目錄

前言

一、防火墻概述

1、防火墻介紹

2、防火墻作用

3、NGFW

（1）基于應用

（2）基于用戶

（3）基于位置

（4）實際應用

4、防火墻的工作模式

（1）路由模式

（2）透明模式

（3）混合模式

5、安全區域

6、區域分類

（1）Trust區域

（2）DMZ區域

（3）Untrust區域

（4）Local區域

（5）其他區域

二、防火墻工作原理

1、Inbound和Outbound

（1）Inbound

（2）Outbound

2、狀態化信息

3、安全策略

（1）策略規則

（2）安全策略特點

結語

---

前言

? ? ?防火墻屬于網絡安全設備，通常位于網絡邊界，用于隔離不同安全級別的網絡，保護一個網絡免受來自另一個網絡的攻擊和入侵，這種“隔離”不是一刀切，是有控制地隔離，允許合法流量通過防火墻，禁止非法流量通過防火墻

一、防火墻概述

1、防火墻介紹

? ? ?防火墻（Firewall）是一種隔離技術，使內網和外網分開，可以防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，保護內網免受外部非法用戶的侵入

2、防火墻作用

? ? ?網絡中的防火墻有以下作用

• 防止因特網的危險傳播到私有網絡
• 在網絡內部保護大型機和重要的資源（如數據）
• 控制內部網絡的用戶對外部網絡的訪問

3、NGFW

? ? ?NGFW全稱是Next Generation Firewall，即下一代防火墻，最早由Gartner提出，NGFW更適用于新的網絡環境， NGFW在功能方面不僅具備標準的防火墻功能，如網絡地址轉換、狀態檢測、VPN和大企業需要的功能，而且要實現IPS和防火墻真正的一體化，而不是簡單地基于模塊，另外，NGFW還需要具備強大的應用程序感知和應用可視化能力，基于應用策略、 日志統計、安全能力與應用識別深度融合，使用更多的外部信息協助改進安全策略，如用戶身份識別等

? ? ?傳統的防火墻只能基于時間、IP和端口進行感知，而NGFW防火墻基于六個維度進行管控和防護，分別是應用、用戶、內容、時間、威脅、位置

（1）基于應用

? ? ?運用多種手段準確識別Web應用內超過6000以上的應用層協議及其附屬功能，從而進行精確的訪問控制和業務加速，其中也包含移動應用，如可以通過防火墻區分微信流量中的語音和文字，進而實現不同的控制策略

（2）基于用戶

? ? ?借助于AD活動目錄、目錄服務或AAA服務器等，基于用戶進行訪問控制、QoS管理和深度防護

（3）基于位置

? ? ?結合全球位置信息，智能識別流量的發起位置，從而獲取應用和攻擊的發起位置，其根據位置信息實現對不同區域訪問流量的差異化控制，同時支持根據IP信息自定義位置

（4）實際應用

? ? ?在實際應用中，應用可能使用任意端口，而傳統FW無法根據端口識別和控制應用，NGFW的進步在于更精細的訪問控制，其最佳使用原則為基于應用+白名單控制+最小授權，目前，華為的NGFW產品主要是USG6000系列，覆蓋從低端的固定化模塊產品到高端的可插播模塊產品

4、防火墻的工作模式

? ? ?華為防火墻具有三種工作模式：路由模式、透明模式、混合模式

（1）路由模式

? ? ?如果華為防火墻連接網絡的接口配置了IP地址，則防火墻工作在路由模式下，當華為防火墻位于內部網絡和外部網絡之間時，需要將防火墻與內部網絡、外部網絡以及DMZ三個區域相連的接口分別配置成不同網段的IP地址，所以需要重新規劃原有的網絡拓撲，此時防火墻首先是一臺路由器，然后提供防火墻功能

（2）透明模式

? ? ?如果華為防火墻通過第二層對外連接（接口無IP地址），則防火墻工作在透明模式下，如果華為防火墻采用透明模式進行工作，只需在網絡中像連接交換機一樣連接華為防火墻設備即可，其最大的優點是無須修改任何已有的IP配置，此時防火墻就像一個交換機一樣工作，內部網絡和外部網絡必須處于同一個子網，此模式下，報文在防火墻當中不僅進行二層的交換，還會對報文進行高層分析處理

（3）混合模式

? ? ?如果華為防火墻既工作在路由模式的接口（接口具有IP地址），又工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下，這種工作模式基本上是透明模式和路由模式的混合

5、安全區域

? ? ?安全區域（Security Zone）簡稱為區域（Zone），防火墻通過區域區分安全網絡和不安全網絡，在華為防火墻上安全區域是一個或多個接口的集合，這些接口所包含的用戶具有相同的安全屬性，每個安全區域具有全局唯一的安全優先級，設備認為在同一安全區域內部發生的數據流動是可信的，不需要實施任何安全策略，只有當不同安全區域之間發生數據流動時，才會觸發防火墻的安全檢查，并實施相應的安全策略，這是防火墻區分于路由器的主要特性，防火墻通過安全區域來劃分網絡，并基于這些區域控制區域間的報文傳遞，當數據報文在不同的安全區域之間傳遞時，將會觸發安全策略檢查

? ? ?華為防火墻中，一個接口只能加入一個安全區域，華為傳統的防火墻默認情況下對從高優先級區域到低優先級區域方向的流量默認放行，但是最新的NGFW防火墻默認禁止一切流量

6、區域分類

（1）Trust區域

? ? ?主要用于連接公司內部網絡，優先級為85，安全等級較高

（2）DMZ區域

? ? ?非軍事化區域，是一個軍事用語，是介于嚴格的軍事管制區和公共區域之間的一種區域，在防火墻中通常定義為需要對外提供服務的網絡，其安全性介于Trust區域和Untrust區域之間，優先級為50，安全等級中等

