防火墙的职责

控制和防护——在安全策略上即可体现，防火墙可以根据安全策略来抓取流量，之后做出对应的动作。吞吐量表示防火墙同一时间处理的数据量。传统防火墙(包过滤防火墙)，相当于一个严格的规则表，和ACL（访问控制列表）类似。

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围：网络层、传输层(3-4层)

防火墙和路由器的区别

普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径，防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

传统包过滤防火墙

优势

对于小型站点容易实现，处理速度快，价格便宜

劣势

1、规则表很快会变得庞大、复杂、难运维，只能基于五元组
2、很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险
3、逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

在ACL列表中，华为体系下，末尾是没有隐含规则的，如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，未尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

应用代理防火墙的缺点

1、因为需要防火墙进行先一步安全识别，所以，转发效率会降低(原来的3次握手就会变成6次握手)；
2、可伸缩性差：每一种应用程序需要代理的话，都需要开发对应的代理功能，如果没有开发，则无法进行代理。

会话表检测 ----首包检测

入侵检测系统(IDS) ——网络摄像头

部善方式：旁路郎署，可多点部署
工作范围：2-7层（主要监控应用层）
工作特点：根据能署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头
目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰了解到网络环境中发生了什么事情。

IDS----侧重于风险管理的安全机制----滞后性（缺点）

旁路部署的好处：对原有的网络没有影响，镜像接口

入侵防御系统(IPS)——抵御2-7层已知威胁

部署方式：串联部署
工作范围：2-7层
工作特点：根据已知的安全威胁生成对应的过滤器(规则)，对于识别流量的阻断，对于未识别的放通
目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御
UTM 各功能模块串联工作，检测效率低，维护成本降低

IPS和IDS都是基于特征库进行对比，都为独立的设备

下一代防火墙(NGFW)——升级版UTM

包含功能：FW、IDS、IPS、AV、WAF
工作范围：2-7层
和UTM的区别：与UTM相比增加的web应用防护功能，UTM是串行处理机制，NGFW是并行处理，机制NGFW的性能更强，管理更高效

改进点核心

相较于之前UTM中各模块的 串联部署，变为了并联部署，仅需要一次检测，所有功能模块都可以做出对应的处理，大大提高了工作效率。从接口的角度看，三层口可配IP，二层口不能配IP。防火墙既可以在二层使用也可以在三层。这里我们重点了解华为NGFW防火墙，体现一体化检测的重要性。

防火墙的其他功能

1. 访问控制（包过滤，安全策略）
2. 地址转换（NAT)
3. 网络环境支持
4. 带宽管理功能
5. 入侵检测和攻击防御（内容安全）
6. 用户认证（上网行为管理）
7. 高可用性（备份）

防火墙的控制

带内管理 ---通过网络环境对设备进行控制，如：telnet，ssh，web
登录设备和被登录设备之间，网络需要联通（通过局域网直接相连）
带外管理---console线，mini usb线（华为）

华为设备上还预留了一个管理口，MGMT口，提供web界面接口，G0/0/0 默认IP地址192.168.0.1/24 默认开启DHCP和web登陆的功能，方便进行web管理。

开启防火墙的web管理功能

admin/Admin@123         #初始账号密码
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit …#开启管理口web登录服务

防火墙的G0/0/0上的IP默认为192.168.0.1，可以将其更改为和自己的虚拟网卡一个网段，然后在自己的网页中输入https:192.168.94.2:8443，进入防火墙web界面配置。

防火墙的认证方式

本地认证

用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行判断，如果通过验证，则成功登录。

服务器认证

和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方服务器之后，由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。

注意：正常环境下，优先使用服务器认证，如果服务器认证失败，则也不进行本地认证。只有在服务器对接不上的时候，才使用本地认证。

信任主机指可以添加一个地址或者网段，则其含义是只有在 该地址或者地址段内，可以登录管理设备。（最多支持10条）

防火墙的几种接口

物理接口
二层口：普通的二层口、接口对、旁路检测接口
接口对：“透明接口”，我们可以将两个接口组建成一个接口对，流量从一个接口出来时，它将必定从另一个接口出去（不查看MAC地址表，直接进行转发），一个接口也可以做接口对，从该口进再从该口出。
旁路检测接口：用于防火墙旁路部署，用于接受镜像口流量。

Bypass： 4个干兆口其实是两对bypass口。如果设备故障，则两个接口直通， 保证流量不中断。（一种容错方法）

虚拟系统——VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。管理口和其余物理接口默认不在同一个虚拟系统中。

Portswitch 开启交换机的二层口，默认为二层口

不同的虚拟空间之间通信使用的虚拟接口，只需要配置IP地址即可。新创建一个虚拟系统会自动生成一个虚拟接口。

安全区域

Trust ——一般企业内网会被规划在trust区域中
Untrust ——一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区域

Local ——指设备本身

凡是设备构造并主动发出的报文均可以认为是从local发出的，凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置，并且我们无法将接口划入该区域。接口本身属于该区域。

DMZ——非军事化管理区域

主要是为内网的服务器所设定的区域。这些服务器本身在内网，但是需要对外提供服务。介于内网和外网之间。

优先级 1-100 越大越优

流量从优先级高的区域到优先级低的区域——出方向
流量从优先级低的区域到优先级高的区域——入方向