防火墙实验及知识点整理

防火墙的介绍

路由器与交换机的本质是转发，防火墙的本质是控制和防护。

防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常 用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火 ” 的蔓延，而又保证 “ 人 ” 的穿墙而过。 这里的“ 火 ” 是指网络中的各种攻击，而 “ 人 ” 是指正常的通信报文。那么，用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的安全区域

安全区域（Security Zone）：它是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。

Trust区域 

网络的受信任程度高；通常用来定义内部用户所在的网络。

DMZ区域

网络的受信任程度中等；通常用来定义内部服务器所在的网络。

Untrust区域

网络的受信任程度低；通常用来定义Internet等不安全的网络。

Local区域

防火墙上提供的 Local 区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从 Local 区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local 区域接收。 Local 区域中不能添加任何接口，但防火墙上所有业务接口本身都属于Local 区域。由于 Local 区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与Local 区域之间的安全策略。例如Telnet登录、网页登录、接入 SNMP 网管等。

安全区域的受信任程度与优先级

安全区域都有一个唯一的优先级，用 1 至 100 的数字表示，数字越大，则代表该区域内的网络越可信。

 安全策略

防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受 “ 不信任 ” 网络的攻击，但

同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。

安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，

对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行

匹配。 

安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。

 防火墙的发展史

包过滤防火墙 ---- 访问控制列表技术 --- 三层技术

简单、速度慢

检查的颗粒度粗 --5 元组

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

（1）代理技术只能针对特定的应用来实现，应用间不能通用。

（2）技术复杂，速度慢

（3）能防御应用层威胁，内容威胁  

状态防火墙 --- 会话追踪技术 --- 三层、四层

在包过滤（ ACL 表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。

会话表可以用 hash 来处理形成定长值，使用 CAM 芯片处理，达到交换机的处理速度。

（1）首包机制

（2）细颗粒度

（3）速度快 ​

UTM--- 深度包检查技术 ---- 应用层

统一威胁管理

把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。

(1)把原来分散的设备进行统一管理，有利于节约资金和学习成本

(2)统一有利于各设备之间协作。

(3)设备负荷较大并且检查也是逐个功能模块来进行的，貌合神离，速度慢。

下一代防火墙

2008 年 Palo Alto Networks 公司发布了下一代防火墙（ Next-Generation Firewall ），解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年Gartner（一家 IT 咨询公司） 对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。

状态检查详解

状态检测机制

状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

 会话机制

防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。会话表是用来记录 TCP 、 UDP、 ICMP 等协议连接状态的表项，是防火墙转发报文的重要依据。

防火墙对于过来的流量会先查询会话表，如果没有则匹配策略，策略匹配成功创建会话表，匹配策略失败，则阻止通过。

会话表的查询和建立

 

思维导图

 

实验拓扑

实验要求

PC1能成功ping同PC2

首先配置Cloud

这里选择的是虚拟网卡（192.168.33.1/24）

配置防火墙，这里选择将防火墙的地址修改为192.168.33.100/24

 同时还需要配置一条命令 service-manage all permit  允许所有服务

 此时可以通过网页输入192.168.33.100进入防火墙的图形配置界面

 这里我已经配置好两个接口的区域和地址

 

接下来我们就可以写策略来选择放通PC1  ping PC2的流量

 测试PC1和PC2是否能够通信