防火墙详解（USG6000V）

大家好，欢迎来到IT知识分享网。

0、防火墙组网模式

防火墙能够工作在三种模式下分别是路由模式、透明模式、旁路检测模式、混合模式

0.1、路由模式

路由模式：防火墙全部以第三层对外连接，即接口具有IP 地址。一般都用在防火墙是边界的场景下

防火墙需要的部署/配置：

1. 接口IP地址，区域划分
2. 写内网的回包路由
3. 安全策略
4. 由内到外的NAT
5. 服务器映射

0.2、透明模式

透明模式：防火墙都以二层对接（接口无IP 地址），只是让流量经过它而已，它对于子网用户和路由器来说是完全透明的，用户完全感觉不到防火墙的存在。

特点：可以避免改变拓扑结构造成的麻烦。就像放置一个交换机一样，不用修改其他设备的已有配置，与路由模式相同的是，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

防火墙需要的部署/配置：

1. 接口配置VLAN，划分区域
2. 安全策略
3. 增强设备的管理接口，用于控制管理设备和设备的自我升级

0.3、旁路检测模式

旁路检测模式：与核心设备进行连接，镜像复制核心设备的流量。可以检测传输的数据包，可以做上网管理行为，例如TCP协议中，可以伪装服务器给中断发一个rst标记位的数据包，形成中断（具有滞后性）

0.4、混合模式

混合模式：具有二层和三层的接口（某些接口具有IP 地址，某些接口无IP 地址），这种模式更加灵活，主要用于透明模式作双机备份的情况

 防火墙主要有以下七点功能：

以USG6000V防火墙为讲解，其管理页面为：

通过上图，我们可以将管理页面划分为6个子页面：面板页面、监控页面、策略页面、对象页面、网络页面和系统页面

初始账号：admin

初始密码：Admin@123

1、系统页面

1.1、管理员模块

 在系统页面中的管理员模块，我们可以看到有两大部分：

1. 管理员：实际的管理员账号
2. 管理员角色：为管理员定义的权限身份

1.1.1 管理员

点击“新建”，即可创建一个管理员账号（自选择身份）

本地认证：用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证：对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证：正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

信任主机：只有信任主机中的地址或者网段才能登录控制设备（最多可以添加10条信任主机，如果没有配置，则不做限制）

1.1.2 管理员角色

点击“新建”定义一个拥有自定义权限的身份

1.2 配置模块

1.2.1 高级配置

此处为状态监测技术：

1. 监测数据包是否符合协议的逻辑顺序
2. 检查是否是逻辑上的首包，只有首包可以创建会话表

命令行中开启状态检测功能的命令，如果需要关闭，则在该命令前面加undo [USG6000V1]firewall session link-state tcp check

1.3 高可靠性模块

1.3.1 双机热备

双击热备技术链接

1）如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

2）启用虚拟MAC可以让用户无感知，即用户PC不会切换IP地址对应的MAC地址

HRP手工配置位置

负载分担

双机热备上下如果都是路由器并且有协议，则可以在网络页面的路由模块选择协议路由

 2、网络页面

2.1、接口模块

2.1.1 接口模式和类型

在接口修改页面中，我们可以看到四个模式和多个类型

它们又可分为物理接口和虚拟接口

物理接口：

1. 三层接口：可以配置IP地址
2. 二层接口：普通二层口、接口对，旁路检测接口

接口对：可相当于“透明网线”，可以将一个或多个接口配置称为接口对，则数据从一个接口进时，将不需要查看MAC地址表，而是直接从另一个接口出（当设备断电时，会直接将两个接口短接）

虚拟接口：

1. 环回接口
2. 子接口
3. Vlanif
4. Tunnel
5. 链路聚合

字母前的数字代表接口数量

GE：千兆以太网接口

XG：万兆以太网光接口

BYPASS：单位一般用“对”，两个BYPASS接口为一对。当设备断电时，会自动将两个接口缎短接，形成环路从而不影响网络。如4GE-BYPASS可理解为两对千兆BYPASS接口

