。

在本期中，我们将对防火墙的配置进行总结，非常全面。以华为为例。

防火墙的相关知识

1什么是 防火墙？

防火墙是实现网络间访问控制策略的一个系统或一组系统。真正的防火墙的实际形式各不相同，但原则上，防火墙可以被认为是一对机制：一个阻止流量，另一个允许流量通过。一些防火墙专注于阻止流量，而另一些则专注于允许流量通过。了解防火墙最重要的概念可能是它实现了访问控制策略。如果您不确切地知道需要允许或拒绝什么样的访问，您可以让其他人或某些产品按照他或她认为应该做的方式配置防火墙，然后他或她将为您的组织开发一个总体访问策略。

像任何一个社会一样，互联网也被一些无聊的人所困扰，他们喜欢在网上做一些事情，比如在别人的墙上喷漆，撞倒别人的邮箱，或者坐在街上按喇叭。有些人试图在互联网上完成一些实际工作，而另一些人则有敏感或专有数据需要保护。一般来说，防火墙的目的是将无聊的人排除在您的网络之外，同时仍然允许您完成工作。许多传统风格的企业和数据中心都有必须遵循的计算机安全策略和实践。如果公司的安全策略规定必须保护数据，那么防火墙就更重要了，因为它是公司安全策略的体现。如果你的公司是一家大型企业，连接到因特网的最困难的工作通常不是所需的费用或工作，而是说服管理层上网是安全的。防火墙不仅提供真正的安全性，而且在将安全覆盖于管理之上方面发挥着重要作用。最后，防火墙可以扮演企业到Internet的“大使”的角色。许多企业将其防火墙系统用作保存有关其产品和服务、下载文件、错误修复和其他文件的公共信息的场所。其中一些系统已经成为互联网服务体系结构的重要组成部分(例如，UUnet.uu.net, whitehouse.gov, gatekeper.dec.com)，并为其赞助商提供了良好的服务。

当前位置有些防火墙只允许电子邮件通过，从而保护网络不受电子邮件服务攻击以外的任何攻击。其他防火墙提供不那么严格的保护，并阻止已知有问题的服务。通常，防火墙的配置是为了防止来自“外部”世界的未经授权的交互式登录。这对于防止恶意破坏者登录您网络中的计算机有很大帮助。一些更复杂的防火墙阻止来自外部的流量进入，但允许内部用户自由地与外部世界通信。如果您禁用防火墙，它可以保护您免受网络上任何类型的攻击。防火墙的另一个非常重要的特性是能够提供一个单一的“阻塞点”，在这个“阻塞点”上可以设置安全性和审计检查。与使用调制解调器拨号的人攻击计算机系统不同，防火墙可以作为有效的“电话窃听”和跟踪工具。防火墙提供了重要的记录和审计功能；它们通常可以为管理员提供情况概要，提供关于通过防火墙的流量的类型和数量，以及有多少次尝试进入防火墙的信息。

2为何需要防火墙？

防火墙无法防御未通过防火墙的攻击。很多已经接入互联网的企业都非常关心企业专用数据通过接入路由的数据泄露问题。不幸的是，对于这些人来说，磁带可能是泄露数据的有效方式。许多组织的管理层非常害怕互联网接入，以至于他们没有一致的政策来保护通过调制解调器的拨号访问。当你住在一间木屋里，却装了一扇6英尺厚的铁门，这被认为是愚蠢的。然而，有许多组织购买了昂贵的防火墙，却忽视了进入其网络的其他后门。要使防火墙发挥作用，它们必须成为整个组织安全体系结构中不可分割的一部分。防火墙策略必须切合实际，能反映整个网络的安全水平。例如，保存超级机密或机密数据的站点根本不需要防火墙：首先，它根本不应该连接到Internet，或者保存真正机密数据的系统应该与企业网络的其余部分隔离。防火墙并不能真正保护您的另一个危险是网络中的叛变者或白痴。虽然工业间谍可以通过防火墙传输信息，但他更有可能使用电话、传真机或软盘。软盘比防火墙更有可能成为泄露组织秘密的媒介!防火墙也不能保护你免受愚蠢行为的伤害。在电话中泄露敏感信息的用户是社会工程的好目标；如果攻击者可以在内部找到一个“有帮助的”员工，并诱使他进入调制解调器池，那么攻击者可能能够绕过防火墙，完全进入您的网络。

