一、防火墙概述1. 防火墙概述防火墙的主要作用是划分网络安全边界，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击。

与路由器相比防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率。

由于防火墙用于安全边界，因此往往兼备NAT、VPN等功能，并且在这方面的相比路由器更加强劲。

我司防火墙：Eudemon系列2. 防火墙分类包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。

包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。

另外包过滤防火墙每个包都需要进行策略检查，策略过多会导致性能急剧下降。

代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对客户端来说防火墙是一个服务器，对服务器来说防火墙是一个客户端。

代理型防火墙安全性较高，但是开发代价很大。

对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。

状态检测防火墙状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。

对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。

现在防火墙的主流产品都为状态检测防火墙二、防火墙的基础知识点1. 安全区域（Zone）的概念安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。

我们在防火墙上创建安全区域，并且定义该安全去区域的安全级别，然后将防火墙的接口关联到一个安全区域，那么该接口所连接的这个网络，就属于这个安全区域。

属于同一个安全区域的用户具有相同的安全属性。

Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。

只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。

Eudemon防火墙上预设的安全区域：非受信区（Untrust）：低级的安全区域，安全优先级为5。

通常用于定义Internet等不安全的网络非军事化区（DMZ）：中度级别的安全区域，安全优先级为50。

通常用于定义内网服务器所在区域。

因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个安全级别比Trust低，但是比Untrust高的安全区域中。

受信区（Trust）：较高级别的安全区域，安全优先级为85。

通常用于定义内网终端用户所在区域。

本地区域（Local）：最高级别的安全区域，安全优先级为100。

【防火墙自身为Local区域】Local区域定义的是设备本身，包括设备的各接口本身。

凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由Local区域接受。

用户不能改变Local区域本身的任何配置，包括向其中添加接口。

用户可以自行设置新的安全区域并定义其安全优先级别，Eudemon防火墙最多支持16个安全区域（包括默认保存的五个安全区域）。

安全区域的规划用于可自定义安全区域，也可使用系统自带的安全区域，防火墙的一个接口只能属于一个特定区域，而一个区域可以包含多个接口，接口只有划分到区域中才能正常处理报文。

Local zone指的是设备本身，包括设备的各接口。

凡是发给防火墙的都可认为是发向Local 的，而防火墙始发的数据可以理解为来自Local。

因此若要访问防火墙端口IP，需开放与Local域之间的策略内部网络应安排在安全级别较高的区域外部网络应安排在安全级别最低的区域一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域安全区域的限制：防火墙不能够有两个拥有相同安全级别的区域防火墙的一个物理接口只能属于一个安全区域防火墙的多个接口可以同时属于一个安全区域系统自带的安全区域不能删除。

我们可以根据实际环境的需求配置自定义的安全区域。

相同区域内的不同接口间报文不过滤直接转发；一个报文如果在进、出端口时相同，该报文将被丢弃；接口没有加入安全区域之前不能转发包文。

2. 区域间（interzone）的概念安全域间这个概念用来描述流量的传输通道。

它是两个“区域”之间的唯一“道路”，如果希望对经过这条通道的流量进行控制，就必须在通道上设立“关卡”，也就是安全策略。

但是对于不需要经过这条通道的流量，例如在同一个安全域间内转发的流量，在安全域间下发的安全策略是不起作用的。

任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的安全功能配置都在安全域间视图下配置。

例如上图，内网的PC与Internet的流量，就是需要过interzone trust untrust的策略。

而内网PC访问防火墙的接口，例如ping防火墙的接口，那么这些流量需要通过interzone trust local。

3. Inbound及Outbound安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）：入方向（inbound）：数据由低级别安全区域向高级别安全区域传输的方向； 低——>高出方向（outbound）：数据由高级别安全区域向低级别安全区域传输的方向。

高——>低4 . 防火墙的工作模式路由模式防火墙每个接口连接一个网络，防火墙的接口地址是所连接子网的网关；报文首先通过入接口信息找到进入域信息，然后查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，最后按照配置在这个域间关系上的安全策略进行操作。

透明模式防火墙的接口不能配置IP地址，可被看作一台二层交换机。

透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。

透明模式可以配置系统管理IP。

混合模式防火墙一部份接口工作在透明模式，一部分接口工作在路由模式。

混合模式主要是为了解决防火墙在透明模式下无法双机热备的问题，因为双机热备需要在接口上配置IP地址。

三、Eudemon的基本配置防火墙基础配置任务1.创建安全区域，将接口划分到特定安全区域2.（可选）修改默认的interzone策略3.配置interzone策略配置任务1：创建区域，添加接口到区域创建安全区域（如果是系统自带的安全区域，则无需创建）[Eudemon] firewall zone name ISP1[Eudemon-zone-ISP1] set priority 20将接口加入特定安全区域[Eudemon] firewall zone trust[Eudemon-zone-trust] add interface gi 1/0/1配置任务2：配置默认interzone安全策略开放所有域间默认策略（在测试阶段可以使用这个策略，但是正式上线后，禁止开放该默认192.168.20.3 0[Eudemon-policy-interzone-trust-untrust-outbound-0] policy service service-set ftp [Eudemon-policy-interzone-trust-untrust-outbound-0] action permitInterzone策略Interzone策略中的转发策略四、Eudemon基础配置示例防火墙FW的配置如下：#配置各接口IP[FW] interface GigabitEthernet0/0/1[FW-GigabitEthernet0/0/1] ip address 192.168.1.254 24 [FW] interface GigabitEthernet0/0/2[FW-GigabitEthernet0/0/2] ip address 10.1.1.254 24 [FW] interface GigabitEthernet0/0/3[FW-GigabitEthernet0/0/3] ip address 172.16.1.254 24#向安全区域中添加接口[FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet0/0/1[FW] firewall zone untrust[FW-zone-untrust] add interface GigabitEthernet0/0/2[FW] firewall zone dmz[FW-zone-dmz] add interface GigabitEthernet0/0/3#配置interzone策略，使得trust区域的192.168.1.0/24网段用户能够访问untrust区域的10.1.1.0/24网段。

[FW] policy interzone trust untrust outbound[FW-policy-interzone-trust-untrust-outbound] policy 0[FW-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-0] action permit#配置interzone策略，使得untrust区域的10.1.1.0/24网段用户能够访问DMZ区域的web服务[FW] policy interzone dmz untrust inbound[FW-policy-interzone-trust-untrust-outbound] policy 0[FW-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-0] policy service service-set http ##若不指定service默认为service-set IP[FW-policy-interzone-trust-untrust-outbound-0] action permit完成上述配置后，PC1即可主动发起访问PC2，而PC2无法主动访问PC1；另外，PC2能够访问WebServer的HTTP服务。