華爲防火牆簡介及其工做原理

防火牆做爲一種安全設備被普遍使用於各類網絡環境中，他在網絡間起到了間隔做用。華爲做爲著名的網絡設備廠商，2001年便發佈了首款防火牆插卡，然後根據網絡發展及技術需求，推出了一代又一代防禦牆及安全系列產品。這篇博文主要介紹華爲防火牆產品及其工做原理。

博文大綱：
1、華爲防火牆產品簡介
1.USG2110
2.USG6600
3.USG9500
4.NGFW
2、防火牆的工做原理
1.防火牆的工做模式
（1）路由模式
（2）透明模式
（3）混合模式
2.華爲防火牆的安全區域劃分
3.防火牆Inbound和Outbound
4.狀態化信息
5.安全策略

1、華爲防火牆產品簡介

USG2000、USG5000、USG6000和USG9500構成了華爲防火牆的四大部分，分別適用於不一樣的網絡需求。其中，USG2000和USG5000系列定位於UTM（統一威脅管理）產品，USG6000系列屬於下一代防火牆產品，USG9500系列屬於高端防火牆產品。接下來詳細介紹一下各個版本系列防火牆的區別！

1.USG2110

USG2110系列是華爲針對中小型企業及連鎖機構等發佈的防火牆設備，其功能包含防火牆、UTM、虛擬專用網、路由、無線等。USG2110系列防火牆具備性能高、可靠性高、配置方便等特性，且價格相對較低，支持多種虛擬專用網組網方式，爲用戶提供安全、靈活、便捷的一體化組網解決方案。如圖：

2.USG6600

USG6600系列是華爲面向下一代網絡環境防火牆產品，適用於大中型企業及數據中心等網絡環境，具備訪問控制精準、防禦範圍全面、安全管理簡單、防禦性能高等特色。可進行企業內網邊界防禦、互聯網出口防禦、雲數據中心邊界防禦、虛擬專用網遠程互聯等組網應用。如圖：

3.USG9500

USG9500系列包含USG9520、USG9560、USG9580三種系列，適用於雲服務提供商、大型數據中心、大型企業園區網絡等。它擁有最精準的訪問控制、最實用的NGFW特性、最領先的「NP+多核+分佈式」結構即最豐富的虛擬化，被稱爲最穩定可靠的安全網關產品，可用於大型數據中心邊界防禦、廣電和二級運營商網絡出口安全防禦、教育網出口安全防禦等網絡場景等。如圖：

4.NGFW

NGFW即下一代防火牆，更適用於新的網絡環境。NGFW在功能方面不只要具有標準的防火牆功能，如網絡地址轉換、狀態檢測、虛擬專用網和大企業須要的功能，並且要實現IPS和防火牆真正的一體化，而不是簡單地基於模塊。另外，NGFW還須要具有強大的應用程序感知和應用可視化能力，基於應用策略、日誌統計、安全能力與應用識別深度融合，使用更多的外部信息協助改進安全策略，如用戶身份識別等。

傳統的防火牆只能基於時間、IP和端口進行感知，而NGFW防火牆基於六個維度進行管理控制和防禦，分別是應用、用戶、內容、時間、威脅、位置。

其中：

• 基於應用：運用多種手段準確識別Web應用內超過6000以上的應用協議及其附屬功能，從而進行精確的訪問控制和業務加速。其中也包含移動應用，如能夠經過防火牆區分微信流量中的語音和文字，進而實現不一樣的控制策略；
• 基於用戶：藉助於AD活動目錄、目錄服務或AAA服務器等，基於用戶進行訪問控制、QoS管理和深度防禦；
• 基於位置：結合全球位置信息，智能識別流量的發起位置，從而獲取應用和***的發起位置。其根據位置信息實現對不一樣區域訪問流量的差別化控制，同時支持根據IP信息自定義位置；

在實際應用中，應用可能使用任意端口，而傳統FW沒法根據端口識別和控制應用。NGFW的進步在於更精細的訪問控制。其最佳使用原則爲「基於應用+白名單控制+最小受權」。

目前，華爲的NGFW產品主要是USG6000系列，覆蓋從低端的固定化模塊產品到高端的可插拔模塊產品。華爲下一代防火牆的應用識別能力範圍領先同行業產品20%，超出國產品牌3~5倍。