2.1.2 接口虚拟系统VRF

虚拟系统的作用：将一个防火墙的硬件在逻辑上划分成多个防火墙系统，从而可以实现将一台设备当成多台设备来使用

在防火墙的接口列表中，Virtual-if0接口是虚拟系统互通使用的接口，每创建一个虚拟系统，会自动生成一个虚拟接口，仅需配置IP地址即可

2.1.3 接口默认网关

默认网关的作用的是自动生成一个指向该网关地址的缺省路由

2.1.4 接口启用访问管理

在启用访问管理这块，可以控制允许哪些协议访问

注意：“启动访问管理”的优先级高于安全策略，即如果安全策略未放通，但是如果这边启动了，则可以正常访问

2.2、接口对模块

接口对默认是trunk干道

2.3、安全区域模块

初始区域列表有四个：trust、untrust、local、dmz

trust：信任区域，一般放置内网

untrust：非信任区域，一般放置外网

local：防火墙上所有接口都属于接口

dmz：非军事化管理区域，介于管理严格和不严格之间，放置一些对外开放的区域

优先级：0-100

将接口划分到某个区域，代表的是将接口所连接的网络划分到该区域，而接口本身永远属于local

优先级的作用：定义方向

• 出方向（outbound）：从优先级高的区域到优先级低的区域
• 入方向（inbound）：从优先级低的区域到优先级高的区域

2.4、路由模块

2.4.1 智能选路

 智能选路

        1）就近选路：根据访问的节点所在运营商地址区域选择对应的运营商线路

在高版本的防火墙中在接口的多出口选项这是有运营商路由这些选项的，而USG6000V是没有这些选项，但它可以只能选项的运营商地址库实现第一个图片，网络的链路接口绑定接口可以实现第二个图

        2）策略路由（PBR）：策略其实也是一种策略，它不仅可以按照现有的路由表进行转发，而且可以根据用户指定的策略进行路由选择的机制，从更多维度决定报文是如何转发的

如果没有配置监控，则匹配上策略路由的流量发现下一跳不可达，则将直接丢弃数据包；如果可开启了检测，检测发现目标下一跳不可达，则将使该策略不生效，则直接不匹配流量，数据包将直接走路由表。

        3）智能选路

全局选路策略：

如果一条链路超过了过载保护阈值，则该链路不再参加智能选路（如果已经创建了会话 表的流量，则将依然走该链路。），将在剩下链路中继续进行智能选路。

基于源IP的会话保持：来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口 转发，适用于对链路切换敏感的场景

基于目的IP的会话保持：访问同一个目标或者相同的目标网段，流量将始终使用同一 个出接口转发，适用于对链路切换敏感的场景

2，基于链路质量进行负载分担

3，基于链路权重的负载分担

权重值由网路管理员手工指定

4，根据链路优先级的主备备份

如果配置了过载保护，则优先级最高的先工作，当超过保护阈值，则次高的开始工作，其余继续备份，相当于此时两条链路同时工作，以此类推。

        4）DNS透明代理

一般是配合就近选路一起使用的，因为就近选路会碰到一些困境需要透明代理来优化

        当使用就近选路时，访问网站选择的路径是依据网站的节点在哪个运营商范围，而网站的域名解析是依赖于DNS服务器，所以当我们填的DNS服务器是电信时，会造成访问的网站大多数都是在电信的公网IP地址范围内，导致电信的路线会被更多的人去使用

        而DNS透明代理的作用就是当你去访问电信范围内的网站时会替换你数据包内的目标地址，比如替换成移动的该网站的网址，从而缓解你的电线链路的压力，那么如何会判断该缓解链路压力呢？当你设定链路带宽过载保护阈值，超过阈值时会使用透明代理。

在接口的首选DNS服务器和备用服务器

在网络的DNS的DNS透明代理

3、策略页面

3.1、安全策略

        在安全策略列表中初始有一条测略，该策略不可被删除，只能修改其中的动作为“允许”或“拒绝”，即安全策略一开始隐含一条拒绝所有的策略。

条件匹配中的所有匹配项为“与”关系，而匹配项中的多选项为“或”关系

        在传统的包过滤技术中，安全策略本质上就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，是逐包对比，效率较低。      

        而下一代防火墙（NGFW）的安全策略中，可以执行两块内容。第一块内容是访问控制，即允许或拒绝通过；第二块内容是在允许通过的情况下，可以进行内容的安全一体化检测。

        并且NGFW的安全策略涉及的维度更多

防火墙的状态检测和会话表技术：主要机制是以数据流为单位，仅针对首包进行检测，检测通过后会将数据包的特征记录在本地会话表中，在其老化时间内，数据流的其他数据包来到防火墙后不会再匹配安全策略，而是匹配会话表并根据会话表来进行转发。

所以我们在新建安全策略时，只需放行去时的流量，不用考虑后续回包。回包会根据去时的会话表记录转发回来

检查是否是逻辑上的首包，只有首包可以创建会话表

注意：为防止回来的信息是冒充的，所以回来的数据包需要符合协议定义的后续报文的要求，这就属于状态检测技术

例：HTTP协议中如果你发送了一个request请求，那么后续回来一定是response；TCP协议中发送的第一个数据包是SYN，则后续的数据包为ACK+SYN，光是一个ACK或SYN都是不符合定义的后续报文要求

