一、概念
1.安全区域:防火墙的不同接口划入不同区域,实现区域级别的隔离,每个区域是一个或者多个接口的集合,最后通过设置策略进行区域间的访问控制。
安全区域 Trust:85
非安全区域 UnTrust:5
非安全区域 DMZ:50
本身接口 Local:100
安全级别:数字越大,级别越高
2.按照工作模式划分:
(1)路由模式:设备接口具有IP地址通过三层与外连接,需要改变网络拓扑
(2)透明模式:设备接口无IP地址通过二层对外连接,类似于交换机
(3)混合模式:设备既存在工作在路由模式的接口(接口具有IP地址),又存在工作 在透明模式的接口(接口无IP地址)

3.防火墙区别
(1)传统防火墙:包过滤防火墙,也属于静态防火墙
基于五元组:源IP,目的IP,源端口,目的端口,传输层协议(TCP/UDP)
施过滤主要是基于数据包中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息。
透明防火墙模式下,还可以根据报文的源/目的MAC地址、以太类型等进行过滤。

存在的问题:
• 对于多通道的应用层协议(如FTP、SIP等),部分安全策略配置无法预知。
• 无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets等)。
• 无法识别来自网络中伪造的ICMP差错报文,从而无法避免ICMP的恶意攻击。
• 对于TCP连接均要求其首报文为SYN报文,非SYN报文的TCP首包将被丢弃。在这种处理方式下,当设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的防火墙设备时均被丢弃,这会对中断已有的连接。

(2)下一代防火墙:状态检测防火墙(ASPF)
• 应用层协议检测,包括FTP、HTTP、SMTP、RTSP、H.323(Q.931、H.245、RTP/RTCP)检测;
• 传输层协议检测,包括TCP和UDP检测,即通用TCP/UDP检测。

无防火墙架构_防火墙


二、双机热备

1、主备组网图

无防火墙架构_防火墙_02

说明:
• 防火墙不支持用户配置数据的双机热备份,必须由用户保证备份的两台防火墙上配置数据的一致性。
• 两台互为备份的设备型号必须相同,有相同的内存、CPU以及特性配置,否则不能保证完全备份。
• 两台互为备份的设备的软件版本必须一致。
• 备份接口不能与防火墙业务接口相同,必须使用专用的备份接口,该备份链路不再参与数据转发。
• 不支持非对称路由模式下的防火墙主备,一条流的来回必须经过同一台设备。
• 不支持统计信息的同步,仅支持TCP/UDP协议的会话信息主备。

2、配置
(1)区域划分
[USG6000v] firewall zone trust
[USG6000v-zone-trust] add interface GigabitEthernet 1/0/1

(2)创建VRRP备份组
[USG6000v] interface GigabitEthernet 1/0/4
vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active(standby)

(3)心跳线
用来同步数据
[USG6000v] firewall zone dmz
[USG6000v-zone-dmz] add interface GigabitEthernet 1/0/3
[USG6000v] hrp interface GigabitEthernet 1/0/3 remote 30.1.1.2

(4)转发策略
HRP_A[USG6000v]security-policy
HRP_A[USG6000v–policy security] rule name policy_sec
HRP_A[USG6000v–policy security-rule-policy_sec] source-zone trust
HRP_A[USG6000v–policy security-rule-policy_sec] destination-zone untrust
HRP_A[USG6000v–policy security-rule-policy_sec] action permit
HRP_A[USG6000v–policy security-rule-policy_sec] quit

5.启用hrp备份功能
[USG6000v] hrp enable

查看命令:
HRP_A[USG6000v] display vrrp
HRP_A[USG6000v] display hrp state
HRP_A[USG6000v] display firewall session table

3.三个协议
VRRP:负责单接口的故障检测和流量引导。
VGMP:管理VRRP备份组,控制状态统一切换,保证上下行流量同步切换到备用防火墙(防止来回路径不一致)。
HRP:双机之间的同步数据(会话表,servermap表项,黑名单,arp等)。
心跳线:跑VGMP和hrp协议。

无防火墙架构_防火墙_03