---

前言

     防火墙属于网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵，这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙

一、防火墙概述

1、防火墙介绍

     防火墙（Firewall）是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入

2、防火墙作用

     网络中的防火墙有以下作用

• 防止因特网的危险传播到私有网络
• 在网络内部保护大型机和重要的资源（如数据）
• 控制内部网络的用户对外部网络的访问

3、NGFW

     NGFW全称是Next Generation Firewall，即下一代防火墙，最早由Gartner提出，NGFW更适用于新的网络环境， NGFW在功能方面不仅具备标准的防火墙功能，如网络地址转换、状态检测、VPN和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块，另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、 日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等

     传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管控和防护，分别是应用、用户、内容、时间、威胁、位置

（1）基于应用

     运用多种手段准确识别Web应用内超过6000以上的应用层协议及其附属功能，从而进行精确的访问控制和业务加速，其中也包含移动应用，如可以通过防火墙区分微信流量中的语音和文字，进而实现不同的控制策略

（2）基于用户

     借助于AD活动目录、目录服务或AAA服务器等，基于用户进行访问控制、QoS管理和深度防护

（3）基于位置

     结合全球位置信息，智能识别流量的发起位置，从而获取应用和攻击的发起位置，其根据位置信息实现对不同区域访问流量的差异化控制，同时支持根据IP信息自定义位置

（4）实际应用

     在实际应用中，应用可能使用任意端口，而传统FW无法根据端口识别和控制应用，NGFW的进步在于更精细的访问控制，其最佳使用原则为基于应用+白名单控制+最小授权，目前，华为的NGFW产品主要是USG6000系列，覆盖从低端的固定化模块产品到高端的可插播模块产品

4、防火墙的工作模式

     华为防火墙具有三种工作模式：路由模式、透明模式、混合模式

（1）路由模式

     如果华为防火墙连接网络的接口配置了IP地址，则防火墙工作在路由模式下，当华为防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，所以需要重新规划原有的网络拓扑，此时防火墙首先是一台路由器，然后提供防火墙功能

（2）透明模式

     如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下，如果华为防火墙采用透明模式进行工作，只需在网络中像连接交换机一样连接华为防火墙设备即可，其最大的优点是无须修改任何已有的IP配置，此时防火墙就像一个交换机一样工作，内部网络和外部网络必须处于同一个子网，此模式下，报文在防火墙当中不仅进行二层的交换，还会对报文进行高层分析处理

（3）混合模式

     如果华为防火墙既工作在路由模式的接口（接口具有IP地址），又工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下，这种工作模式基本上是透明模式和路由模式的混合

5、安全区域

     安全区域（Security Zone）简称为区域（Zone），防火墙通过区域区分安全网络和不安全网络，在华为防火墙上安全区域是一个或多个接口的集合，这些接口所包含的用户具有相同的安全属性，每个安全区域具有全局唯一的安全优先级，设备认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略，只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略，这是防火墙区分于路由器的主要特性，防火墙通过安全区域来划分网络，并基于这些区域控制区域间的报文传递，当数据报文在不同的安全区域之间传递时，将会触发安全策略检查

     华为防火墙中，一个接口只能加入一个安全区域，华为传统的防火墙默认情况下对从高优先级区域到低优先级区域方向的流量默认放行，但是最新的NGFW防火墙默认禁止一切流量

6、区域分类

（1）Trust区域

     主要用于连接公司内部网络，优先级为85，安全等级较高

（2）DMZ区域

     非军事化区域，是一个军事用语，是介于严格的军事管制区和公共区域之间的一种区域，在防火墙中通常定义为需要对外提供服务的网络，其安全性介于Trust区域和Untrust区域之间，优先级为50，安全等级中等

（3）Untrust区域

     通常定义外部网络，优先级为5，安全级别很低，Untrust区域表示不受信任的区域，互联网上威胁较多，所以一般把Internet等不安全网络划入Untrust区域

（4）Local区域

     通常定义防火墙本身，优先级为100，防火墙除了转发区域之间的报文之外，还需要自身接收或发送流量，如网络管理、运行动态路由协议等，由防火墙主动发起的报文被认为是从Local区域传出的，需要防火墙响应并处理（不是穿越）的报文被认为是由Local区域接收并进行相应处理的，Local区域并不需要添加接口，但所有防火墙自身接口隐含属于Local区域，虽然我们把一个接口划分到某个区域中，但也只是表示由这个接口发送或接收的报文属于该区域，并不代表是该接口本身

