华为防火墙安全策略-1

防火墙分类：
1.按照形态分为：硬件防火墙、软件防火墙
2.按照保护对象分为：单机防火墙、网络防火墙
3.按照访问控制方式分为：包过滤防火墙、代理防火墙、状态检测防火墙、UTM、下一代防火墙
（1）包过滤防火墙：
包过滤防火墙的基本原理是提取报文的IP包头或者帧头部中的信息，包括SIP/DIP/SM/DM/PRO/优先级/服务类型等，然后与设定好的规则进行匹配，根据结果决定报文是通过还是拒绝通过。
特点：对于经过防火墙的报文是逐包匹配包过滤规则，转发效率低下，且规则过多易出现配置错误
（2）代理防火墙：应用层作用
代理防火墙用代理服务器的方式运行于内网和外网之间，在应用层实现安全控制功能，起到内网和外网之间应用服务的转接作用（如外部pc访问内部web，不会直接访问web，而是将请求交给fw再交由web，web再将回复交给fw，fw交给pc）
特点：早期类似于代理服务器的技术，优点是成为用户访问业务的中间代理人，能够避免对服务器的直接入侵，缺点是只是应用层代理，缓冲时间长，速度较慢
（3）状态检测防火墙：
状态检测机制以流为单位对报文进行检测和转发，即只对第一条数据流的第一个报文进行包过滤规则检查，并将允许通过的流状态记录下来，对于该数据流的后续报文都直接根据这个状态来判断是转发还是丢弃，而无需再次检查报文内容（首包检查后会形成一个状态表，有老化时间）

特点：安全性好，性能高效，但是仍基于数据包的三层信息进行检测，无法彻底的识别数据包中大量的垃圾邮件、广告、木马等。

包过滤防火墙

安全策略与包过滤区别

防火墙包过滤类型：
不同类型包过滤中用来选择报文的工具不同:
1.域间包过滤:使用防火墙策略( Policy )选择报文,防火墙策略中可以指定源/目的IP地址、服务(端口或协议类型)、时间段等匹配条件。
2 .接口包过滤:使用基本或高级ACL选择报文, ACL中可以指定源/目的IP地址、服务(端口或协议类型)、时间段等匹配条件。
3 .基于MAC地址的包过滤:使用基于MAC地址的ACL选择报文,基于MAC地址的ACL中可以指定源/目的MAC地址、以太网协议类型等匹配条件。

不同类型包过滤处理顺序：

防火墙安全区域介绍：
在网络安全的应用中，如果网络安全设备对所有报文都进行逐包检测，会导致设备资源的大量消耗和性能的急剧下降。而这种对所有报文都进行检查的机制也是没有必要的。所以在网络安全领域出现了基于安全区域的报文检测机制。
引入安全区域的概念之后，网络管理员可以将具有相同优先级的网络设备划入同一个安全区域。由于同一安全区域内的网络设备是“同样安全”的，防火墙认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。

防火墙安全域间概念：
安全域间是描述流量的传输通道，他是两个区域之间的唯一道路。如果希望对经过这条通道的流量进行检测，就必须在通道上设立关卡，如ASPF（状态检测防火墙）等功能。任意两个安全区域都构成一个安全域间，并具有单独的安全域间视图。安全域间的数据流动具有方向性，包括入方向和出方向。
入方向（inbound）：数据由低优先级的安全区域向高优先级的安全区域传输
出方向（outbound）：数据由高优先级的安全区域向低优先级的安全区域传输

华为防火墙的默认区域：

不同报文开启/关闭情况下是否建立会话表

单通道协议：通信过程中只需占用一个端口的协议，如www只需占用80端口
多通道协议：通信过程中需占用两个或两个以上端口的协议，如FTP被动模式下需占用21号端口以及一个随机端口（客户端用随机端口与FTP服务器的21号端口建立连接，然后FTP Server打开20号端口与客户端的随机端口建立数据通道）

会话在转发流程中的位置：

Web页面管理防火墙：

默认防火墙不允许任何流量经过，所以web页面此时访问防火墙g0/0/0接口是访问不成功的

此时需要在防火墙的g0/0/0接口允许https流量经过

放行ping命令测试连通性


此时web页面可以访问防火墙

登录用户名admin，密码为之前改的Admin@12345


telnet管理防火墙：AR1作为telnet客户端

AR1：

FW：

telnet成功

通过策略使AR1可以telnet到AR2

AR1：

AR2：

fw：区域划分

fw：策略配置

telnet成功

图形化配置client可以访问server的ftp和http服务
新建安全策略

创建名称，定义源目区域

定义源目地址—新建—新建地址

名字和地址


选择服务

策略配置完成

服务器和client设置

成功