防火墙学习笔记

5防火墙

一、防火墙基础

防火墙通常位于两个信任程度不同的网路间（如：企业内部和internet之间），可以对两个网络之间的通信进行控制，从而保护内部网络的安全。

防火墙特征：

1、逻辑区域过滤器

2、使用NAT技术可以隐藏内部的网络结构

3、自身的安全是有保障的

4、可以主动防御攻击

防火墙的组成：硬件+软件+控制策略

控制策略分为两种：

1、宽松的控制策略：除非明确禁止，否则就允许

2、限制的控制策略：除非明确允许，否则就禁止

按形态分类：硬件防火墙、软件防火墙

按保护对象分类：单机防火墙、网络防火墙

按防火墙的实现方式，分为三类：

1、包过滤防火墙：只检测数据的报头，缺点是：

a、无法关联数据包之间的关系

b、无法适应多通道协议（比如：VPN）

c、不检测应用层的数据

2、代理型防火墙：所有的数据包都要经过防火墙才能访问到server，访问速度很慢

3、状态检测防火墙：现在运用的防火墙主要都是状态检测防火墙

华为防火墙的工作模式：

1、路由模式：所有接口均有IP

2、透明模式：所有接口均无IP

3、混合模式：有的接口有IP，有的接口没有IP

防火墙的局限性：

1、防外不防内

2、不能防御全部的安全威胁，特别是新产生的危险

3、在提供深度监测功能和处理转发性能之间需要做平衡

4、当使用端到端的加密时，防火墙不能对加密的隧道进行处理

5、防火墙本身会存在一些瓶颈，如抗攻击能力，会话限制等

防火墙的区域和优先级：

1、local区域，优先级100

2、trust区域，优先级85

3、DMZ区域，优先级50

4、untrust区域，优先级5

这些防火墙内设区域的优先级和名字都是无法改变的，优先级低的区域不能访问优先级高的区域（思科），华为设备如果防火墙策略允许可以突破区域访问限制。

防火墙上的所有接口本身都属于local区域，如果把一个接口划分到了trust区域，是指该接口下的设备属于trust区域，接口本身永远属于local区域。

Inbound与Outbound定义：

高优先级的访问低优先级：Outbound，反之则是：Inbound

安全区域与接口的关系：

1、防火墙不允许存在两个具有完全相同安全级别（既优先级相同）的安全区域

2、防火墙不允许同一物理接口分属于两个不同的安全区域

3、防火墙的不同接口可以属于同一个安全区域

防火墙支持的功能：

路由器、交换机支持的功能，防火墙都支持

衡量防火墙好坏的指标：

1、吞吐量：防火墙能同时处理的最大数据量

有效吞吐量：除掉因TCP的丢包和超时重发的数据，实际每秒传输的有效速率

2、延时：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔，是用来衡量防火墙处理数据的速度的理想指标

3、每秒新建连接数：指每秒可以通过防火墙建立起来的完整的TCP链接数

4、并发连接数：指防火墙可以同时容纳的最大连接数目，一个连接就是一个TCP/UDP的访问防火墙实验拓扑图

以后章节所讲的内容都基于此图：

二、防火墙的基本配置

默认的情况下，防火墙是有一些配置的：

G0/0/0接口的IP地址为：192.168.0.1/24，配置了基于接口的DHCP，且G0/0/0默认属于trust

区域。在连接该端口的PC自动获取到IP后，就可以在浏览器中输入192.168.0.1对防火墙进行图形化的配置。但模拟器是不支持图形化配置的。

一旦对G0/0/0接口配置了其他IP地址，原来的默认配置将被覆盖，DHCP服务也将被删除。

display current-configuration显示当前设备的所有配置(交换机、路由器、防火墙通用)

划分防火墙的安全区域：

Firewall zone trust 进入到trust区域

Add interface g0/0/1将g0/0/1接口加入到trust区域

Firewall zone dmz 进入到DMZ区域

Add interface g0/0/2 将g0/0/2接口加入到DMZ区域

Firewall zone untrust 进入到untrust区域

Add interface g0/0/3将g0/0/3接口加入到untrust区域

安全区域间的过滤规则：

1、默认local到任何区域都是可以访问的

2、同一区域内的访问是允许的

3、其他区域间的访问要看区域间的过滤规则

Display firewall packet-filter default all显示防火墙区域间的过滤规则

Permit：允许deny：禁止

实验需求：trust中的设备可以访问DMZ，而DMZ中的设备不能访问trust

（Firewall packet-filter default permit all 全放行，将使防火墙失去过滤功能）

Firewall packet-filter default permit interzone trust dmz direction outbound [y]

允许trust和dmz之间的outbound访问，效果是：trust区域能访问DMZ区域

防火墙的会话表：

会话表中存在的项目，防火墙是不检测，直接放行的

Display firewall session table查看防火墙的会话表项

临时会话表项：当被允许的访问发生时，防火墙会产生临时的会话表项，使反向的数据包可以回来，以保证会话的正常进行。临时会话表项是有时效的，根据不同的协议临时会话表项的有效时间是不同的，比如ICMP协议的有效时间只有1~2秒，所以过滤规则允许的ping命令结束后，很快产生的临时会话表项就从会话表中消失了。

