防火墙基础

合集 - 数通DATACOM(15)

1.项目设备开局调试01-062.ARP协议01-033.VLAN聚合技术：Super-vlan01-214.QINQ01-215.MUX-VLAN01-226.VRRP+BFD实验01-227.堆叠技术01-228.OSPF协议报文01-249.OSPF各类LSA02-0410.BGP四大属性02-0711.BGP路由优选原则02-0812.MPLS多协议标签交换02-1113.使用Python完成设备巡检02-1114.MPLS VPN 解决私网到私网02-11

15.防火墙基础02-12

收起

一、路由器和防火墙对比

路由器－－用于转发　五元组：源地址、源端口、目的地址、目的端口、协议
防火墙－－用于控制　一个接口属于一个区域　一个区域可以有多个接口 

二、防火墙安全区域

1、安全区域：简称为区域Zone。防火墙大部分的安全策略都是基于安全区域实施。
2、防火墙安全区域优先级：local-100   Trust-85  DMZ-50  Untrust-5
3、防火墙自身产生的流量来自本地（local），默认访问防火墙的流量目的地都是属于local区域，先放行策略才能通信
4、跨区域访问：高出低入
       高优先级到低优先级　出outbound
       低优先级到高优先级　入inbound 
防火墙默认的管理口：interface gi 0/0/0 //属于local区域（IP地址192.168.0.1）

三、防火墙安全策略

1.安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
2.当防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，然后与安全策略的条件进行匹配。如果条件匹配，则此流量被执行对应的动作。
3.安全策略的组成：
    安全策略的组成有匹配条件、动作和安全配置文件等。
    安全策略动作如果是“允许”则可配置安全配置文件，如果是“拒绝”则可配置反馈报文。
       条件：VLAN ID、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务、应用、URL分类、时间段
       动作：deny拒绝/permit允许
       安全配置文件：反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为过滤、邮件过滤、APT过滤、DNS过滤
4.安全策略的匹配过程
    当配置多条安全策略规则时，安全策略的匹配按照策略列表的顺序执行，即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略，将不再进行下一个策略的匹配。
    安全策略的配置顺序很重要，需要先配置条件精确到策略，再配置宽泛的策略。

四、防火墙的会话表

1.会话表用来记录TCP、UDP、ICMP等协议连接状态的表现，是防火墙转发报文的重要依据。
2.防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。
3.设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来片段该报文所属的连接并采取相应的处理措施。
4.防火墙为各协议设定了回话老化机制。当一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除，这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。

五、防火墙状态检测机制：默认deny拒绝

    客户端发起第一个数据包：检查策略  若有,允许通过并且建立会话  若无,拒绝
                      服务器回包时：检查会话 若有,匹配会话通过  若无,匹配策略  若无策略,拒绝
    服务器发起第一个数据包：检查会话(之前会话同端口,才可使用会话)  匹配策略
    1.查找会话 若有,匹配回话；若无,匹配策略
    2.匹配策略 若有,创建会话；若无,拒绝
    找到会话，若客户端主动，策略允许，防火墙放行，完成单向通行。

六、基本配置

    local=100    trust=85     DMZ=50   untrust=5   优先级
    display firewall session table　查看当前防火墙会话－
    －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
    firewall zone trust     进入区域
    add int g0/0/1  将接口添加到防火墙区域
    int g 0/0/1
    service-manage ping permit  允许服务
    display zone interface   查看防火墙端口添加配置
    display firewall session table　查看当前策略
    －－－－－－－－－－－－－－－－－－－－－－
    int g1/0/1进入接口
    service-manage ping permit   开启防火墙ping服务
    security-policy 　进入防火墙安全策略
    rule name p1　　　创建名为p1的策略
    source-zone local 　源区域为local
    destination-zone trust dmz 　　目的区域为trust dmz（默认为any）
     action permit 　　开启服务
    －－－－－－－－－－－－－－－－－－－－－－－－－－－－
    security-policy   设置防火墙--源1.0网段可以访问2.0网段，反之不能
    rule name p2　　设置策略名p2
    source-zone trust　源区域为trust
    source-address  192.168.1.1 32  只允许这一个IP访问
    destination-zone dmz 目的区域为dmz
    source-address 192.168.1.254 32　源ip地址
    action permit   设置的行动为允许