安全防御（一）--- 防火墙基础

目录

一、什么是防火墙？

二、状态防火墙工作原理

三、防火墙如何处理双通道协议

四、防火墙如何处理nat？

五、你知道哪些防火墙？以及防火墙的技术分类？

六、防火墙基本配置实验

1、配置全网可达

2、内网访问外网

3、外网用户访问服务器

4、通过多通道协议访问服务器（server-map表）

5、nat策略

6、服务器映射

---

一、什么是防火墙？

• 防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护网络有害流量或数据包）的设备
• 防火墙主要是借助硬件和软件作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不同安全网络因素的阻断。
• 防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

二、状态防火墙工作原理

• 会话追踪技术---三层、四层
• 在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。
• 会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。
• 首包机制
• 细颗粒度
• 速度快

三、防火墙如何处理双通道协议

• 使用ASPF技术，查看协商端口号并动态建立server-map表放行协商通道的数据

• ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。

四、防火墙如何处理nat？

如果内网的主机想要与外网的主机进行通信，那么防火墙的安全策略就必须放行内网主机的IP，如果外网主机想要与内网服务器进行通信就必须放行内网的服务器IP

• NAT对报文的处理流程

五、你知道哪些防火墙？以及防火墙的技术分类？

包过滤防火墙 ---- 访问控制列表技术 --- 三层技术

• 包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据包的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃
• 简单、速度快
• 检查的颗粒度粗

代理防火墙 ---- 中间人技术 --- 应用层

• 降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。
• 代理技术只能针对特定的应用来实现，应用间不能通用。
• 技术复杂，速度慢
• 能防御应用层威胁，内容威胁

状态防火墙 --- 会话追踪技术 --- 三层、四层

• 在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。
• 会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。
• 首包机制
• 细颗粒度
• 速度快

六、防火墙基本配置实验

1、配置全网可达

• 防火墙

[USG6000V1-GigabitEthernet0/0/0]ip address 10.1.1.2 24

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

[USG6000V1-GigabitEthernet0/0/0]dis this
2022-09-10 13:10:58.840 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding -instance default
 ip address 192.168.225.2 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

将接口划入区域并配置IP地址、静态路由

g1/0/0 --> trust

g1/0/1 --> untrust

g1/0/2 --> dmz

• SW1

[SW1]vlan batch 2 3 10

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 2

[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 3

[SW1-GigabitEthernet0/0/3]port link-type access  
[SW1-GigabitEthernet0/0/3]port default vlan 10

[SW1-Vlanif2]ip address 172.16.2.1 24
[SW1-Vlanif3]ip address 172.16.3.1 24
[SW1-Vlanif10]ip address 172.16.1.2 24

[SW1]ip route-static 0.0.0.0 0 172.16.1.1

• R1

[R1-GigabitEthernet0/0/0]ip address 172.16.2.2 24

[R1]ip route-static 0.0.0.0 0 172.16.2.1

• R2

[R2-GigabitEthernet0/0/0]ip address 100.1.1.2 24

[R2]ip route-static 0.0.0.0 0 100.1.1.1

• R1 ping R2检查链路是否能够通信

 

2、内网访问外网

• 先将默认策略恢复为禁止，然后新建策略

• 再次使用R1 ping R2

3、外网用户访问服务器

• Client2 （100.1.1.3/24）测试是否可以访问server1（172.16.10.2/24）

• 查看会话表

4、通过多通道协议访问服务器（server-map表）

• server1配置FTP
• 设置策略

 

• 通过Client1 （172.16.3.2/24）访问 ftp服务器（172.16.10.2/24）

 

•  查看会话表

 

 

•  下载文件成功后，查看server-map表

 

5、nat策略

 

• 测试R1到R2

取消R2的静态路由 

[R2]undo ip route-static 0.0.0.0 0 100.1.1.1

• 抓包查看

 

6、服务器映射