2、防火牆的工做原理

1.防火牆的工做模式

華爲防火牆具備三種工做模式：路由模式、透明模式、混合模式。

（1）路由模式

若是華爲防火牆鏈接網絡的接口配置IP地址，則認爲防火牆工做在路由模式下。當華爲防火牆位於內部網絡與外部網絡之間，須要將防火牆與內部網絡、外部網絡以及DMZ三個區域相連的接口分別布配置成不一樣網段的IP地址，因此須要從新規劃原有的網絡拓補，此時防火牆首先是一臺路由器，而後提供其餘防火牆功能。路由模式須要對網絡拓補進行修改，比較麻煩！

（2）透明模式

若是華爲防火牆經過第二層對外鏈接（接口無IP地址），則防火牆工做在透明模式下。若是華爲防火牆採用透明模式進行工做，只需在網絡中像鏈接交換機同樣鏈接華爲防火牆便可，其最大的優勢是武俠修改任何已有的IP配置；此時防火牆就像一個交換機同樣工做，內部網絡和外部網絡必須處於同一個子網。此模式下，報文在防火牆當中不只進行二層的交換，還會對報文進行高層分析處理。

（3）混合模式

若是華爲防火牆既存在工做在路由模式的接口（接口具備IP地址），又存在工做在透明模式的接口（接口無IP地址），則防火牆工做在混合模式下。這種工做模式基本上是透明模式和路由模式的混合，目前只用於透明模式下提供雙機熱備的特殊應用中，別的環境下不建議使用！

2.華爲防火牆的安全區域劃分

安全區域，簡稱區域。防火牆經過區域區分安全網絡和不安全網絡，在華爲防火牆上安全區域是一個或多個接口的集合，是防火牆區分於路由器的主要特性。防火牆經過安全區域來劃分網絡，並基於這些區域控制區域間的報文傳遞。當數據報文在不一樣的安全區域之間傳遞時，將會觸發安全策略進行檢查。

當給一個接口指定安全區域以後，該接口及身後的網絡就被當作一個安全區域，一個安全區域能夠包含一個或多個網段。安全區域是基於網絡的信任區域程度或保護程度來劃分的。將不一樣的接口劃分相應的安全區域後，防火牆經過接口就能夠把安全區域與網絡關聯到一塊兒。當咱們提到某個安全區域中的流量時，就會聯想到這個安全區域下所管理的接口與網絡的對應關係。

華爲防火牆默認有四個區域，分別是Trust、Untrust、DMZ和Local。不一樣的區域擁有不一樣的受信優先級，防火牆則根據這些區域的受信優先級來區分區域的保護級別。

在華爲防火牆上，每一個安全區域都有惟一的安全級別，用數字1~100來表示，數字越大，則表明該區域內的網絡越可信。對於默認的安全區域，他們的安全區域是固定的：Local區域的安全級別是100，Trust區域的安全級別是85，DMZ區域的安全級別是50，Untrust區域的安全級別是5。

用戶能夠根據本身的實際狀況，自行建立更多的安全區域，併爲這些安全區域配置優先級，在配置優先級時須要注意安全級別之間的相互關係，如一個自定義網絡的安全性比目前已經存在的DMZ區域要差，可是比互聯網安全，那麼優先級的取值應該是5~50範圍內。

華爲防火牆常見的幾種區域：

• Trust區域：主要用於鏈接公司內部網絡，優先級爲85，安全等級較高；
• DMZ區域：非軍事化區域，是介於嚴格的軍事管制區和公共區域之間的一種區域，在防火牆中一般定義爲須要對外提供服務的網絡，其安全性介於Trust區域和Untrust區域之間，優先級爲50，安全等級中等；
• Untrust區域：一般定義外部網絡，優先級爲5，安全級別很低。Untrust區域表示不受信任的區域，互聯網上威脅較多，因此通常把Internet等不安全網絡劃入Untrust區域；
• Local區域：一般定義防火牆自己，優先級爲100。防火牆除了轉發區域之間的報文以外，還須要自身接收和發送流量，如網絡管理、運行動態路由協議等。由防火牆主動發起的報文被認爲是從Local區域傳出的，須要防火牆響應並處理（不是穿越）的報文被認爲是由Local區域接收並進行相應處理的。Local區域並不須要添加接口，但全部接口隱含屬於Local區域，雖然咱們一個接口劃分到某個區域中，但也只是表示由這個接口發送或接受的報文屬於該區域，並不表明接口自己；
• 其餘區域：用戶自定義區域，默認最多自定義16個區域，自定義區域沒有默認優先級，因此須要手工指定；