（5）其他区域

     用户自定义区域，默认最多自定义16个区域，自定义区域没有默认优先级，所以需要手工指定

二、防火墙工作原理

1、Inbound和Outbound

     防火墙基于区域之间处理流量，即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递，当数据流在安全区域之间流动时，才会激发华为防火墙进行安全策略的检查，即华为防火墙的安全策略通常都是基于域间（如Untrust区域和Trust区域之间）的，不同的区域之间可以设置不同的安全策略，域间的数据流分两个方向Inbound（入方向）和Outbound（出方向），在防火墙技术中，通常把两个方向的流量区别来看待，因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首个报文

（1）Inbound

     数据由低级别的安全区域向高级别的安全区域传输的方向，例如，从Untrust区域（优先级5）的流量到Trust区域（优先级85）的流量就属于Inbound方向

（2）Outbound

     数据由高级别的安全区域向低级别的安全区域传输的方向，例如，从DMZ 区域（优先级50）的流量到Untrust区域的流量就属于Outbound方向

2、状态化信息

     既然一个域间有Inbound和Outbound两个方向，那么是否需要为访问的双向流量同时配置安全策略呢？答案是否定的，防火墙对于数据流的处理，是针对首个报文在访问发起的方向检查安全策略，如果允许转发，同时将生成状态化信息也就是会话表，而后续的报文及返回的报文如果匹配到会话表，将直接转发而不经过策略的检查，进而提高转发效率，这也是状态化防火墙的典型特性，例如，Trust区域的计算机访问Untrust区域的互联网，只需要在Trust到Untrust的Outbound方向上应用安全策略即可，不需要做Untrust到Trust 区域的安全策略，当需要让互联网用户访问公司内网服务器时，需要配置Untrust到Trust区域的安全策略

     防火墙通过五元组来唯一地区分一个数据流，即源IP、目标IP、协议、源端口及目标端口，防火墙把具有相同五元组内容的数据当作一个数据流，防火墙对于同一个数据流只对首个报文检查一次安全策略，同时创建会话表来匹配流量中的后续报文及返回的报文

3、安全策略

     防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信，安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙，可以在不同的域间方向应用不同的安全策略进行不同的控制

     华为新一代防火墙对报文的检测除了基于传统的五元组（源IP、目标IP、协议、源端口、目标端口）之外，还可以基于应用、内容、时间、用户、威胁及位置对流量进行深层探测，真正实现全方位立体化的检测能力及精准的访问控制和安全检测

（1）策略规则

• 条件中的各个元素如果在多条规则中重复调用，或者该元素本身包含多个相关内容，可以考虑配置为对象，对象可被多条规则调用，如果定义一个地址类型的对象，包含公司中的多个网段，那么该对象就可以在规则条件中被源地址或目标地址条件所引用
• 动作是防火墙对于匹配的流量所采取的处理方式，包含允许、拒绝等，不同的策略可以选择不同的处理方式，如果处理方式是允许，那么还可以继续基于配置文件对报文做后续处理
• 选项是规则的一些附加功能，如是否针对该规则记录目志、本条规则是否生效等

（2）安全策略特点

• 策略配置基于全局，不再基于区域间配置，安全区域只是条件的可选配置项，也可在一条规则中配置多个源区域或目标区域
• 默认情况下所有的区域间通信都被拒绝，包括Outbound流量，必须通过策略配置放行所需流量
• 安全策略中的默认动作代替了默认包过滤，传统防火墙的包过滤是基于区间的，只针对指定的区域间生效，而新一代防火墙的默认动作全局生效，且默认动作为拒绝，即拒绝一切流量，除非允许
• 任何两个安全区域的优先级不能相同
• 本域内不同接口间的报文不过滤直接转发
• 接口没有加入域之前不能转发包文
• 在USG6000系列的防火墙上默认是没有安全策略的，也就是说，不管是什么区域之间相互访问，都必须要配置安全策略，除非是同一区域报文传递

结语

     防火墙通常用于两个网络之间有针对性的、逻辑意义上的隔离，当然，这种隔离是高明的，既能阻断网络中的各种攻击又能保证正常通信报文的通过