当前位置防火墙不能有效地抵御病毒等东西。在网络上传输二进制文件的编码太多了，结构和病毒也太多了，要全部找到是不可能的。换句话说，防火墙不能意识到用户的安全。简而言之，防火墙不能防止数据驱动的攻击：将某些内容发送或复制到内部主机，然后在内部主机上运行的攻击。这种攻击过去曾发生在不同版本的邮件传递程序、ghostscript和免费PostScript阅读器上。关注病毒的组织应在整个组织范围内采取病毒控制措施。与其试图将病毒挡在防火墙之外，不如确保每个易受攻击的桌面系统都安装了病毒扫描软件，在启动计算机时立即扫描病毒。使用病毒扫描软件保护您的网络将保护您免受通过软盘、调制解调器和互联网传播的病毒的侵害。试图将病毒排除在防火墙之外只能阻止来自Internet的病毒，而大多数病毒都是通过软盘传播的。然而，越来越多的防火墙厂商正在提供“病毒检测”防火墙。这样的防火墙只对那些交换Windows-on-Intel执行程序和恶意宏应用程序文件的经验不足的用户有用。不要指望这个特性能提供任何防御攻击的保护。

有许多基本的设计问题需要由负责防火墙设计、制定工程方案、实施或监督安装的幸运者来解决。首先，也是最重要的，它应该反映您的公司或组织打算如何运行系统的策略：安装防火墙以显式拒绝所有服务(除了那些对连接到网络至关重要的服务)，或者安装防火墙以无威胁的方式为“传入”访问(“排队”)提供计量和审计方法。这些选择有一定程度的偏执狂；防火墙的最终功能可能是管理决策，而不是工程决策。第二个问题是：您需要什么级别的监视、冗余和控制？通过解决第一个问题确定了可接受的风险水平(比如你有多偏执)之后，你就可以列出必须监控哪些传输、必须允许哪些传输库以及应该拒绝哪些传输的列表。换句话说，你从一个总体目标的列表开始，然后结合需求分析和风险评估，挑出始终与风险相对立的需求，并将它们添加到你计划完成的列表中。第三个问题是财政问题。在这里，我们只能模糊地讨论这个问题，但重要的是要尝试量化一个拟议的解决方案，即购买或实施它需要多少成本。例如，高端的完整防火墙可能需要10万美元，而低端的可能是免费的。免费的选择，比如在思科或类似的路由器上做一些花哨的配置，不会花费你任何东西，只需要员工时间和几杯咖啡。从头开始构建一个高端防火墙可能需要几个月的时间，相当于3万美元的员工工资和利润。系统管理开销也是一个需要考虑的问题。建立自己的防火墙很好，但重要的是建立不需要昂贵和持续干预的防火墙。换句话说，在评估防火墙时，重要的是不仅要根据当前成本来评估，还要根据后续成本(如支持服务)来评估。出于实际目的，我们讨论的是存在于网络服务提供商提供的路由器和内部网络之间的静态传输路由服务，因此需要基于以下事实做出一些技术决策。传输流路由服务可以在IP层通过路由器等过滤规则实现，也可以在应用层通过代理网关和服务实现。需要做出的决定是将暴露的简单机器放在外部网络上以运行telnet、ftp、news等代理服务，还是设置屏蔽路由器(如过滤器)以允许与一台或多台内部计算机通信。这两种方法各有优缺点。代理可以提供更高级别的审计和潜在的安全性，但代价是更高的配置成本和可能提供的较低级别的服务，因为需要为每个所需的服务开发代理。安逸与安全之间的平衡这个古老的问题再次困扰着我们。

目前，防火墙主要分为三种，包过滤、应用代理、状态监控

包过滤防火墙：目前市场上已经没有静态包过滤防火墙，取而代之的是动态包过滤防火墙技术。

代理防火墙：某些特殊报文，如SYN攻击、ICMP flood攻击等，很容易突破包过滤防火墙的保护。因此，代理服务器被用作数据转发通道，用于为用户保密或破坏访问权限。这是一种应用协议分析的新技术。

状态监控防火墙：在动态包过滤的基础上开发，增加了状态监控模块，对最近开发的会话进行功能控制，对会话状态的保留有时间限制。

1. 防火墙的工作模式

路由模式：当与网络相连的接口配置了IP地址时，防火墙工作在路由模式。

透明模式：华为防火墙与外部设备通过二层连接(接口上没有IP地址)时，防火墙工作在透明模式。

混合模式：如果华为防火墙的接口工作在路由模式(接口有IP地址)和透明模式(接口没有P地址)，则防火墙工作在混合模式。

2. 为华为防火墙创建安全区域

安全区域是一个或多个接口的集合。它是区别防火墙和路由器的主要特征。防火墙通过安全区域对网络进行划分，标识报文流经的路由。只有当报文在安全区域之间流动时才会触发安全检查。

