网络防火墙

初始 PIX 纯软件防火墙 需要宿主机 消耗CPU资源 服务器跑软件

专用硬件、系统

软件体系 可以融入到各种软硬件体系 虚拟云

AI防火墙 后面有数据库的支持

服务器单独的跑ACL

包过滤防火墙的缺点主要表现以下几点：

随着ACL复杂度和长度的增加，其过滤性能呈指数下降；

静态的ACL规则难以适应动态的安全要求；

包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻 易地通过报文过滤器

状态检测防火墙通过对连接的首个数据包（后续简称首包）检测而确定一条连接的状态，产生会话表。后续数据包根据所属连接的状态进行控制（转发或阻塞）

如果是ACL面对一长串数据包 单个检查 会浪费大量的时间和资源

UDP建立伪会话 这个会话只对防火墙有意义

• 安全区域

已创建四个区域，untrust、dmz、trust、local

默认安全区域不能删除，也不允许修改安全优先级

每个Zone都必须设置一个安全优先级，值越大，安全优先级越高

非受信区域：定义Internet等不安全的网络

非军事化区域：定义内网服务器所在区域，这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患

受信区域：通常用于定义内网终端用户所在区域

本地区域：定义设备本身，包括设备各接口

• 基本概念：安全策略

安全策略是控制防火墙对流量进行内容安全一体化检测的策略，收到的数据与安全策略的条件进行匹配

• 基本概念：会话表

会话表用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据

防护墙基于“状态”的报文控制机制，只对首包或少量的报文进行检测就确定一条连接的状态，大量报文直接根据所属连接状态进行控制。提高了防火墙的检测和转发效率。

会话表为了记录连接状态而存在，设备转发TCP、UDP、ICMP报文时都需要查询会话表，来判断该报文所属连接并采取相应的措施

会话表具有老化机制，避免防火墙的设备资源被大量使用、陈旧的会话表项消耗

但是对于特殊业务，会有两个连续报文可能间隔时间很长，如FTP下载大文件，查询数据库数据等，大于老化时间，则业务会中断。长连接机制可以给部分连接设定超长的老化时间。

• 多通道

ASPF与Server-map

解决多通道协议问题（FTP），防火墙需要识别协议在应用层协商的地址和端口，需要开启ASPF(Application Specific Packet Filter 针对应用层的包过滤) 也称作基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息，放开相应的访问规则，生成Server-map表

ASPF去识别访问 预测先起server-map 再根据server-map 起session-table

• 防火墙NAT策略

NAT策略由转换后的地址（接口地址池或出接口地址）、匹配条件、动作三部分组成

防火墙按顺序从上到下依次进行匹配，如果流量匹配到了某条NAT策略，进行NAT转换后，将不再进行下一个NAT策略的匹配

双向NAT策略和目的NAT策略会在源NAT策略的前面

• NAT优缺点

源NAT 适用于用户通过私网地址访问Internet场景

目的NAT 适用于用户通过公网地址访问私网服务器器的场景

双向NAT 适用于双方访问对方的目的地址都不是真实的地址，而是NAT转换后的地址场景

优点

实现IP地址复用，节约宝贵的地址资源

有效避免来自外网的攻击，对内网用户提供隐私保护，可以很大程度上提高网络安全性

缺点

网络监控难度加大

限制某些具体应用

• 防火墙双机热备

当防火墙A和防火墙B的VRRP状态不一致，导致报文来回路径不一致，防火墙的状态检测机制不通过，报文丢失

为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP组管理协议）来弥补局限。将同一台防火墙上的多个VRRP备份组都加入到一个VGMP管理组，由管理组统一管理所有VRRP备份组的状态，来保证管理组内所有VRRP备份组状态都是一致的。

并且防火墙双机热备时，需要保证设备之间数据保持同步，单靠VRRP并不能解决，其次当多台设备都为主设备时，会导致信息的不同步，所以当有多组VRRP时必须保证主从状态同步

统一的进行主备切换，ABC运行了三组VRRP，都以A为主，当任意一组出现故障，都切换至B

防火墙实现双机热备，对trust是一组VRRP，对untrust是另一组VRRP，当两台设备主备不一致，可能会trust出去走A，形成会话表，但是untrust回来走B，找不到会话表

防火墙VGMP组三种状态：Load-balance Active Standby

防火墙VGMP组通过发送VGMP报文通告自身状态，从而根据Hello优先级决定主设备，主设备状态为Active，备设备为Standby

Initialize是初始化状态，设备未启用双机热备功能时，VGMP组处于这个状态；

设备自身的VGMP组优先级等于对端设备的VGMP组优先级时，设备的VGMP组状态为Load-balance；

设备自身的VGMP组优先级大于对端设备的VGMP组优先级时，设备的VGMP组 状态为Active；

设备自身的VGMP组优先级小于对端设备的VGMP组优先级时，设备的VGMP组状态为Standby；

设备没有接收到对端设备的VGMP报文，无法了解到对端VGMP组优先级时， 设备的VGMP组状态为Active。

• HRP冗余备份功能

实现防火墙双机之间状态信息和关键配置命令的动态备份

主设备处理业务时，生成的会话表、server-map表等

配置和状态数据需要网络管理员指定备份通道接口进行备份，心跳线

到设备自身和从设备 发出的报文产生的会话不会备份

对于ICMP协议，设备收到ICMPECHO-REQUEST报文，生成会话后就立即备份 会话

对于TCP协议，设备收到SYN报文，生成会话后就立即备份会话

对于UDP协议，设备收到正向的首个报文，生成会话后就立即备份会话

VGMPHello报文用于协商防火墙主备状态，主备防火墙VGMP组定期向对端发 送VGMP Hello报文，通知对端本身的运行状态（优先级、设备状态等），事件触发时也会发送VGMP报文（如VGMP开启，优先级改变 。

HRPHello报文用于探测对端的VGMP组是否处于工作状态，主备防火墙VGMP 组定期向对端发送HRPHello报文，当Standby端五个报文周期没有收到对端发 送的HRP Hello报文时，会认为对端出现故障，从而将自己切换到Active状态。

当发生主备切换，新的主防火墙，会向所有区域发送免费ARP，更新它们的MAC转发表，保证业务的不间断 抢占机制由VGMP统一管理 默认时延60s

• 管理通道

为了确定双机热备的两台防火墙之间哪些接口是否可用，通过这些接口传递报文信息，也称为心跳线。

HRPHello报文：两台防火墙通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活，也称为HRP心跳报文VGMPHello报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换

HRP数据报文：用于两台防火墙同步配置命令和状态信息

心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用

配置一致性检查报文：用于检测两台防火墙的关键配置是否一致，如安全策略、NAT等

上述报文均不受防火墙的安全策略控制。因此，不需要针对这些报文配置安全策略。