防火墻是網(wǎng)絡(luò)設(shè)備中一個很重要的設(shè)備，從字面意思理解，用來隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領(lǐng)域，防火墻主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。

防火墻的分類

目前防火墻主要分為三種，包過濾、應(yīng)用代理、狀態(tài)監(jiān)測

包過濾防火墻：現(xiàn)在靜態(tài)包過濾防護墻市面上已經(jīng)看不到了，取而代之的是動態(tài)包過濾技術(shù)的防火墻。

代理防火墻：因為一些特殊的報文可以輕松突破包過濾防火墻的保護，比如SYN攻擊、ICMP洪水攻擊，所以代理服務(wù)器作為專門為用戶保密或者突破訪問權(quán)限的數(shù)據(jù)轉(zhuǎn)發(fā)通道應(yīng)用防火墻出現(xiàn)了。其實用了一種應(yīng)用協(xié)議分析的新技術(shù)。

狀態(tài)監(jiān)測防火墻：基于動態(tài)包過濾發(fā)展而來，加入了一種狀態(tài)監(jiān)測的模塊，近一點發(fā)展會話過來功能，會話狀態(tài)的保留是有時間限制的。

在國內(nèi)也出現(xiàn)一些比較好的產(chǎn)品，例如華為的USG系列，深信服等等。華為防火墻產(chǎn)品主要包括USG2000、USG5000、USG6000和USG9500四大系列，涵蓋低、中、高端設(shè)備，型號齊全功能豐富，完全能夠滿足各種網(wǎng)絡(luò)環(huán)境的需求。

安全區(qū)域

在學習防護墻之前先要了解關(guān)于安全區(qū)域的概念，安全區(qū)域是一個或多個接口的集合，是防火墻區(qū)別于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標識報文流動的“路線”，當報文在不同的安全區(qū)域之間流動時，才會觸發(fā)安全檢查。

華為防火墻默認情況下提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust，光從名字看就知道這三個安全區(qū)域很有內(nèi)涵。

• Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。
• DMZ區(qū)域²，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。
• Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。

防火墻的部署方式

防火墻有多種部署模式，每個部署模式適用于不同的應(yīng)用場景。主要的應(yīng)用場景分為以下幾種：

1、部署透明模式

適用于用戶不希望改變現(xiàn)有網(wǎng)絡(luò)規(guī)劃和配置的場景。透明模式中，防火墻是“不可見的”，不需配置新的IP地址，只利用防火墻做安全控制。

2、部署路由模式

適用于需要防火墻提供路由和NAT功能的場景。路由模式中，防火墻連接不同網(wǎng)段的網(wǎng)絡(luò)，通常為內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)，且防火墻的每一個接口都分配IP地址。

3、部署混合模式

如果防火墻在網(wǎng)絡(luò)中既有二層接口，又有三層接口，那么防火墻處于混合模式。

4、部署旁路（Tap）模式

用戶希望試用防火墻的監(jiān)控、統(tǒng)計、入侵防御功能，暫時不將防火墻直連在網(wǎng)絡(luò)里，可以選用旁路模式。

華為防火墻Web登錄配置

由于華為防護墻管理口默認地址是192.168.0.1。由于我這里使用的模擬器，我需要把地址改成和我物理機地址同一個網(wǎng)段才行。

通過上圖可以看到GE0/0/0是防火墻的管理口。執(zhí)行如下命令修改IP地址。

[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.56.12 24
[USG6000V1-GigabitEthernet0/0/0]

然后通過瀏覽器訪問https://192.168.56.12:8443。如下圖