1.防火墙概述
1.1防火墙与交换机、路由器对比
路由器与交换机的本质是转发,防火墙的本质是控制。
防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备。
1.2防火墙和路由器实现安全控制的区别
综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
1.3防火墙的发展历史
起初,在上世纪80年代末期,随着计算机网络和互联网的快速发展,防火墙技术应运而生。最早的防火墙主要基于包过滤技术,通过检查数据包的源地址、目的地址和端口号等信息来决定是否允许数据包通过。这种防火墙技术相对简单,但为网络安全提供了基本的防护。
随后,在90年代初,防火墙技术开始发展,出现了状态检测防火墙。这种防火墙能够跟踪每个连接的状态信息,使数据包过滤变得更加智能和准确。同时,代理防火墙技术也开始应用,通过在客户端和服务器之间充当中介来过滤和转发流量,有效检测和防御应用层攻击。
进入90年代中期,防火墙技术进一步发展,出现了更多增值性功能,如VPN、NAT等。同时,商业化的防火墙产品也开始涌现,如以色列的Check Point公司开发出了第一个采用状态检测技术的商业化产品。
到了21世纪初,统一威胁管理(UTM)设备开始出现,将防火墙、入侵检测系统、防病毒、内容过滤等多种安全功能集成到一个设备中,提供更加全面的安全防护。
近年来,随着云计算和大数据技术的兴起,防火墙技术也在不断革新。下一代防火墙(NGFW)应运而生,结合包过滤、状态检测、应用层过滤和其他高级功能,提供更全面和精细的网络安全防护。同时,云防火墙也开始广泛应用,能够在云环境中提供安全防护。
目前,防火墙技术仍在不断发展中,结合人工智能和机器学习等技术,提高威胁检测的准确性和响应速度,并向零信任架构迈进,以更好地应对网络安全威胁。
1.4为什么需要安全区域
为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”一般来说,当报文在不同的安全区域之间流动时,才会受到控制。
我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络接口、网络和安全区域的关系如图所示。
1.4.1将接口划分到安全区域
通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络。
通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络。如图所示,
我们把接口1和接口2放到安全区域A中,接口3放到安全区域B中,接口4放到安全区域C中,这样在防火墙上就存在了三个安全区域,对应三个网络。
在华为防火墙上,一个接口只能加入到一个安全区域中。
1.4.2Local区域
防火墙上提供了Local区域,代表防火墙本身。
防火墙上提供了Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。
Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。
1.5华为防火墙产品
2.防火墙基础配置
- 更改防火墙的登录密码
实验使用USG6000V型号的防火墙,华为防火墙首次登录,需要进行修改密码。
- 区域归属配置
把G1/0/2接口加入到trust区域中,把G1/0/1接口加入到untrust区域中,最后把G1/0/0加入到DMZ区域中。
firewall zone trust
add interface GigabitEthernet1/0/2
firewall zone untrust
add interface GigabitEthernet1/0/1
firewall zone dmz
add interface GigabitEthernet1/0/0
quit
通过display zone命令查看安全区域的配置信息
[FW]display zone
- Web桥接
通过模拟环境中来取一个云彩出来,给自己的Windows先安装换回接口,防火墙中的G0/0/0口是管理接口,默认的管理地址为192.168.0.1,因此桥接真机使用该接口,eNSP中的防火墙G0/0/0接口的服务默认是关闭的,我们需要把它开启。
int gi 0/0/0
service-manage all permit
桥接
3. 防火墙-透明桥模式
透明模式相当于把防火墙当中交换机。
- PC1和AR1的配置
- 防火墙配置
通过桥接在web界面上进行配置,首先把防火墙的服务开启
接着在浏览器上输入192.168.0.1登录到web管理界面上
然后把接口配置为交换口,防火墙上的接口默认为路由口,当我们切换为交换口时,它的区域就失效了,我们就需要重新选择。
首先把G1/0/2接口修改为交换口,区域为trust,然后点击确定进行修改即可。
G1/0/1接口做同样的操作。
设置完了之后,需要做安全策略,因为有默认策略在,现在PC1还是ping不通192.168.1.1
把默认策略改为允许可以实现防火墙的桥透明模式,因为模拟环境存在Bug,所以允许后还是ping不通。
4. 防火墙-路由模式
在图形化界面进行配置
- 配置G1/0/0接口
- 配置1/0/1接口
- 配置1/0/2接口
- Ping测试
因为防火墙默认是禁止ping的,需要把接口放行才可以
到web图形界面上对G1/0/2接口放行ping,把该接口下的ping勾选上,然后点击确定。
同理,也把G1/0/0和1/0/1接口的ping也放行
- 配置AR1和外网服务器
- 在防火墙上做一条默认路由
在防火墙上验证测试
由于是做路由模式,接下来是要把防火墙的默认安全策略改为允许,这样子内网才能访问外网,可能这个放行所有防火墙就没有意义了,变成路由器了。
把默认安全策略改为允许之后,接着需要做NAT转换,通过Easy-ip的方式进行转换。
接下来验证PC1访问百度即可成功访问。
- 做dmz区域中的服务器映射
首先把内网的服务开起来
接着在外网搭建一个客户端
配置AR1的G0/0/2接口
配置客户端
设置映射
验证测试,通过客户端输入映射的公网地址,即可访问到内网的服务器
5.防火墙-安全策略
防火墙的默认安全策略放行所有,起不到其保护功能,接下来就是把上面的允许修改回来拒绝所有。
禁止所有之后,PC1就无法访问百度了。
- 接下来就开始做安全策略,新建安全策略内网访问外网。这一条策略是单向的,trust可以访问untrsut,但是untrust不可以主动访问trust。
验证测试,PC1可以访问百度
- 做trust区域访问dmz区域
没做之前PC1是不可以访问172.16.1.2的
接下来进行配置
验证测试,PC1可以访问172.16.1.2
一般dmz区域的服务器是不允许访问trust区域,如果可以访问,那么可能是被黑客入侵并进行修改,通过服务器作为跳板入侵内网。
- 做untrsut访问dmz
因为默认禁止所有的安全策略开起来,现在外网的客户端是访问不到dmz的
因此需要添加untrsut访问dmz的安全策略,把风险做到小一些,让客户端只访问映射出来的服务器
验证测试,客户端可以通过映射访问dmz中的Web服务器
