防火墙基础

一、防火墙概述

1. 防火墙概述

防火墙的主要作用是划分网络安全边界，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击。

与路由器相比防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率。 由于防火墙用于安全边界，因此往往兼备NAT、VPN等功能，并且在这方面的相比路由器更加强劲。

我司防火墙：Eudemon系列

2. 防火墙分类

包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包

都需要进行策略检查，策略过多会导致性能急剧下降。

代理型防火墙（application gateway）

代理型防火墙使得防火墙做为一个访问的中间节点，对客户端来说防火墙是一个服务器，对服务器来说防火墙是一个客户端。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。

状态检测防火墙

状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙

二、防火墙的基础知识点

1. 安全区域（Zone）的概念

安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域，并且定义该安全去区域的安全级别，然后将防火墙的接口关联到一个安全区域，那么该接口所连接的这个网络，就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。

Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。

Eudemon防火墙上预设的安全区域：

非受信区（Untrust）：低级的安全区域，安全优先级为5。

通常用于定义Internet等不安全的网络

非军事化区（DMZ）：中度级别的安全区域，安全优先级为50。

通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个安全级别比Trust低，但是比Untrust高的安全区域中。

受信区（Trust）：较高级别的安全区域，安全优先级为85。

通常用于定义内网终端用户所在区域。

本地区域（Local）：最高级别的安全区域，安全优先级为100。【防火墙自身为Local区域】

Local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由Local区域接受。

用户不能改变Local区域本身的任何配置，包括向其中添加接口。

用户可以自行设置新的安全区域并定义其安全优先级别，Eudemon防火墙最多支持16个安全区域（包括默认保存的五个安全区域）。

安全区域的规划

用于可自定义安全区域，也可使用系统自带的安全区域，防火墙的一个接口只能属于一个特定区域，而一个区域可以包含多个接口，接口只有划分到区域中才能正常处理报文。Local zone指的是设备本身，包括设备的各接口。凡是发给防火墙的都可认为是发向Local 的，而防火墙始发的数据可以理解为来自Local。因此若要访问防火墙端口IP，需开放与Local域之间的策略

内部网络应安排在安全级别较高的区域

外部网络应安排在安全级别最低的区域

一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域

安全区域的限制：

防火墙不能够有两个拥有相同安全级别的区域

防火墙的一个物理接口只能属于一个安全区域

防火墙的多个接口可以同时属于一个安全区域

系统自带的安全区域不能删除。我们可以根据实际环境的需求配置自定义的安全区域。

相同区域内的不同接口间报文不过滤直接转发；

一个报文如果在进、出端口时相同，该报文将被丢弃；

接口没有加入安全区域之前不能转发包文。

2. 区域间（interzone）的概念

安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”，如果希望对经过这条通道的流量进行控制，就必须在通道上设立“关卡”，也就是安全策略。但是对于不需要经过这条通道的流量，例如在同一个安全域间内转发的流量，在安全域间下发的安全策略是不起作用的。任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的安全功能配置都在安全域间视图下配置。

例如上图，内网的PC与Internet的流量，就是需要过interzone trust untrust的策略。

而内网PC访问防火墙的接口，例如ping防火墙的接口，那么这些流量需要通过interzone trust local。

3. Inbound及Outbound

安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）：

入方向（inbound）：数据由低级别安全区域向高级别安全区域传输的方向； 低——>

高

出方向（outbound）：数据由高级别安全区域向低级别安全区域传输的方向。 高——>低

4 . 防火墙的工作模式

路由模式

防火墙每个接口连接一个网络，防火墙的接口地址是所连接子网的网关；

报文首先通过入接口信息找到进入域信息，然后查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，最后按照配置在这个域间关系上的安全策略进行操作。

透明模式

防火墙的接口不能配置IP地址，可被看作一台二层交换机。

透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。

透明模式可以配置系统管理IP。

混合模式