0、防火墻組網模式

防火墻能夠工作在三種模式下分別是路由模式、透明模式、旁路檢測模式、混合模式

0.1、路由模式

路由模式：防火墻全部以第三層對外連接，即接口具有IP 地址。一般都用在防火墻是邊界的場景下

防火墻需要的部署/配置：

1. 接口IP地址，區域劃分
2. 寫內網的回包路由
3. 安全策略
4. 由內到外的NAT
5. 服務器映射

0.2、透明模式

透明模式：防火墻都以二層對接（接口無IP 地址），只是讓流量經過它而已，它對于子網用戶和路由器來說是完全透明的，用戶完全感覺不到防火墻的存在。

特點：可以避免改變拓撲結構造成的麻煩。就像放置一個交換機一樣，不用修改其他設備的已有配置，與路由模式相同的是，IP 報文同樣經過相關的過濾檢查（但是IP 報文中的源或目的地址不會改變），內部網絡用戶依舊受到防火墻的保護。

防火墻需要的部署/配置：

1. 接口配置VLAN，劃分區域
2. 安全策略
3. 增強設備的管理接口，用于控制管理設備和設備的自我升級

0.3、旁路檢測模式

旁路檢測模式：與核心設備進行連接，鏡像復制核心設備的流量。可以檢測傳輸的數據包，可以做上網管理行為，例如TCP協議中，可以偽裝服務器給中斷發一個rst標記位的數據包，形成中斷（具有滯后性）

0.4、混合模式

混合模式：具有二層和三層的接口（某些接口具有IP 地址，某些接口無IP 地址），這種模式更加靈活，主要用于透明模式作雙機備份的情況

---

?防火墻主要有以下七點功能：

以USG6000V防火墻為講解，其管理頁面為：

通過上圖，我們可以將管理頁面劃分為6個子頁面：面板頁面、監控頁面、策略頁面、對象頁面、網絡頁面和系統頁面

初始賬號：admin

初始密碼：Admin@123

1、系統頁面

1.1、管理員模塊

?在系統頁面中的管理員模塊，我們可以看到有兩大部分：

1. 管理員：實際的管理員賬號
2. 管理員角色：為管理員定義的權限身份

1.1.1 管理員

點擊“新建”，即可創建一個管理員賬號（自選擇身份）

本地認證：用戶密碼信息存儲在防火墻本地，有防火墻判斷是否通過認證

服務器認證：對接第三方服務器，用戶信息存儲在第三方服務器上，由防火墻將用戶信息推送給服務器，由服務器進行判斷，并返回結果，防火墻做出登錄與否的操作。

服務器/本地認證：正常情況使用服務器認證，如果服務器認證失敗，則直接認證失敗，不進行本地認證，只有在服務器對接失敗的時候，才采取本地認證。

信任主機：只有信任主機中的地址或者網段才能登錄控制設備（最多可以添加10條信任主機，如果沒有配置，則不做限制）

1.1.2 管理員角色

點擊“新建”定義一個擁有自定義權限的身份

?2、網絡頁面

2.1、接口模塊

2.1.1 接口模式和類型

在接口模塊中，可以對防火墻的接口進行一個配置操作，其配置頁面如下：

在接口修改頁面中，我們可以看到四個模式和多個類型

它們又可分為物理接口和虛擬接口

物理接口：

1. 三層接口：可以配置IP地址
2. 二層接口：普通二層口、接口對，旁路檢測接口

接口對：可相當于“透明網線”，可以將一個或多個接口配置稱為接口對，則數據從一個接口進時，將不需要查看MAC地址表，而是直接從另一個接口出（當設備斷電時，會直接將兩個接口短接）

虛擬接口：

1. 環回接口
2. 子接口
3. Vlanif
4. Tunnel
5. 鏈路聚合

字母前的數字代表接口數量

GE：千兆以太網接口

XG：萬兆以太網光接口

BYPASS：單位一般用“對”，兩個BYPASS接口為一對。當設備斷電時，會自動將兩個接口緞短接，形成環路從而不影響網絡。如4GE-BYPASS可理解為兩對千兆BYPASS接口

