防火墙介绍

• 防火墙介绍
• 防火墙用户介绍
• 地址转换（NAT）
• 路由
• 访问策略
• sFlow
• QoS
• 高可用性（HA）

虚拟防火墙（Vsys）

FW的目的是保证网络内部数据流的合法性，防止外部非法数据流的侵入，同时管理内部网络用户访问外部网络的权限，并在此前提下将网络中的数据流快速地从一条链路转发到另外的链路上去。FW对流经它的数据流进行安全访问控制，只有符合安全策略的数据才允许通过，不符合安全策略的数据将被拒绝。FW可以关闭不使用的端口、禁止特定端口的通信或来自特殊站点的访问。

NISG是基于状态检测的防火墙。

防火墙主要工作在网络层，通过对网络层数据包头里的信息进行访问控制和状态检测

防火墙用户

网络地址转换

• 网络地址转换（Network Address Translation，NAT）是将数据包包头中的IP地址转换为其他IP地址的技术。
• 防火墙地址转换有三种：SNAT，DNAT，MIP
• 地址转换的好处：

–通过把内网的多个IP转化为一个公网IP，可以有效缓解公网IP地址不足的问题。

–可以隐藏内网真实的IP地址，从而降低内部网络受到攻击的风险，提高网络安全性。

网络地址划分

根据网络ID不同，IP地址可以划分A、B、C、D、E5类：
A类：1.0.0.0-126.255.255.255 掩码 255.0.0.0
B类：128.0.0.0-191.255.255.255 掩码255.255.0.0
C类：192.0.0.0-223.255.255.255 掩码255.255.255.0
D类：224.0.0.1-239.255.255.254 （组播地址，没有掩码）
E类： 240.0.0.1-255.255.255.254 （保留）

在A/B/C三类地址中，又有三个网段划为私有地址，这种地址不允许在公网中路由，它们分别是：
A类： 10.0.0.0-10.255.255.255
B类： 172.16.0.0-172.31.255.255
C类： 192.168.0.0-192.168.255.255

源地址转换

策略SNAT

防火墙通过用户配置策略来实现源地址转换功能。当数据包中的相关信息都满足策略中条件的情况下，防火墙才执行地址转换。
策略的匹配条件包括：
入口接口
出口接口
目的IP地址
传输层协议、目的端口

目的地址转换

目的地址转换，是指数据包进入防火墙后，将数据包的初始目的IP地址转换成内网的IP地址。
防火墙目的地址转换有两种：
一对一DNAT
一对多DNAT，一对多转换的时候可以进行负载均衡
转换TCP和UDP数据包的目的IP地址的同时，可以选择是否进行端口转换。
防火墙还能基于策略进行目的地址转换。

DNAT负载均衡

策略DNAT

防火墙通过用户配置策略来实现目的地址转换功能。当数据包中的相关信息都满足策略中条件的情况下，防火墙才执行地址转换。

策略的匹配条件包括：
入口接口
源IP地址

静态地址映射

静态地址映射（MIP）是指一个IP地址到另一个IP地址的直接一对一映射，实现静态目的地址的转换，将根据数据包的传输方向进行相应的互换。端口不会发生变化。

MIP比DNAT和SNAT的优先级高：从内部发起会话的数据包通过MIP转换源IP后，将不查找SNAT；当外部发起会话的数据包通过MIP转换目的IP后，将不查找DNAT。一条MIP策略相当于一条SNAT策略和一条DNAT策略的组合。

策略MIP

防火墙通过用户配置的MIP策略来实现静态地址映射功能。

策略的匹配条件包括：
入口接口
出口接口
目的IP地址
传输层协议、目的端口

路由

防火墙路由功能有以下几种
静态路由
策略路由
多播路由
路由负载均衡
动态路由
OSPF
RIP
BGP

静态路由

路由基本概念
数据包从一个网络的某个源主机选择一条合适的路径到达另一个网络中某个目的主机的过程被称为路由。

防火墙支持路由功能，管理员可以使用防火墙的IP 路由功能对具有特定信息的IP 数据包进行控制，从而使数据按照管理员指定的路径到达目的主机。

由管理员手动配置的路由信息称为静态路由。

策略路由

策略路由

即为带有限定条件的静态路由。这些条件包括数据包的源IP、目的IP，源端口，目的端口，协议类型等内容，管理员可以通过设定这些条件，来决定哪些数据包使用特定的静态路由。

多播路由

多播路由是为了当防火墙作为多播路由器的时候，也就是在接口上开启了DVMRP以后，控制多播包的转发。

防火墙根据多播数据包的组地址信息查找多播路由，如果没有找到相应的多播路由，将丢弃该多播数据包；如果找到相应的多播路由， 将根据路由中的出口接口和该多播包的TTL 值转发该多播包。

路由负载均衡

当路由表中一条路由包含多个下一跳路由设备时，可能出现某个链路负载过重，而剩余链路闲置的情况，从而导致网络性能下降；或者当某个或多个下一跳路由设备出现故障时，无法保证网络的持续可用性。