防火墙的基本管理：

开启防火墙的Telnet功能：

User-interface vty 0 4开启0~4的虚拟链路以允许5台终端可以Telnet到防火墙Authentication-mode password cipher 123以密码访问方式开启Telnet功能（密码为：123）

Authentication-mode aaa以aaa认证方式开启Telnet功能

aaa认证的默认账号为：admin 默认密码：Admin@123 (A为大写)

如何使用特定的用户账号了Telnent登陆防火墙：

aaa进入3a

local-user lewis password cipher 123在3a中创建一个用户账号：lewis 密码为：123

用户的权限问题：

级别范围：0-15

0：参观级别新建用户的默认级别

1：监控级别

2：配置级别

3-15：管理级别

提升用户权限的三种方法：

1、针对具体的账户来提升权限

aaa 进入3a

Local-user lewis level 3将用户lewis 的账号级别提升到管理级别

Undo local-user lewis level 取消对lewis账号的权限更改，恢复默认

2、针对局部账号来提升权限

Super password level 3 cipher Admin@456设定super的秘密为：Admin@456（super密码：必须包含大小写英文+符号+数字）

Super 3 [密码] 终端用super指令并输入密码，临时提升已登陆的账号权限等级到3级

3、设置虚拟链路的用户权限

User-interface vty 0 4进入0~4的虚拟链路

User privilege level 3设置虚拟链路的用户权限为等级3 ，设置后使用0~4虚拟链路登陆的任何账号都具有等级3的权限

Display user查看有哪些用户登录了防火墙

查看有哪些虚拟链路登录了防火墙Display user-interface

三、防火墙的过滤策略

区域内流量过滤：

实验要求：pc1不能访问pc2

可以采用ACL来做，但这里使用过滤策略来做

Policy zone trust进入trust区域的策略设置

Policy 1创建并进入策略1

Policy source 10.1.1.1 0.0.0.0（可简略写成：policy source 10.1.1.1 0）反掩码精确匹配源地址为：10.1.1.1

Policy destination 10.1.2.1 0反掩码精确匹配目标地址为：10.1.2.1

Action deny禁止通过（源地址为10.1.1.1且目标地址为10.1.2.1的访问被禁止）

区域间流量过滤：

实验要求：防火墙DMZ和untrust区域间默认过滤inbound deny，路由器AR1保持默认配置（untrust 区域模拟外网条件），配置网络使untrust区的client1能够ping通DMZ区的Server1服务器，并能访问服务器上的WEB和FTP资源。

第一步创建服务集

ip service-set toserver type object 创建一个名为“toserver”的服务器，类型为object

service 0 protocol icmp ping所使用的ICMP协议对应service 0

service 1 protocol tcp destination-port 80www所使用的tcp协议的80端口对应service 1 service 2 protocol tcp destination-port 21ftp所使用的tcp协议的21端口对应service 2

第二步开启策略

Policy interzone dmz untrust inbound进入dmz和untrust区域间inbound方向的策略设置

Policy 10创建序号为10的策略

Policy service service-set toserver把服务集toserver中的服务设置为当前策略的源

Policy destination 10.1.3.10 0设置当前策略的目标IP

Action permit允许满足策略条件（源、目的条件都满足）的数据包通过

第三步开启防火墙的ASPF（应用层的安全检查）技术（针对FTP的特殊处理）

Firewall interzone dmz untrust进入防火墙的dmz和untrust区域间设置

Detect ftp使用ASPF技术，检测到是ftp使用的就放行通过

第四步运用静态一对一技术映射服务器10.1.3.10为外网IP 202.1.1.3

Nat server global 202.1.1.3 inside 10.1.3.10

四、防火墙的NAT技术

数据包在传输的过程中，可以改变源或目的地址

静态NAT转换 PAT（NAT超载）

Nat address-group 1 202.1.1.2 202.1.1.2创建NAT地址转换组

Nat-policy interzone trust untrust outbound进入trust和untrust区域间的outbound方向的NA T策略设置

Policy 1 若当前没有编号为1的策略，则创建策略1，并进入设置

Action source-nat 设置当前策略的动作为：源地址转换

Policy source 10.1.1.0 mask 24设置地址转换针对的源地址范围

Address-group 1设置转换成哪个NAT地址组

Easy-ip技术

Nat-policy interzone trust untrust outbound进入trust和untrust区域间的outbound方向的NAT策略设置

Policy 2若当前没有编号为2的策略，则创建策略2，并进入设置

Action source-nat设置当前策略的动作为：源地址转换

Policy source 10.1.2.0 mask 24设置地址转换针对的源地址范围

Easy-ip g0/0/3使用Easy-ip技术进行源地址转换，将内网IP转换为出口IP

静态一对一技术

Nat server global 202.1.1.3 inside 10.1.3.10 基于目标地址转换的一种NAT技术，通常用于把内部的一台服务器内网IP映射为外网IP，以隐藏内网结构，起到保护作用。外网对202.1.1.3的访问实际上被防火墙透明的转到10.1.3.10服务器，所以在防火墙上需要做区域间的过滤策略，以保证可以访问到服务器，及访问的安全性。．