网络安全设备 防火墙

前言：

1. 防火墙本质上是一个网络安全系统 ，它充当网络之间的"门卫"，根据预设的安全策略，控制网络流量的进出。其核心功能可以概括为：隔离、过滤、管理和记录
2. 该章节为防火墙系列的第一章，主要来介绍防火墙的基础功能，实现防火墙的基础配置，对防火墙有一定的认知

---

防火墙是什么？

防火墙（Firewall）是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入

可以这样理解，防火墙是构建网络安全边界的第一道、也是最关键的一道防线，其核心目标是通过一系列的控制和检测手段，保护内部网络免受未经授权的访问和网络攻击

---

防火墙安全域的基础实验

分析拓扑图，如何实现Trust区域和Untrust区域的互通

1. 首先配置完两台PC的IP地址和网关（防火墙的G1/0/1的IP地址）和路由器AR1的IP地址

   [R1]int g0/0/0
   [R1-GigabitEthernet0/0/0]ip add 100.1.1.2 24
   [R1-GigabitEthernet0/0/0]q
   
   [R1]ip route-static 192.168.10.0 255.255.255.0 100.1.1.1

2. 开启配置防火墙的功能

   [FW1]int g1/0/1
   [FW1-GigabitEthernet1/0/1]ip add 192.168.10.1 24
   [FW1-GigabitEthernet1/0/1]service-manage ping permit  允许通过该接口对防火墙进行ping管理
   [FW1-GigabitEthernet1/0/1]q
   [FW1]int g1/0/0
   [FW1-GigabitEthernet1/0/0]ip add 100.1.1.1 24
   [FW1-GigabitEthernet1/0/0]service-manage ping permit 允许通过该接口对防火墙进行ping管理
   [FW1-GigabitEthernet1/0/0]q
   
   [FW1]firewall zone untrust                进入非受信区域（untrust zone）配置模式
   [FW1-zone-untrust]add interface GigabitEthernet 1/0/0 将 G1/0/0接口加入 untrust区域
   [FW1-zone-untrust]q
   [FW1]firewall zone trust                  进入受信区域（trust zone）配置模式
   [FW1-zone-trust]add interface GigabitEthernet 1/0/1 将 G1/0/1接口加入 trust区域
   [FW1-zone-trust]q
   
   [FW1]security-policy                      进入安全策略配置模式
   [FW1-policy-security]rule name chu        创建名为 "chu" 的安全策略规则
   [FW1-policy-security-rule-chu]source-zone trust        设置规则源区域为 trust 区域
   [FW1-policy-security-rule-chu]destination-zone untrust 设置规则目的区域为 untrust 区域
   [FW1-policy-security-rule-chu]action permit            设置规则动作为允许（permit）
   [FW1-policy-security-rule-chu]q
   
   [FW1-policy-security]rule name tu-local
   [FW1-policy-security-rule-tu-local]source-zone trust 
   [FW1-policy-security-rule-tu-local]destination-zone local 
   [FW1-policy-security-rule-tu-local]action permit 
   [FW1-policy-security-rule-tu-local]q
   
   [FW1-policy-security]rule name local-un
   [FW1-policy-security-rule-local-un]source-zone local 
   [FW1-policy-security-rule-local-un]destination-zone untrust 
   [FW1-policy-security-rule-local-un]action permit 
   [FW1-policy-security-rule-local-un]q
   
   [FW1-policy-security]rule name un-local
   [FW1-policy-security-rule-un-local]source-zone untrust 
   [FW1-policy-security-rule-un-local]destination-zone local 
   [FW1-policy-security-rule-un-local]action permit 
   [FW1-policy-security-rule-un-local]q
   
