防护墙概述以及USG6000基础应用实验配置_usg6000e旁挂三层配置

防火墙概述

防火墙是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

防火墙系统

防火墙系统是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护

防火墙的作用

防火墙是一个位于计算机和它所连接的网络之间的软件，所有软件的网络通信均要通过防火墙。个人防火墙可以保护计算机不受到病毒和恶意软件的破坏，不受到木马程序的攻击。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信

防火墙的防御对象

• 授权用户
• 非授权用户
  防火墙是一种隔离（非授权用户在区域间）并过滤（对保护网络有害的数据流量）
  防火墙的处理对象是区域：防火墙是根据区域来处理流量的
• 内网（trust）安全等级100
• 外网（untrust）一般是0 - 10
• 服务器区（DMZ）在50左右

防火墙类型

包过滤防火墙

采用的是访问控制列表技术 — 三层技术（逐包检测）

• 简单、速度慢
• 检查的颗粒度粗

在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。逻辑策略主要针对地址、端口与源地址，通过防火墙所有的数据都需要进行分析。

代理防火墙

中间人技术 — 应用层
降低包颗粒度，区域之间通信使用固定设备

• 代理只能针对特定的应用来实现，应用间不能通用
• 技术复杂，速度慢
• 能防御应用层威胁，内容威胁

应用代理防火墙主要的工作范围就是在OSI的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。

状态防火墙

会话追踪技术 — 三层、四层
在包过滤的基础上增加了一个会话表，数据包需要通过查看会话表来实现匹配

会话表可以用hash来形成定长值，使用CAM芯片处理，来达到交换机的处理速度

• 首包机制 — 未匹配到会话表，符合匹配规则后，防火墙为该会话创建会话表，之后的回包也是检查会话表
• 颗粒度细 — 需要检查源/目标 IP、源/目标端口、协议字段、flag字段
• 速度快
  

UTM

深度包检查技术 — 应用层 （统一威胁管理）

把应用网关和IPS等设备集中管理

• 把原来分散的设备进行统一管理，有利于节约资源和学习成本
• 设备同意有利于协同工作
• 设备负荷较大，而且也是逐个模块来检查的（用处不大），速度慢
  

下一代防火墙

2008年Palo Alto Networks 公司发布了下-代防火墙(Next-Generation Firewal)，解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner(一家I咨询公司)对下一代防火墙进行了定义，明确下代防火墙应具备的功能特性。
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备，能够对流量执行深度检测，并阻断攻击，Gartner认为，NGFW必须具备以下能力:

1.传统防火墙的功能

NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、NAT、VPN等。

2.IPS 与防火墙的深度集成

NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1+1>2的效果。Gartner特别强调IPS与防火墙的"集成"而不仅仅是“联动”例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策路，而不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场

3.应用感知与全栈可视化

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控

4.利用防火墙以外的信息，增强管控能力

防火墙能够利用其他T系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化带来的管控难题。

USG6000基础应用实验配置

实验拓扑

实验分为三个区域：trust、untrsut、dmz
使用的是三层交换机，需要配置VID接口以达到路由交换的效果

trust区域配置（SW1）：

vlan batch 2 to 3
interface Vlanif2
 ip address 11.1.1.2 255.255.255.0
#
interface Vlanif3
 ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 3
 #
 ip route-static 0.0.0.0 0.0.0.0 11.1.1.1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

DMZ区域配置（SW2）：

该区域使用的是接口对，需要配置接口聚合

vlan batch 10 to 11
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10 to 11
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 11
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

untrust区域配置（R1）：

该区域一般指外网，配置IP即可

interface GigabitEthernet0/0/0
 ip address 10.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 2.2.2.1 255.255.255.0 
 #
 ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
1
2
3
4
5
6
7

至此所有区域内的配置结束

防火墙配置：

首先对各个接口进行配置：
将各个接口配置到对应的区域，为其配置IP地址

配置路由：
DMZ区域接口聚合后，将VID接口配置在了防火墙，防火墙和DMZ区域直连，所以不需要配置路由

策略配置：

结果测试：

trust区域访问untrust区域

trust区域访问DMZ区域：

untrust区域访问DMZ区域：