注意：

• 華爲防火牆中，一個接口只能加入一個安全區域；
• 華爲傳統防火牆默認狀況下，對從高優先級區域到低優先級區域方向的流量默認放行，可是華爲最新的NGFW防火牆默認禁止一切流量。如需放行指定的流量，須要管理員設置策略；

3.防火牆Inbound和Outbound

防火牆基於區域之間處理流量，即便由防火牆自身發起的流量也屬於Local區域和其餘區域之間的流量傳遞。當數據流在安全區域之間流動時，纔會激發華爲防火牆進行安全策略的檢查，即華爲防火牆的安全策略一般都是基於域間的，不一樣的區域之間能夠設置不一樣的安全策略。

域間的數據流分爲兩個方向：

• 入方向（Inbound）：數據由低級別的安全區域向高級別的安全區域傳輸的方向；
• 出方向（Outbound）：數據由高級別的安全區域向低級別的安全區域傳輸的方向；

在防火牆技術中，一般把兩個方向的流量區別來看待。由於防火牆的狀態化檢測機制，因此針對數據流一般只重點處理首個報文。

如圖：內網計算機屬於Trust區域，互聯網計算機屬於Untrust區域。當內網計算機訪問互聯網計算機時，屬於正常的公司業務流量，請求包屬於Outbound流量，並且是第一個包，因此防火牆須要基於策略處理該Outbound流量，而返回響應包時，流量屬於Inbound流量，直接查詢狀態化信息放行流量。而外部Untrust區域的互聯網計算機訪問內網計算機多是來自於外部的非法行爲，此時流量風險較大，請求包屬於Inbound流量，並且是第一個包，因此防火牆須要基於安全策略處理該Inbound流量。而返回響應包時，流量屬於Outbound流量，直接查詢狀態化信息放行流量。因此首個包是Inbound的入站包的風險遠遠大於首個包的是Outbound的出站包。在指定防火牆策略時，也應該重點指定嚴格的Inbound域間策略和相對寬鬆的OUtbound域間策略。

4.狀態化信息

狀態化檢測防火牆使用的狀態化檢測和會話機制，目前已經成爲防火牆產品的基本功能，也是防火牆實現安全防禦的基礎技術。

防火牆對於數據流的處理，是針對首個報文在訪問發起的方向檢查安全策略，若是容許轉發，同時將生成狀態化信息——會話表。然後續的報文及返回的報文若是匹配到會話表，將直接轉發而不通過策略的檢查，進而提升轉發效率，這也是狀態化防火牆的典型特性。

防火牆經過五元組來惟一地區分一個數據流，即源IP、目標IP、協議、源端口和目標端口。防火牆把具備相同五元組內容的數據當作一個數據流。防火牆對於同一個數據流只對首個報文檢查一次安全策略，同時建立會話表來匹配數據流中的後續報文及返回報文。該會話表沒法匹配其餘流量，因此防火牆的這種狀態化機制保證了同一會話的數據流高效轉發。可是對於其餘流量，依然要通過防火牆的安全策略檢查，防火牆的這種特性使每一個數據流都至少一個包必須匹配安全策略，而非法的流量在執行安全策略時將會被丟棄。

狀態檢測防火牆使用基於鏈接狀態的檢測機制，將通訊雙方交互的屬於同一鏈接的全部報文都做爲總體的數據流來對待。在狀態檢測防火牆看來，同一個數據流內的報文再也不是孤立的個體，而是存在聯繫的，若是爲數據流的第一個報文創建會話，數據流內的後續報文將直接根據會話進行轉發，從而提升了效率。

會話是通訊雙方的鏈接在防火牆上的具體體現，表明二者的鏈接狀態，一條會話就表示通訊雙方的一個鏈接。防火牆上多餘會話的集合就稱爲會話表。在華爲防火牆上，執行如下命令能夠查看當前的會話表：

重點介紹這個表中的關鍵字段：

• http表明協議；
• 1.1.1.1表明源地址；
• 2049表明源端口；
• 2.2.2.2表明目的地址；
• 80表示目標端口；
• 經過「-->」號能夠直觀的區分源和目標，符號前是源，符號後是目標。

注意：會話時動態生成的，不可能會永久存在。若是長時間沒有報文匹配，則說明通訊雙方已經斷開了鏈接，再也不須要該條會話。此時，爲了節約資源，防火牆會在一段時間後刪除會話，該時間成爲會話老化時間。

