防火墙基础

1**）知识点列举：**

1.网络安全设备

2.防火墙基本功能

3.防火墙形态

4.防火墙分类

5.华为防火墙默认规则

6.安全区域

7.通信条件

2**）学习流程**

（**1）防火墙概念**

①网络设备：交换机、路由器、防火墙（既有路由功能，又有交换功能）

防火墙：具有安全防护功能的网络设备，通常放在网络出入口或者区域边界

防火墙的前身是路由器（ACL：访问控制+流量控制）

割接：指运行网络物理或者逻辑上的更改，更换设备或者配置

②安全设备：IPS（入侵防御）、IDS（入侵检测）、AV（防病毒网关）、WAF（web防火墙）、日审、数审、堡垒机、态势感知（IDS烧钱版）、上网行为管理

（**2）防火墙基本功能**

访问控制、攻击防护(需要购买)、AV反病毒功能(需要购买)、冗余、路由交换、日志记录（安全设备都有）、VPN 、NAT

（3）防火墙形态**

软件防火墙：针对个人——windows自带防火墙，linux的iptables、firewalld

硬件防火墙：针对公司，企业，学校，机关单位

（**4）防火墙分类**

①PC防火墙（软件）

②包过滤防火墙：早期防火墙，功能简单，配置复杂，效率低（逐包检测）、性价比低

③应用网关/代理防火墙：早期防火墙，针对应用层，速度慢、效率低

④状态检测防火墙（USG6000V）

状态检测机制：以色列checkopint

现代主流防火墙，速度较快，配置简单，功能可拓展，是包过滤防火墙的升级版。

工作机制：对首包进行检测（先查看路由表，再查看策略表）,如果首包通过，就会生成一个会话表。后续的数据根据会话表进行判断，若符合直接通过，不再查看路由表和策略表

⑤下一代防火墙（广义防火墙）

入侵防御IPS(华为/绿盟/海峡) 、反病毒AV（卡巴斯基/瑞星）、文件过滤 、内容过滤 {上网行为管理：深信服，奇安信}、反垃圾邮件等

（**5）华为防火墙（USG6000V）默认规则**

①不同区域的接口默认不能通信

②所有服务默认关闭

③管理口G0/0/0默认属于Trust区域

④默认账号密码：admin/Admin@123

⑤更改后的密码必须大于8位且具有大小写字符

（**6）安全区域**

①Trust区域（信任区域）：优先级85，连接局域网（办公网，私网）

②Untrust区域（非信任区域）：优先级5，连接互联网（公网）

③DMZ区域（非军事化区域/缓冲区/隔离区）：优先级50，服务器区域（提供给互联网访问的服务的区

域）

④Local区域（本地区域）：优先级99，所有从防火墙本地发出的流量都属于该区域

⑤其他区域：优先级可自己设置，但不能与其他区域优先级重复，名字可以自己随便取

（

7**）通信条件**

其他厂商的防火墙默认优先级高的区域可以访问优先级低的区域，但华为防火墙不适用

①接口加入对应区域

②接口放行相应服务

③有相关安全策略放行

④只管去的包，不管回的包