会话表技术：提高转发效率的关键，其主要是采用老化机制

老化时间问题：

1. 会话表老化时间过长，会导致占用资源和一些会话（原会话/新会话）无法正常建立
2. 老化时间过短，会导致一些需要长时间发送一次的报文强行中断，影响正常业务

命令行查看会话表老化时间 <USG6000V1>display firewall session table

会话表技术还弥补了包过滤防火墙的一个安全缺陷，比如当我们进行安全策略时，以包过滤的角度来写就需要部署两条安全测略（来和去），但是回来的安全策略有一个严重的问题就就是回去的信息可能是存在欺骗的，即我可以去访问你的任何端口，包括3389、23、22、445等危险端口，防火墙根本拦截不了

3.2、NAT策略

NAT策略是在安全策略后才执行

NAT以技术可分为静态NAT、动态NAT、NAPT和服务器映射

1、静态NAT：内部私网地址与合法公网地址进行一对一的转换。地址有老化时间，在老化时间结束前，其他地址无法再绑定那个唯一的公网地址，即无法与外网联系。

2、动态NAT ：内部本地地址与合法公网地址池中的地址一对一的转换。地址一对一绑定后有老化时间，在老化时间结束前不会释放公网地址，即地址池无空余地址后，其他IP地址无法与外网联系。

3、端口转换NAPT：将内部本地地址与合法公网地址的端口产生映射，即内网与外网的联系通过公网地址的端口进行数据传输。而NAPT又可分为“一对多NAPT”和“多对多NAPT”

4、服务器映射：将外部网络上的请求映射到内部网络中的特定服务器上

3.2.1 NAT策略

在防火墙NAT策略中NAT的分类主要有源NAT、目标NAT、双向NAT

源NAT：基于源IP地址进行转换，包括静态NAT、动态NAT以及NAPT

目标NAT：基于目标IP地址进行转换，服务器端口映射

双向NAT：同时转换源IP地址和目标IP地址

1）源NAT

在源NAT过程中，使用NAT后会在server-map表中生成两条NAt记录，一条是内网到公网地址的转换，另一条是公网到内网地址的转换，这两条记录的老化时间是相同的，它们是同进退的。

转换模式：选择一种NAT（源NAT、目标NAT、双向NAT）

转换前的数据包区域：抓取私网流量，只有没会话表的情况才会抓，如果会话表中存在且老化时间还没过，则不会抓取，而是直接走会话表

源地址转换为：

• 地址池中的数据（动态NAT/NAPT）
• 出接口地址（easy ip）

多对多NAPT

路由黑洞：是指黑洞路由（包含了实际中没有的目标路由网段）和缺省路由形成环路

配置路由黑洞：使所有公网地址池中地址都生成一条指向自身的空接口。

1、当公网地址和出接口地址不在同一网段时，公网用户访问地址池中的公网地址将可能造成环路，所以需要配置路由黑洞的空接口

2、当公网地址和出接口在同一网段时，这种情况不会出现环路，但是路由黑洞可以减少ARP报文，防止ARP报文消耗资源

直连路由和非直连路由：
直连路由的下一跳是出接口地址，表示路由的目标网段到达

非直连路由的下一跳是路径中下一个路由器的入接口地址

针对端口地址转换：可以选择NAT类型，即五元组NAT和三元组NAT

五元组NAT：通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次的NAT的转发，其中的任何一个参数发生变化，都需要更换端口来转发

三元组NAT：仅通过源IP，源端口和协议三个参数来区分一次NAT链接

端口预分配：可以设定端口转发使用的端口范围

源IP地址数量限制：可以设定一个公网IP地址转换的源IP地址的数量，例如设置为1时，公网IP地址在会话表老化前，只能对一个源IP地址进行转换

保留IP地址：在转换地址时，不会使用该地址

三元组的使用场景：两个PC建立peer to peer(p2p）关系时，例如当PC1和PC2想打视频时，通过服务器来转发数据包会占用服务器的资源，那么直接将PC1和PC2直接传输会更加方便。PC1发送视频请求发给服务器，服务器将请求转发个PC2，当PC2同意后。服务器会将PC2的信息发给PC1，此时使用三元组就可以建立连接，而五元组的话会由于目标IP和目标端口不同，而不认为是同一次NAT。

动态NAT

当我们进行no-pat时，NAT会将所有的服务都进行NAT转换，而有端口地址转换时，它会识别有些服务做NAT，有些服务不做NAT。

2）目标NAT

当转换模式选择成目标NAT时，会出现目的地址转换方式：

• 公网地址与私网地址一对一转换：当访问公网地址时，会自动转换成私网地址，且端口号相同
• 公网端口与私网地址一对一转换：当访问公网地址的指定端口时，才会访问到私网地址
• 公网端口与私网端口一对一转换：当访问公网地址的指定端口时，会访问到私网地址的指定端口上
• 公网地址与私网端口一对一转换：当访问公网地址时，会访问到私网地址的指定端口
• 随机转换成目的转换地址池中的地址：当访问公网地址时，会随机访问到目的地址池中的（私网）地址