2.1.2 接口虛擬系統VRF

虛擬系統的作用：將一個防火墻的硬件在邏輯上劃分成多個防火墻系統，從而可以實現將一臺設備當成多臺設備來使用

在防火墻的接口列表中，Virtual-if0接口是虛擬系統互通使用的接口，每創建一個虛擬系統，會自動生成一個虛擬接口，僅需配置IP地址即可

2.1.3 接口默認網關

默認網關的作用的是自動生成一個指向該網關地址的缺省路由

2.1.4 接口啟用訪問管理

在啟用訪問管理這塊，可以控制允許哪些協議訪問

注意：“啟動訪問管理”的優先級高于安全策略，即如果安全策略未放通，但是如果這邊啟動了，則可以正常訪問

2.2、接口對模塊

接口對默認是trunk干道

2.3、安全區域模塊

初始區域列表有四個：trust、untrust、local、dmz

trust：信任區域，一般放置內網

untrust：非信任區域，一般放置外網

local：防火墻上所有接口都屬于接口

dmz：非軍事化管理區域，介于管理嚴格和不嚴格之間，放置一些對外開放的區域

優先級：0-100

將接口劃分到某個區域，代表的是將接口所連接的網絡劃分到該區域，而接口本身永遠屬于local

優先級的作用：定義方向

• 出方向（outbound）：從優先級高的區域到優先級低的區域
• 入方向（inbound）：從優先級低的區域到優先級高的區域

3、策略頁面

3.1、安全策略

在安全策略列表中初始有一條測略，該策略不可被刪除，只能修改其中的動作為“允許”或“拒絕”，即安全策略隱含一條拒絕所有的策略。

條件匹配中的所有匹配項為“與”關系，而匹配項中的多選項為“或”關系

????????在傳統的包過濾技術中，安全策略本質上就是ACL訪問控制列表，根據數據包的特征進行過濾，對比規則，是逐包對比，效率較低。? ? ??

????????而下一代防火墻（NGFW）的安全策略中，可以執行兩塊內容。第一塊內容是訪問控制，即允許或拒絕通過；第二塊內容是在允許通過的情況下，可以進行內容的安全一體化檢測。

? ? ? ? 并且NGFW的安全策略涉及的維度更多

防火墻的狀態檢測和會話表技術：主要機制是以數據流為單位，僅針對首包進行檢測，檢測通過后會將數據包的特征記錄在本地會話表中，在其老化時間內，數據流的其他數據包來到防火墻后不會再匹配安全策略，而是匹配會話表并根據會話表來進行轉發。

所以我們在新建安全策略時，只需放行去時的流量，不用考慮后續回包。回包會根據去時的會話表記錄轉發回來

注意：為防止回來的信息是冒充的，所以回來的數據包需要符合協議定義的后續報文的要求，這就屬于狀態檢測技術

例：HTTP協議中如果你發送了一個request請求，那么后續回來一定是response；TCP協議中發送的第一個數據包是SYN，則后續的數據包為ACK+SYN，光是一個ACK或SYN都是不符合定義的后續報文要求

會話表技術：提高轉發效率的關鍵，其主要是采用老化機制

老化時間問題：

1. 會話表老化時間過長，會導致占用資源和一些會話（原會話/新會話）無法正常建立
2. 老化時間過短，會導致一些需要長時間發送一次的報文強行中斷，影響正常業務

命令行查看會話表老化時間
<USG6000V1>display firewall session table

會話表技術還彌補了包過濾防火墻的一個安全缺陷，比如當我們進行安全策略時，以包過濾的角度來寫就需要部署兩條安全測略（來和去），但是回來的安全策略有一個嚴重的問題就就是回去的信息可能是存在欺騙的，即我可以去訪問你的任何端口，包括3389、23、22、445等危險端口，防火墻根本攔截不了