（3）Untrust區域

? ? ?通常定義外部網絡，優先級為5，安全級別很低，Untrust區域表示不受信任的區域，互聯網上威脅較多，所以一般把Internet等不安全網絡劃入Untrust區域

（4）Local區域

? ? ?通常定義防火墻本身，優先級為100，防火墻除了轉發區域之間的報文之外，還需要自身接收或發送流量，如網絡管理、運行動態路由協議等，由防火墻主動發起的報文被認為是從Local區域傳出的，需要防火墻響應并處理（不是穿越）的報文被認為是由Local區域接收并進行相應處理的，Local區域并不需要添加接口，但所有防火墻自身接口隱含屬于Local區域，雖然我們把一個接口劃分到某個區域中，但也只是表示由這個接口發送或接收的報文屬于該區域，并不代表是該接口本身

（5）其他區域

? ? ?用戶自定義區域，默認最多自定義16個區域，自定義區域沒有默認優先級，所以需要手工指定

二、防火墻工作原理

1、Inbound和Outbound

? ? ?防火墻基于區域之間處理流量，即使由防火墻自身發起的流量也屬于Local區域和其他區域之間的流量傳遞，當數據流在安全區域之間流動時，才會激發華為防火墻進行安全策略的檢查，即華為防火墻的安全策略通常都是基于域間（如Untrust區域和Trust區域之間）的，不同的區域之間可以設置不同的安全策略，域間的數據流分兩個方向Inbound（入方向）和Outbound（出方向），在防火墻技術中，通常把兩個方向的流量區別來看待，因為防火墻的狀態化檢測機制，所以針對數據流通常只重點處理首個報文

（1）Inbound

? ? ?數據由低級別的安全區域向高級別的安全區域傳輸的方向，例如，從Untrust區域（優先級5）的流量到Trust區域（優先級85）的流量就屬于Inbound方向

（2）Outbound

? ? ?數據由高級別的安全區域向低級別的安全區域傳輸的方向，例如，從DMZ 區域（優先級50）的流量到Untrust區域的流量就屬于Outbound方向

2、狀態化信息

? ? ?既然一個域間有Inbound和Outbound兩個方向，那么是否需要為訪問的雙向流量同時配置安全策略呢？答案是否定的，防火墻對于數據流的處理，是針對首個報文在訪問發起的方向檢查安全策略，如果允許轉發，同時將生成狀態化信息也就是會話表，而后續的報文及返回的報文如果匹配到會話表，將直接轉發而不經過策略的檢查，進而提高轉發效率，這也是狀態化防火墻的典型特性，例如，Trust區域的計算機訪問Untrust區域的互聯網，只需要在Trust到Untrust的Outbound方向上應用安全策略即可，不需要做Untrust到Trust 區域的安全策略，當需要讓互聯網用戶訪問公司內網服務器時，需要配置Untrust到Trust區域的安全策略

? ? ?防火墻通過五元組來唯一地區分一個數據流，即源IP、目標IP、協議、源端口及目標端口，防火墻把具有相同五元組內容的數據當作一個數據流，防火墻對于同一個數據流只對首個報文檢查一次安全策略，同時創建會話表來匹配流量中的后續報文及返回的報文

3、安全策略

? ? ?防火墻的基本作用是保護特定網絡免受“不信任”的網絡的攻擊，但是同時還必須允許兩個網絡之間可以進行合法的通信，安全策略的作用就是對通過防火墻的數據流進行檢驗，符合安全策略的合法數據流才能通過防火墻，可以在不同的域間方向應用不同的安全策略進行不同的控制

? ? ?華為新一代防火墻對報文的檢測除了基于傳統的五元組（源IP、目標IP、協議、源端口、目標端口）之外，還可以基于應用、內容、時間、用戶、威脅及位置對流量進行深層探測，真正實現全方位立體化的檢測能力及精準的訪問控制和安全檢測

（1）策略規則

• 條件中的各個元素如果在多條規則中重復調用，或者該元素本身包含多個相關內容，可以考慮配置為對象，對象可被多條規則調用，如果定義一個地址類型的對象，包含公司中的多個網段，那么該對象就可以在規則條件中被源地址或目標地址條件所引用
• 動作是防火墻對于匹配的流量所采取的處理方式，包含允許、拒絕等，不同的策略可以選擇不同的處理方式，如果處理方式是允許，那么還可以繼續基于配置文件對報文做后續處理
• 選項是規則的一些附加功能，如是否針對該規則記錄目志、本條規則是否生效等

（2）安全策略特點

• 策略配置基于全局，不再基于區域間配置，安全區域只是條件的可選配置項，也可在一條規則中配置多個源區域或目標區域
• 默認情況下所有的區域間通信都被拒絕，包括Outbound流量，必須通過策略配置放行所需流量
• 安全策略中的默認動作代替了默認包過濾，傳統防火墻的包過濾是基于區間的，只針對指定的區域間生效，而新一代防火墻的默認動作全局生效，且默認動作為拒絕，即拒絕一切流量，除非允許
• 任何兩個安全區域的優先級不能相同
• 本域內不同接口間的報文不過濾直接轉發
• 接口沒有加入域之前不能轉發包文
• 在USG6000系列的防火墻上默認是沒有安全策略的，也就是說，不管是什么區域之間相互訪問，都必須要配置安全策略，除非是同一區域報文傳遞

結語

? ? ?防火墻通常用于兩個網絡之間有針對性的、邏輯意義上的隔離，當然，這種隔離是高明的，既能阻斷網絡中的各種攻擊又能保證正常通信報文的通過

總結

以上是生活随笔為你收集整理的华为防火墙配置（防火墙基础）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。