   [FW1]nat-policy                                     进入NAT配置模式
   [FW1-policy-nat]rule name tr-un                     创建名为 "tr-un" 的NAT策略规则
   [FW1-policy-nat-rule-tr-un]source-zone trust        设置NAT规则源区域为 trust 区域
   [FW1-policy-nat-rule-tr-un]destination-zone untrust 设置NAT规则目的区域为 untrust 区域
   [FW1-policy-nat-rule-tr-un]action source-nat easy-ip 
         配置源NAT动作，使用 easy-ip 方式（使用出口接口的IP地址作为转换后地址）
   [FW1-policy-nat-rule-tr-un]q

3. 使用ping命令检查配置成果

---

安全域

安全域是防火墙功能实现的基础，防火墙的安全域包括安全区域和安全域间

• 安全区域定义了"谁是谁"（身份和信任级别）

• 安全域间定义了"谁能和谁通信"以及"如何通信"（流量路径和控制点）

---

安全区域

在防火墙中，安全区域（Security Zone），简称为区域（zone），是一个或多个接口的组合，这些接口所包含的用户具有相同的安全属性。每个安全区域具有全局唯一的安全优先级

防火墙的安全策略是基于"从哪个区域来，到哪个区域去"来实施的。如果接口不属于任何区域，防火墙就无法判断从这个接口进来的流量属于哪个信任级别，也就无法应用正确的安全策略

因此，在配置防火墙时**，**必须将一个接口分配给一个安全区域

设备认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略

防火墙的接口属于安全区域吗？

安全区域 (Security Zone)：这是防火墙概念的基石。防火墙通过将接口划分到不同的安全区域来进行管理。默认有四个预定义区域：

• Trust ：受信任区，高安全级别 (85)，通常用于连接内部网络

• Untrust ：非信任区，低安全级别 (5)，通常用于连接外部网络（如互联网）

• DMZ ：非军事化区域，中等安全级别 (50)，通常用于放置对外提供服务的服务器

• Local ：本地，最高安全级别 (100)，代表防火墙自身

特性：

1. 默认的安全区域不能删除，也不能修改安全优先级
2. 每个Zone必须设置一个安全优先级（Prionity），值越大，则Zone的安全优先级越高
3. 用户可以根据自身的需求创建自定义的Zone

默认情况下

一个接口只能属于一个安全区域，但一个安全区域可以包含多个接口

---

安全域间

任何两个不同的安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置

安全域视图 是防火墙（尤其常见于国产防火墙如华为、华三等品牌）管理界面中一个核心的可视化配置和管理界面

例如：配置了安全区域zone1和zone2，则在zone1和zone2的安全域间视图中，可以配置ACL包过滤功能，表示对zone1和zone2之间发生的数据流动实施ACL包过滤

在安全域间开启防火墙功能后，优先级高的用户访问优先级低区域时，防火墙会记录报文的IP、VPN等信息，生成一个流表。当报文返回时，设备会查看报文的IP、VPN等信息，由于流表中有了记录对应的表项，所以返回的报文能通过。优先级低的用户访问优先级高用户时，默认是不允许访问的。因此，把内网设置为优先级高区域，外网设置为优先级低区域，内网用户可以主动访问外网，外网用户则不能主动访问内网

会话表：用于记录TCP、UDP、ICMP等协议连接状态的表项，作为防火墙报文转发的关键依据。其主要功能是记录连接状态，当设备处理TCP、UDP或ICMP报文时，会查询会话表以确定报文所属连接，并据此执行相应处理。

默认安全策略：

• 域内流量 （同一安全区域）：默认允许

• 域间流量 （不同安全区域）：默认拒绝。这是防火墙安全的关键，意味着任何跨区域的访问都必须通过安全策略显式授权

• 自身流量 （目的地或源为防火墙本身）：默认拒绝

**匹配过程：**策略顺序很重要的，先配置条件精确的策略，然后在去配置宽泛的策略

---

用最简单话语来描述安全区域和安全域间就是:

• 安全区域 就像是不同的国家（如A国、B国）

• 安全域间 就是连接这些国家的边境检查站

• 防火墙 就是驻守在边境检查站的海关

• 安全策略 就是国家之间签订的出入境协定（例如，A国公民可免签去B国旅游，但B国公民来A国需要严格审批）