缺省情况下，华为防火墙提供三个安全区域，分别为Trust、DMZ和Untrust。这三个安全区的名称很有意义。

Trust区域用于连接企业内网。优先级为85，安全级别为高。

DMZ区域在防火墙中定义为需要对外提供服务的网络。DMZ区域位于Trust区域和Untrust区域之间。优先级为50，安全级别为中

Untrust区域：通常定义外部网络。优先级为5，安全级别非常低。Untrust区域表示不受信任区域。

本地区域：防火墙本身已经定义。优先级为100。防火墙除了负责区域间的报文转发外，还负责接收或发送流量。

其他区域：用户自定义区域。缺省情况下，最多可自定义16个区域。自定义区域没有缺省优先级。

3防火墙可以防范什么？

防火墙有多种部署方式。每种部署方式适用于不同的应用场景。主要应用场景如下：

1. 部署透明模式

适用于用户不希望更改现有网络规划和配置的场景。透明模式下，防火墙不可见。不需要配置新的IP地址，仅使用防火墙进行安全控制。

2. 部署路由模式

适用于防火墙需要提供路由和NAT功能的场景。路由方式是指防火墙连接不同网段的网络，通常是内部网络和Internet，并为每个接口分配一个IP地址。

3.部署混合模式

如果防火墙中同时存在二层和三层接口，则防火墙为混合模式。

4. 旁路(Tap)部署

如果需要使用防火墙的监控、统计和入侵防御功能，请不要将防火墙直接接入网络，选择旁路模式。

3.入站和出站防火墙

入方向：数据从低安全区域到高安全区域的方向。出方向：数据从高安全区域到低安全区域的方向。

: 010 - 1010 1。Telnet管理模式和配置

(1)配置初始管理密码

(2)配置防火墙接口IP地址

(3)开启防火墙的Telnet功能

(4)配置防火墙，允许远程管理

(5)将接口GigabitEthernet0/0/0加入安全区域

(6)将接口加入安全区域

(7)配置防火墙进行包间过滤，保证网络通信正常

(8)配置认证方式和本地用户信息

(9)测试通过telnet登录防火墙。首次登录时需要修改密码，并重新使用新密码登录

4防火墙不能防范什么？

华为防御墙的管理口默认地址为192.168.0.1。由于我在这里使用的模拟器，我需要将地址更改为与物理机器地址相同的网段。

如图所示，GE0/0/0为防火墙的管理接口。2 .执行如下命令修改IP地址。

[USG6000V1]interface GigabitEthernet0/0/0 [USG6000V1-GigabitEthernet0/0/0] ip address 192.168.56.12 24[USG6000V1-GigabitEthernet0/0/0]接入https://192.168.56.12:8443。

5防火墙能否防止病毒的攻击？

6在防火墙设计中需要做哪些基本设计决策？

(1)使能内部pc1 ping外部主机

会话视图

(2)允许外部主机访问dmz内的ftp、http和ping

: 010 - 1010 1。NAT进行分类

(1) NAT No-PAT:类似Cisco动态转换，只转换源IP地址，不转换端口，属于多对多转换。(2) NAPT(网络地址和端口转换):与Cisco的PAT转换类似，NAPT同时转换数据包的源地址和源端口。转换后的地址不能为外网接口的IP地址。它属于多对多或多对一翻译。(3) Easy-IP:与NAPT一样，对源IP地址和源端口进行转换。不同的是，经过出接口地址转换后的IP地址只是NAT设备外网接口上配置的IP地址。(4) Smart NAT:预留一个公网地址用于NAPT转换，其他公网地址用于NAT No-PAT转换。(5)三元NAT:一种与源IP地址和端口以及协议类型相关的转换，将源IP地址和端口转换为固定的公网IP地址和端口。

2. 配置NAT

1 . NAT No-PAT地址转换

配置网络参数和路由

配置安全策略

配置NAT地址组

配置NAT策略

为转换后的全局地址(NAT地址组中的地址)配置黑洞路由

(2) easy-ip模式下的出接口地址转换。配置NAT策略

3.NAT Server

配置网络参数和路由

配置安全策略

滥用FTP应用层检测(默认开启)

配置NAT Server

配置黑洞路由

查看名称为“natpolicy”的NAT策略

华为防火墙配置

1配置双机热备

模式

(1)热备模式：同一时间只有一台防火墙转发数据包。其他防火墙不转发数据包，只同步会话表和Server-map表。(2)负载分担模式：多台防火墙同时转发数据，但每台防火墙都是其他防火墙的备用设备。即每台防火墙既是主用设备又是备用设备。防火墙之间会话表和Server map表同步。

将接口加入安全区域并配置安全策略

配置VRRP备份组

检查双机状态

检查心跳口状态

好了，今天的分享就到这里，感谢大家的关注，下次见!