防火墙通过负载均衡技术来保证数据流量被合理地分配给各个可用的下一跳路由设备，以解决上述问题。

管理员可以根据下一跳路由设备的性能等因素为其设置适当的权重，将数据包合理地分流。而当某个通往下一跳路由设备的链路（即物理通路）出现故障时，负载均衡仍可保证数据通过其他链路接入网络。

动态路由

动态路由是通过相互连接的路由器之间彼此交换信息，然后按照一定的算法优化出来的，并且这些路由信息随着网络变化动态地更新，随时获得最优的寻路效果。

按照路由器在自治系统中的位置，可以将路由协议分为内部网关协议和外部网关协议。

防火墙支持内部网关协议OSPF和RIP，同时也支持外部网关协议BGP。

访问策略

网络中的一台主机通过发送和接收数据来访问另一个主机或者网络，这些数据以“包”为单位进行传输，且每个数据包中都会包含源地址、目的地址等信息。防火墙不但能够识别每一个流经它的数据包中的这些信息，而且能够决定这些数据包如何被处理（如丢弃或允许转发等），这种技术被称为包过滤技术.
NISG基于IP层进行包过滤控制，涵盖了对TCP、UDP、ICMP以及其他IP类协议（如IGMP和GGP协议）的过滤。对应的过滤策略被称为IP包过滤策略。
管理员可以使用该功能对具有特定信息的IP数据包进行控制，从而实现主机及网络间的访问控制。

状态检测包过滤

防火墙在支持包过滤技术的基础上引入了会话的概念，从而实现更为高效的状态检测包过滤技术。

会话可以简单的理解为某两台主机间的一次交谈。具体的讲，对于基于连接的TCP协议来说，一个会话就是一个TCP连接。对于ICMP这种没有会话概念的协议，我们给它虚拟了会话。

会话的引入使得包过滤过程不再以包为单位进行，而是以会话为单位进行，缩减了系统开销。

会话的关键元素
源IP地址
目的IP地址
源端口
目的端口
协议
所属Vsys

访问策略流程

sFlow

sFlow代理和实例：

sFlow 是一项用于监控网络流量的抽样技术，使网络管理员在不需要额外部署探测器的情况下，从网络设备本身获取流量信息。

防火墙实现了sFlow 代理功能，通过抽样收集网络流量信息，并发送给sFlow 收集器。

QoS

服务质量（Quality of Service， QoS）是用来解决网络延迟和阻塞等问题的安全机制

当发生网络过载或拥塞时，QoS能确保重要业务不被延迟或丢弃，同时保证网络的高效运行。

QoS 功能可以对流经防火墙的数据流量进行控制。

防火墙QoS规则可以分为两种：一是基于接口，另一种是基于策略的。

HA（High Availability）

高可用性（High Availability， HA）提供了一种解决网络中由于单点故障而带来的风险的方法。
高可用性是通过选举协议来实现的。“选举协议” 一般来说可以分为两大类：
整机选举协议，主要的特点是选举的过程以整个设备为单位。
接口的选举协议，选举过程是以设备上的接口为单位，一个接口状态的变化往往不会影响设备上其他接口的状态，其优点是配置比较灵活，而且有标准协议支持，使得理论上所有遵守标准协议的设备都可以组成备份组，互相备份。

NISG的选举协议属于基于接口的选举协议。

防火墙使用增强的VRRP选举协议，不仅可以兼容标准的VRRP，而且还增加了虚拟路由器探测等功能，使得同一台设备上原来相互独立的多个VRRP组可以关联起来，相互影响，既保持了原来的灵活性，又可以在需要的时候实现类似整机选举的功能。

我们的HA主要有下面两个协议：
选举协议，标准的VRRP，并兼容VRRP v2
镜像协议，同步防火墙的配置和运行时信息

虚拟系统（Vsys）

一台防火墙可以被逻辑地划分成多个虚拟防火墙，每个虚拟防火墙拥有自己的管理员、审计员、安全策略、用户认证数据库等。这些虚拟防火墙被称为虚拟系统（Virtual System，Vsys）。

两个虚拟防火墙之间是相互独立，一个Vsys的配置不会影响其他Vsys

防火墙在没有创建任何Vsys时，是一个单独的物理防火墙，称为Root Vsys。根系统管理员可以创建Vsys，管理每个Vsys的资源。

防火墙划分了不同的Vsys以后，将会把相关的资源独立地划分给各个Vsys，各个Vsys将独占自己的资源。

回顾

介绍了防火墙的基本概念
介绍了防火墙地址转换功能，共有三种SNAT，DNAT和MIP
介绍了防火墙的路由功能，有静态路由，策略路由和动态路由。
详细介绍了防火墙的访问策略，也就是IP包过滤
防火墙具有sFlow流量收集功能。
防火墙能很好的实现QoS控制
介绍了高可用性（HA）的特点
介绍了虚拟防火墙（Vsys）。