注意：源NAT策略是在安全策略之后执行，而目标NAT是在安全策略前

3）双向NAT

        双向NAT主要解决的问题是当同一trust区域有一台主机和服务器，并且主机通过域名（公网地址）去访问服务器，此时采用的目标NAT（让外网用户可以访问内网服务器）。此时主机的数据包会发送给防火墙（源地址10.1.1.4，目标地址210.1.1.15），当防火墙收到该数据包后，更改目标地址为10.1.1.3并发送给服务器，服务器收到后会直接将该数据包的回复发给同在私网的主机。而主机收到回复的源地址由于不是一开始发送数据包的目标地址会导致拒绝

        采用双向NAT可以有效解决上述问题

4）多出口NAT

源NAT：

1. 将不同的接口放置在不同的区域中，基于区域做NAT策略
2. 将不同的接口放置在同一个区域，基于接口做NAT策略

目标NAT：

1. 可以分区域配置两个服务器映射
2. 也可以是同一个区域，注意，如果是同一个区域，不能将两个服务器映射策略同时开启“允许服务器访问公网”

3.2.2 服务器映射

用来将私网中的服务器映射到公网上去

注意：新建服务器映射策略中的安全区域是指能够防火墙中的哪个区域访问该地址，即被允许访问该服务器的区域（一般为untrust公网部分）

3.3、带宽管理

3.3.1 带宽策略

默认存在一条针对所有流量不限流的策略

将带宽策略抓取的流量送入带宽通道中

带宽策略是自上而下匹配，一旦匹配不再向下匹配

所属父策略：选择父策略后，当流量匹配到父策略后会逐级匹配子策略，待最小级别的子策略全部匹配不上后，才会向下匹配。适合层次管理化的场景

DSCP优先级：可选择数据的优先级来决定数据包的传输优先级

3.3.2 带宽通道

限流方式可选择为分别设置上下行带宽或设置上下行总带宽

• 上行流量：指的是匹配上我们策略的流量
• 下行流量：指的是和策略相反方向的流量

引用方式：

• 策略独占：每个带宽策略调用这个通道，都按照通道中的设定执行
• 策略共享：所有带宽策略调用这个通道，都按照通道中的设定执行

针对流量可以整体限流也可以对于每IP/用户限流

3.4、ASPF配置

FTP是默认开启了ASPF的

4、对象页面

噢噢噢噢

4.1、用户模块

管理员认证的目的是检验登陆者身份的合法性，而用户认证是上网行为管理（用户、行为、流量）中的一环

用户认证可分为：

1. 上网用户认证：三层认证，将用户和行为进行绑定。所有跨网段的通信都是上网行为。
2. 入网用户认证：二层认证，我们的设备在接入网络中，比如插入交换机或者接入wifi 后，需要进行认证才能正常使用网络
3. 接入用户认证：VPN，对身份合法性进行认证。VPN相当于是跨越公网建立了一条安全的通道，那么这条通道你们觉得在建立之前需要进行一个身份认证

认证方式：

1. 本地认证：访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上存储了密码，验证过程在FW上进行，该方式称为本地认证。
2. 服务器认证：访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上没有存储密码，FW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行，该方式称为服务器认证
3. 单点登录：访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程，该方式称为单点登录

4.1.1 认证域

​

用来定义用户的认证方式和用户的组织结构。初始自带一个default认证域

点击default认证域可进入内部

​

可执行新建用户/批量新建用户/新建用户组/新建安全组

安全组和用户组：安全组和用户组都可以关联策略，但是，用户组关联的策略将递归执行，即其下子用户组均需遵循策略，安全组不递归执行，只有选中的安全组执行策略。

登录名：账号

显示名：用户昵称

在过期时间前，登录后，只要没下线，哪怕时间到了也不会强制下线，采用“柔性政策”。

单向绑定：该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录，但该设备也可以让其他用户登录

双向绑定：该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录，且其他用户不允许在该设备上登录

4.1.2 认证策略

初始认证策略列表有default策略

Portal：网页认证，在触发需要认证的流量后，将提供网页认证界面，需要在界面中输入用 户明和密码进行认证

免认证：认证透明化，在符合单点登录或者IP/MAC双向绑定的前提下，可以不需要进行认 证环节，直接通过IP/MAC地址信息来追溯用户信息。

匿名认证：通过流量中的IP地址来作为用户的身份标识，不需要输入用户名和密码

上述认证配合认证域中的上网方式搭配使用

Portal认证：则认证策略里面的动作需要选择protal；

免认证：则认证策略里面需要选择免认证

单点登录：则认证策略里面也选择免认证

如果认证策略里面选择匿名认证，则不触发这里的认证方式

两个认证域之间是“或”的关系