目錄

一、接口

1.1 物理接口

1.2 虛擬接口

二、區域

三、模式

3.1 路由模式

3.2 透明模式

3.3 旁路檢測模式

3.4 混合模式

四、安全策略

五、防火墻的狀態檢測和會話表技術

---

一、接口

1.1 物理接口

三層口 --- 可以配置IP地址的接口

二層口：

1. 普通二層口
2. 接口對---“透明網線” --- 可以將一個或者兩個接口配置成為接口對，則數據從一個接口進，將不需要查看MAC地址表，直接從另一個接口出；
3. 旁路檢測接口

1.2 虛擬接口

環回接口

子接口

Vlanif

Tunnel

鏈路聚合

4個千兆Bypass其實是兩對Bypass接口 --- 如果設備出現故障，則兩個bypass將直接短接，形成通路，不影響網絡數據的傳輸。

虛擬系統---VRF

虛擬系統互通使用的接口，每創建一個虛擬系統，將自動生成一個虛擬接口，僅需要配置IP地址即可 。

添加網關，將自動生成一條指向網關的缺省

這里管理的優先級高于安全策略，安全策略未放通，但是，這里勾選，則可以正常訪問

接口對默認是trunk干道

二、區域

• Trust --- 信任區
• Untrust --- 非信任區
• Local --- 防火墻上所有的接口都屬于這個區域
• DMZ --- 非軍事化管理區域 --- 放置一些對外開放的服務器

將一個接口劃入某一個區域，則代表將這個接口所連接的網絡劃分到對應區域中，而接口本身，永遠屬于Local。

優先級 --- 1 - 100 --- 從優先級高的區域到優先級低的區域 ---- 出方向 --- Outbound

???????????????????????????????? 從優先級低的區域到優先級高的區域 ---- 入方向 ---- inbound

三、模式

3.1 路由模式

1，接口IP地址，區域劃分

2，寫內網的回報路由

3，安全策略

4，內到外的NAT

5，服務器映射

3.2 透明模式

1，接口配置VLAN，以及劃分區域

2，安全策略

3，增加設備的管理接口，用于控制管理設備以及設備的自我升級

3.3 旁路檢測模式

3.4 混合模式

四、安全策略

防火墻的安全策略

傳統包過濾技術 --- 其本質就是ACL訪問控制列表，根據數據包的特征進行過濾，對比規則，執行對應的動作；

這里數據包的特征 --- 數據包的五元組 --- 源IP，目標IP，源端口，目標端口，協議

在安全策略中，可以執行兩塊內容：

• 第一塊做訪問控制，允許或者拒絕通過；
• 第二塊是在允許通過的情況下，可以進行內容安全的檢測，一體化檢測。

下圖中許多都是依靠條件匹配完成策略命中

所有匹配項之間的關系是“與”，一條中如果可以多選，則多個選項之間為“或”關系

五、防火墻的狀態檢測和會話表技術

主要機制就是以數據流作為單位，僅針對首包進行檢測，檢測之后，將數據包的特征記錄在本地的會話表中，之后，數據流中的其他數據包來到防火墻，不再匹配安全策略，則匹配會話表，根據會話表來進行轉發。

回來的數據包會被檢測是否符合協議定義的后續報文的要求。

1，會話表技術；2，狀態檢測技術

會話表技術 --- 提高轉發效率的關鍵 --- 老化機制

• 1，會話表老化時間過長 --- 占用資源，導致一些會話無法正常建立
• 2，老化時間過短 --- 會導致一些需要長時間發送一次的報文強行終端，影響正常業務

在命令行中查看會話表：

<USG6000V1>display firewall session table