5.安全策略

防火牆的基本做用是保護特定網絡免受「不信任」網站的非法操做，可是同時還必須容許兩個網絡之間能夠進行合法的通訊。安全策略的做用就是對經過防火牆的數據流進行檢驗，符合安全策略的合法數據流才能經過防火牆。能夠在不一樣的域間方向應用不一樣的安全策略進行不一樣的控制。

隨着網絡的高速發展，應用的不斷增長，大量基於Web的應用和基於移動的應用愈來愈多，網絡安全對防火牆提出了新的挑戰。傳統的基於IP、端口及協議的訪問控制已經不能知足當前的網絡需求。華爲針對當前的網絡需求。提出了一體化的安全策略。目前USG6000系列防火牆的V100R001版本採用的是一體化安全策略。

所謂一體化，能夠體如今兩個方面：

• 其一是配置上的一體化，如郵件過濾、內容過濾、應用行爲過濾等安全監測經過策略中引用配置文件就可實現，下降了網絡管理員的配置難度；
• 其二是業務上的一體化，一體化的策略只對報文進行一次檢測，多業務功能能夠並行處理，從而大大提升了處理效率；而傳統的防火牆是採用串行方式，流量每通過一個模塊便進行一次檢測；

華爲新一代防火牆對報文的檢測除了基於傳統的五元組（源IP、目標IP、協議、源端口、目標端口）以外，還能夠基於應用、內容、時間、用戶、威脅及位置對流量進行深層檢測，真正實現全方位立體化的檢測能力及精準的訪問控制和安全策略。如圖：

一體化的安全策略由若干規則組成，而規則由條件、動做、配置文件和選項構成。如圖：

其中配置文件的做用是對報文進行內容安全檢測，其中包括反病毒、非法進入防護、URL過濾、文件過濾、內容過濾、應用行爲及郵件過濾。一條規則能夠引用一個或多個配置文件。不一樣類型的規則包含對應對應的默認配置文件，管理員也能夠手動引用一個或多個配置文件。配置文件只有在動做容許時，才能被引用。

條件是匹配某條規則的依據，如報文的源區域、目標地址、時間等。知足規則的全部條件纔算匹配該條規則，如報文匹配規則1的源區域、源地址、用戶、應用、服務。可是就是沒有匹配時間，那麼該報文也不能匹配第一條規則，而是應該繼續往下繼續匹配。一條規則中，不須要配置全部的條件，能夠指定一個或多個條件。

• 條件中的各個元素若是在多條規則中重複使用，或者該元素自己包含多個相關內容，能夠考慮配置爲對象，對象可被多條規則調用。若是定義一個地址類型的對象，包含公司中多個網段，那麼該對象就能夠在規則條件中被源地址或目標地址引用；
• 動做是防火牆對於匹配的流量採用的處理方式，包含容許、拒絕等。不一樣的策略能夠選擇不一樣的處理方式。若是處理方式時運管系，那麼還能夠繼續基於配置文件對報文作後續處理；
• 選項時規則中的附加功能，如是否針對該條規則記錄日誌，本條規則是否生效等；

注意：條件中的各個元素之間是「而且」的關係，報文的屬性與各個元素必須所有匹配，才認爲該報文匹配這條規則；而條件中的同一元素的多個對象之間是「或者」的關係，報文的屬性只要匹配其中的一個對象，就認爲報文的屬性匹配這個元素。

區別於傳統的安全策略，一體化的安全策略具備以下特色：

• 策略配置基於全局，再也不基於區域間配置，安全區域只是條件的可選配置項，也能夠在一條規則中配置多個源區域或目標區域；
• 默認狀況下，全部的區域間通訊都被拒絕，包括Outbound流量。必須經過策略配置放行所需流量；
• 安全策略中的默認動做代替了默認包過濾。傳統防火牆的包過濾是基於區間的，只針對指定的區域間生效，而新一代防火牆的默認動做全局生效，且默認動做爲拒絕，且拒絕一切流量，除非容許；

防火牆對規則的處理順序和ACL很是相似。從上往下依次匹配，找到即停，默認拒絕！

默認狀況下，華爲防火牆的策略有以下特色：

• 任何兩個安全區域的優先級不能相同；
• 本域內不一樣接口間的報文不過濾直接轉發；
• 接口沒有加入域以前不能轉發報文；
• 在USG6000系列的防火牆上是沒有安全策略的，也就是說，不論是什麼區域之間互相訪問，都必須配置安全策略，除非是同一區域報文傳遞；

———————— 本文至此結束，感謝閱讀 ————————