防火墙概述及相关名词注解

恶意程序 --- 一般会具备以下多个或全部特点

1，非法性

2，隐蔽性

3，潜伏性

4，可触发性

5，表现性

6，破坏性

7，传染性

8，针对性

9，变异性

10，不可预见性

防火墙概述

防火墙的核心任务 --- 控制和防护 --- 安全策略 --- 防火墙通过安全策略识别流量并做出相应的动作。

防火墙的分类

吞吐量 --- 单位时间内防火墙处理的数据量

防火墙的发展历程

防火墙的安全策略在进行匹配时，自上向下逐一匹配，匹配上则不再向下匹配，结尾隐含一条拒绝所有的规则。

缺点：

1，因为只关注三四层数据，无法检测应用层，则无法充分的识别安全风险

2，需要逐包匹配检测，

则效率较低。可能会成为网络的瓶颈。

优点：可以检测应用层数据

缺点：1，效率变低

           2，可伸缩性变差：每一种应用都需要开发对应的代理功能，否则无法代理

会话表技术“ --- 首包检测

IDS:入侵检测系统

IDS可以发现安全风险，可以记录，分析以及反馈，但是，并不会直接处理或者消除风险 --一种侧重于风险管理的安全设备 --- 存在一定的滞后性

IPS:入侵防御系统

AV防病毒网关

侧重于风险控制的安全设备

WAF:WEB应用防火墙

UTM:统一威胁管理

串联部署

NGFW：下一代防火墙

防火墙的其他功能

防火墙的组网

带内管理

Telnet，SSH，web，SNMP

带外管理

MGMT --- web管理口 --- G0/0/0 --- 初上配有IP地址192.168.0.1/24，自动开启了web控制以及DHCP的功能 admin/Admin@123

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理服务

[USG6000V1-GigabitEthernet0/0/0] 使用的端口号是8443

本地认证 --- 用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证 --- 对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证 --- 正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

信任主机 --- 只有信任主机中的地址或者网段才能登录控制设备最多可以添加10条信任主机，如果没有配置，则不做限制

接口和接口对

接口 --- 物理接口三层口 --- 可以配置IP地址的接口二层口普层口

接口对 --- “透明网线” --- 可以将一个或者两个接口配置成为接口对，则数据从一个接口进，将不需要查看MAC地址表，直接从另一个接口出；旁路检测接口      虚拟接口环回接口子接口

Vlanif

Tunnel

链路聚合

4个千兆Bypass其实是两对Bypass接口 --- 如果设备出现故障，则两个bypass将直接短接，形成通路，不影响网络数据的传输。

虚拟系统 --- VRF

虚拟系统互通使用的接口，每创建一个虚拟系统，将自动生成一个虚拟接口，仅需要配置IP地址即可 。

添加网关，将自动生成一条指向网关的缺省

这里管理的优先级高于安全策略，安全策略未放通，但是，这里勾选，则可以正常访问

接口对默认是trunk干道

区域

Trust --- 信任区

Untrust --- 非信任区

Local --- 防火墙上所有的接口都属于这个区域

DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本身，永远属于Local。

优先级 --- 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound                                   从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

路由模式

1，接口IP地址，区域划分

2，写内网的回报路由

3，安全策略

4，内到外的NAT

5，服务器映射

透明模式

1，接口配置VLAN，以及划分区域

2，安全策略

3，增加设备的管理接口，用于控制管理设备以及设备的自我升级旁路检测模式

混合模式

防火墙的安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，执行对应的动作；这里数据包的特征 --- 数据包的五元组 --- 源IP，目标IP，源端口，目标端口，协议

在安全策略中，可以执行两块内容，第一块做访问控制，允许或者拒绝通过；第二块是在允许通过的情况下，可以进行内容安全的检测，一体化检测。

所有匹配项之间的关系是“与”，一条中如果可以多选，则多个选项之间为“或”关系

防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位，仅针对首包进行检测，检测之后，将数据包的特征记录在本地的会话表中，之后，数据流中的其他数据包来到防火墙，不再匹配安全策略，则匹配会话表，根据会话表来进行转发

回来的数据包会被检测是否符合协议定义的后续报文的要求