1、防火墙安全策略

防火墙： 具备交换机、路由器二三层转发功能、本质是控制流量、检测流量、阻断流量

防火墙的历史：

1、第一代防火墙（1989-1994）：包过滤，只能基于报文五元组（SIP、DIP、SPORT、DPORT、协议）检测流量无法对应用层载荷做深度检查

1.1、需要针对流量部署包过滤策略，来、回都要部署，实际上一组流量去包、回报是一个整体

1.2、导致了包过滤策略部署繁琐，也有可能导致安全性问题

2、第二代防火墙（1995-2004）： 具备UTM统一安全威胁能力，集成了很多安全防护功能

3、第三代防火墙（2005至今）： 下一代防火墙，具备之前防火墙所有能力，且硬件、芯片能力提高了，报文检测能力也提高了，引入了DPI深度报文检测

（例如： IPS入侵防御、AV反病毒、URL过滤、邮件过滤、文件内容检查、VPN、NAT、上网行为管理功能、报表、日志功能等等）

3.1、解决了包过滤防火墙问题，引入了状态检测机制，包过滤防火墙不关注报文流生成的前因后果，状态检测能力关注报文流的前因后果，可以判断去流量、回流量是否是一组流量（状态检测机制通过引入会话表项实现，基于流量记录会话表项）

3.2、解决了UTM性能问题，以及报文载荷深度检测的问题，引入DPI可以深度检测报文

防火墙，可以把每个所连接的网络理解成一个逻辑区域，称之为安全区域，且必须把每个网络划入安全区域。

华为默认四个安全区域：

每个安全区域必须配置一个信任级别，信任级别越高，该区域连接的网络越可靠安全

1、Local 100，默认情况下，防火墙所有接口都属于该区域

2、Trust 85，一般把连接内网的接口划入该区域，相当与把该接口连接的网络划入到了该区域，称之为信任区域

3、Untrust 5 ，一般把连接外网的接口划入该区域，相当与把该接口连接的网络划入到了该区域，称之为信任区域

4、DMZ 50，一个军事管理术语，介于信任、非信任之间，一般把连接服务器的接口划入该区域，即服务器所在网络属于该区域

将接口划分到区域命令：

[FH1]firewall zone trust

[FH1-zone-trust]add interface GigabitEthernet0/0/0

防火墙划分好区域之后，防火墙发起访问的流量、访问本地防火墙的流量、经过防火墙的互访流量都可以在区域间转发，可以让防火墙判断该流量是在哪2个区域间流动的，如果不划分安全区域，防火墙回直接丢弃流量，对于经过防火墙的相关流量都需要安全策略管控。

1、什么是防火墙安全策略？本质就是包过滤策略，默认拒绝所有报文通过

2、安全策略如何匹配流量？可以基于流量特征五元组匹配流(SIP、DIP、SPORT、 DPORT、 协议号)、安全区域、服务类型、应用类型、用户等条件对流量进行精确匹配、控制

2.1、不同域间经过防火墙的的流量需要安全策略控制

2.2、防火墙本地事发的数据也是需要安全策略

2.3、其他节点访问防火墙的流量（HTTP、HTTPS、Telnet、Ping、SSH、NETCONF、SNMP），默认不受安全策略控制的，受接口service-manage命令控制，且动作是拒绝所有，可以修改成允许，该命令可以undo关闭掉，如果关闭掉接口的service-manage功能，以上流量也会受安全策列控制。

2.4、在同一个区域间流动的流量默认也是不受安全策略控制，除非在安全策略下面执行default packet-filter intrazone enable，该命令可以让防火墙使用安全策略检查同一个域间流动的流量。

防火墙如何配置安全策略时，如何确定源zone？接受流量的端口就是源zone 。如何确定目的zone？收到数据根据目的IP查表转发，得到的出接口就是目的zone，在配置安全策略，注意安全策略安全区域配置。

3、防火墙状态检测默认是开的，只能为流量首包创建会话，什么是首包？什么是非首包？

IGMP协议流量？

echo ICMP请求报文 首包

echo ICMP回应报文 非首包

TCP协议流量？

第一个握手SYN报文 首包

起他SYN/ACK、ACK报文、非首包

----------------------------------如果来回路径不一致，首包没有经过防火墙，非首包经过防火墙，防火墙就无法放行非首包

防火墙策略命令：

security-policy //进入策略接口

rule name test_1 //策略名称

rule name default //拒绝所有域流量

source-zone trust //源zone区域

destination-zone dmz //目标zone区域

source-address 192.168.1.2 mask 255.255.255.255 //源地址

destination-address 192.168.2.2 mask 255.255.255.255 //目标地址

service icmp //服务类型

action permit //允许通过

安全策略规则针对流量匹配条件，自上而下匹配，而并非是精确匹配，命中那条规则，就执行哪条规则的动作，通过或则拒绝，其他规则就不再匹配。

firewall packet-filter basic-protocol enable命令用来开启基于BGP、LDP、BFD、DHCP单播报文、DHCPv6单播报文以及OSPF单播报文的安全策略控制开关。

undo firewall packet-filter basic-protocol enable命令用来关闭基于BGP、LDP、BFD、DHCP单播报文、DHCPv6单播报文以及OSPF单播报文的安全策略控制开关，缺省命令ensp。

关于安全策略特殊场景？

1、关于防火墙和其他设备对接相关一些协议，例如ospf、bgp等交互的报文是否受安全策略控制，参考产品生产：http://127.0.0.1:51299/icslite/hdx.do?docid=HDXAZJ0102D_07_zh#topicid=ZH-CN_TOPIC_0188340937