复习防火墙（一）

防火墙默认的四个区域：

1. 信任区域（Trusted Zone）

• 别名：内部区域（Internal）、内网区
• 安全级别：最高（通常安全级别值为 100，不同厂商可能用数字或标签表示）
• 作用：
  • 连接用户信任的内部网络（如企业内网、办公网、服务器集群等）。
  • 默认允许区域内设备自由通信，限制外部区域对信任区的主动访问，仅允许信任区主动发起的流量返回。

2. 非信任区域（Untrusted Zone）

• 别名：外部区域（External）、互联网区
• 安全级别：最低（通常安全级别值为 10 或 0）
• 作用：
  • 连接不可信的外部网络（如互联网）。
  • 默认禁止非信任区主动访问其他区域，仅允许响应信任区或 DMZ 区主动发起的流量（如用户访问网页后的返回数据）。

3. DMZ 区域（Demilitarized Zone，隔离区）

• 别名：非军事区、中立区
• 安全级别：介于信任区和非信任区之间（通常安全级别值为 50 或 70）
• 作用：
  • 放置需要对外提供服务的服务器（如 Web 服务器、邮件服务器、FTP 服务器等）。
  • 允许非信任区访问 DMZ 的特定服务端口（如 HTTP/HTTPS），同时限制 DMZ 访问信任区的内部资源，避免服务器被入侵后成为攻击跳板。

4. 本地区域（Local Zone）或管理区域（Management Zone）

• 本地区域（Local）：
  • 代表防火墙自身的接口和系统，用于处理防火墙与自身的通信（如防火墙主动发起的连接、日志传输等）。
  • 安全级别通常最高（与信任区同级或更高），默认允许防火墙自身访问其他区域，但禁止其他区域主动访
  • 防火墙上的所有接口都属于这个区域，将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本身，永远属于Local。

例：

• GE0/0 连接内网，被划入 Trust 区：

  • 内网（对端网络）属于 Trust 区，允许 Trust 区设备主动访问其他区域。
  • GE0/0 接口本身属于 Local 区，当防火墙通过 GE0/0 发送路由更新时，流量源是 Local 区，而非 Trust 区。

• GE0/1 连接互联网，被划入 Untrust 区：

  • 互联网（对端网络）属于 Untrust 区，默认禁止主动访问其他区域。
  • GE0/1 接口本身仍属于 Local 区，防火墙通过该接口接收互联网流量时，需检查 Untrust 区到其他区域的策略，但接口自身的管理访问（如通过 HTTPS 远程管理）仍需通过 Local 区的安全规则授权。

优先级---1-100                                                                                                                                   从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域--入方向----inbound

防火墙常用的四种部署模式

1）路由模式（网关模式，Routing Mode）

工作原理

• 防火墙作为 三层设备（路由器）接入网络，每个接口配置独立的 IP 地址，充当不同子网的网关。
• 流量通过三层路由转发，支持 NAT、ACL、路由协议（如 OSPF、BGP）等功能。

部署场景

• 网络边界防护（如企业互联网出口）：防火墙作为内外网的网关，实现内外网隔离和访问控制。
• 多子网互联：连接不同网段（如内网、DMZ、外网），通过路由策略控制跨子网流量。

①接口配IP地址，区域划分
②写内网的汇报路由
③安全策略
④内到外的NAT
⑤服务器映射

2)透明模式

工作原理

• 防火墙作为 二层设备（网桥）接入网络，不改变原有网络的三层架构（IP 地址、子网划分等）。
• 接口无需配置 IP 地址，流量通过二层 MAC 地址转发，防火墙在 OSI 模型的第 2 层（数据链路层）处理流量。

部署场景

• 网络中已有成熟的三层架构（如路由器、三层交换机），希望在不改变 IP 规划的前提下增加安全过滤。
• 适用于 串联在两个二层网络之间（如服务器区与内网之间），透明地对流量进行检测和控制。

上面的路由器是边界，下面的路由器是办公区和生产区的网关。上面的路由器+防火墙+下面的路由器是一整个网段（比如12.0.0.0的网段）。防火墙作为 二层设备接入。此时防火墙在12.0.0.0中相当于交换机。

此时防火墙需要的配置：
①接口配置vlan，以及划分区域
②安全策略
③增加设备的管理接口，用于控制管理设备以及设备的自我升级

3）旁路模式

工作原理

• 防火墙 不直接串联在流量路径中，而是通过端口镜像（SPAN）或分光器获取流量，仅用于监控、审计或入侵检测（如 IDS/IPS 功能），不进行流量转发和过滤。

部署场景

• 流量监控与审计：无需干预正常流量，仅分析数据以满足合规性要求（如日志记录）。
• 入侵检测系统（IDS）部署：被动监听流量，发现攻击行为后报警，不主动阻断（与 IPS 的主动阻断不同）。

上面镜像走的是二层下面管理走的是三层

4）混合模式（Hybrid Mode）

工作原理

• 防火墙同时存在 透明模式接口 和 路由模式接口，部分接口作为二层网桥，部分接口作为三层网关。
• 适用于复杂网络环境，兼顾透明接入和三层路由需求。

部署场景

• 大型网络分区：例如，内网核心区域采用透明模式接入（保持原有 IP），对外连接互联网的接口采用路由模式（配置 NAT 和网关）。
• 服务器区与 DMZ 混合架构：服务器区接口透明接入，DMZ 接口作为路由节点连接外部网络。

安全策略

传统包过滤技术——其本质就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，执行对应的动作；
这里数据包的特征——数据包的五元组——源IP，目标IP，源端口，目标端口，协议

新时代安全策略技术

安全策略的核心组成要素
防火墙策略通常由 ** 条件（匹配规则）和动作（执行结果）** 两部分构成，具体包括：

流量方向
基于防火墙区域（如 Trust、Untrust、DMZ、Local）定义流量方向，例如 “从 Trust 区域到 Untrust 区域”“从 DMZ 到 Trust”。

源 / 目的地址
支持 IP 地址（单地址、网段、地址组）、MAC 地址（二层场景）、用户 / 用户组（结合认证服务器）。

协议与端口
明确匹配的网络协议（如 TCP、UDP、ICMP）及端口号（如 80、443、3389），支持端口范围（如 1000-2000）或 “Any”。

动作
允许（Permit）：符合条件的流量通过防火墙。
拒绝（Deny）：阻断符合条件的流量，通常返回 ICMP 不可达消息。
记录日志（Log）：对匹配规则的流量生成日志，用于审计（常与允许 / 拒绝动作结合）。
 

时间 / 用户条件（可选）
限制策略生效时间（如工作日 9:00-18:00），或仅对特定用户 / 组生效（需集成 Radius、AD 等认证系统）。

例子：

在安全策略中，可以执行两块内容，第一块做访问控制，允许或者拒绝通过；第二块是在允许通过的情况下，可以进行内容安全的检测，一体化检测。