華為防火墻產品介紹及工作原理

博文大綱

• 華為防火墻產品介紹
• 防火墻的工作原理
  1、防火墻的工作模式
  2、華為防火墻的安全區域劃分
  3、防火墻的Inbound和Outbound是什么？
  4、狀態化信息的含義
  5、安全策略的相關概念

華為防火墻產品介紹

USG2000、USG5000、USG6000和USG9500構成了華為防火墻的四大部分，分別適用于不同的環境需求，其中，USG2000和USG5000系列定位于UTM（統一威脅管理）產品，USG6000系列屬于下一代防火墻產品，USG9500系列屬于高端防火墻產品。、

各個系列的產品介紹如下：

1、USG2110：USG2110是華為針對中小企業及連鎖機構、SOHO企業等發布的防火墻設備，其功能涵蓋防火墻、UTM、Virtual Private Network（請自行看首字母，我寫簡寫的話就被和諧了）、路由、無線等。USG2110其具有性能高、可靠性高、配置方便等特性，而且價格相比較低，支持多種Virtual Private Network組網方式。

2、USG6600：是華為面向下一代網絡環境防火墻產品適用于大中型企業及數據中心等網絡環境，具有訪問控制精準、防護范圍全面、安全管理簡單、防護性能高等特點，可進行企業網邊界防護、互聯網出口防護、云數據中心邊界防護、Virtual Private Network遠程互聯等組網應用。

3、USG9500：該系列包含USG9520、USG9560、USG9580三種系列，適用于云服務提供商、大型數據中心、大型企業園區網絡等。它擁有最精準的訪問控制、最實用的NGFW特性，最領先的“NP+多核+分布式”構架及最豐富的虛擬化，被稱為最穩定可靠的安全網關產品，可用于大型數據中心邊界防護、廣電和二級運營商網絡出口安全防護、教育網出口安全防護等網絡場景。

4、NGFW：全稱就是下一代防火墻，NGFW更適用于新的網絡環境。NGFW在功能方面不僅要具備標準的防火墻功能，如網絡地址轉換、狀態檢測、virtual private Network和大企業需要的功能，而且要實現IPS（Invasion 防御系統）和防火墻真正的一體化，而不是簡單的基于模塊。另外，NGFW還需要具備強大的應用程序感知和應用可視化能力，基于應用策略、日志統計、安全能力與應用深度融合，使用更多的外部信息協助改進安全策略，如身份識別等。

傳統防火墻與NGFW防火墻的區別：
傳統的防火墻只能基于時間、IP和端口進行感知，而NGFW防火墻基于六個維度進行管控和防護，分別是應用、用戶、內容、時間、威脅、位置。其中：

• 基于應用：運用多種手段精確識別web應用內超過6000以上的應用層協議及其附屬功能，從而進行精準的訪問控制和業務加速。其中也包含移動應用，如可以通過防火墻區分微信流量中的語音和文字，進而實現不同的控制策略。

• 基于用戶：借助于AD活動目錄、目錄服務器或AAA服務器等，基于用戶進行訪問控制、QoS管理和深度防護。

• 基于位置：結合全球位置信息，智能識別流量的發起位置，從而獲取應用和***的發起位置。其根據位置信息實現對不同區域訪問流量的差異化控制，同時支持根據IP信息自定義位置。

在實際應用中，應用可能使用任意端口，而傳統防火墻無法根據端口識別和控制應用。NGFW的進步在于更精細的訪問控制。其最佳使用原則為基于應用+白名單控制+最小授權。

接下來，我將圍繞著USG6600型號的防火墻產品寫出它的工作原理。

防火墻的工作原理

1、防火墻的工作模式

華為防火墻具有三種工作模式：路由模式、透明模式、混合模式。

1、路由模式：防火墻連接網絡的接口配置IP地址，則認為防火墻工作在路由模式下，此時防火墻首先是一臺路由器，然后提供其他防火墻功能。大多數防火墻都處于路由模式下，介于公司內外與外網之間。

2、透明模式：就把它當成交換機吧，接口沒有配置IP就是工作在透明模式下，一般沒有公司會把路由器當成交換機使用的，這太奢侈了。

3、混合模式：如果華為防火墻即存在路由模式的接口（接口配置了IP），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下，這種工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供雙機熱備的特殊應用中，別的環境下不建議使用。

2、華為防火墻的安全區域劃分

華為防火墻默認存在的區域有：

• Trust區域：主要用于連接公司內部網絡，優先級為85，安全等級較高。
• UNtrust區域：通常連接外部網絡，優先級為5，安全級別很低。該區域表示不受信任的區域，互聯網上的安全隱患太多，所以一般把Internet劃入UNtrust區域。
• DMZ區域：非軍事化區域，一般用來連接需要對外提供服務的服務器，其安全性介于Trust和Untrust區域之間，優先級為50，安全等級中等。
• Local區域：指防火墻本身，優先級為100，防火墻除了轉發區域之間的報文之外，還需要自身接受或發送流量，如遠程管理，運行動態路由協議等。
• 其它區域：用戶自定義區域，默認最多自定義16個區域，自定義區域沒有默認優先級，需要手動指定。

上個圖直觀的感受下區域的劃分：

關于區域配置需要知道的幾點：

• 安全區域的優先級必須是唯一的；
• 一個接口只能加入一個安全區域，但一個安全區域可以有多個接口；
• 默認情況下，華為NGFW防火墻拒絕任何區域之間的流量，如需放行指定的流量，需要設置策略（華為傳統的防火墻默認對高優先級區域到低優先級區域方向流量默認放行，但最新的NGFW防火墻默認禁止一切流量）

3、防火墻的Inbound和Outbound是什么？

防火墻基于區域之間處理流量，當數據流在安全區域之間流動時，才會激發防火墻進行安全策略的檢查，所以可以看出，防火墻的安全策略通常都是基于域間（如UNtrust區域和Trust區域之間）的，域間的數據流分為兩個方向：

入方向（Inbound）：數據由低級別的安全區域向高級別的安全區域傳輸的方向。如Untrust區域（優先級為5）的流量到trust區域（優先級為85）的流量就屬于Inbound方向。

出方向（Outbound）：數據由高級別的安全區域向低級別的安全區域傳輸的方向。如trust區域（優先級為85）的流量到Untrust區域（優先級為5）的流量就屬于Outbound方向。

4、狀態化信息的含義

在防火墻技術中，通常把兩個方向的流量區別對待，因為防火墻的狀態化檢測機制，所以針對數據流通常只重點處理首個報文，安全策略一旦允許首個報文允許通過，那么將會形成一個會話表，后續報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提高防火墻的轉發效率。如，Trust區域的客戶端訪問UNtrust區域的互聯網，只需要在Trust到UNtrust的Outbound方向應用安全策略即可，不需要做UNtrust到Trust區域的安全策略。

防火墻通過五元組來唯一的區分一個數據流，即源IP、目標IP、協議、源端口號、目標端口。防火墻把具有相同五元組內容的數據當做一個數據流，數據包必須同時匹配指定的五元組才算匹配到這條策略，否則會繼續匹配后續策略，它的匹配規則同樣是匹配即停。

前面說到，在防火墻上，首個報文通過后會創建一個會話表，該會話表只能匹配元組相同的流量，無法匹配其他流量（可能目標IP不同，可能目標端口不同），這也正保證了同一會話的數據流高效轉發及嚴格的安全策略檢查。需要注意的是，會話表是動態生成的，但不是永久存在的，如果長時間沒有報文匹配該會話，則證明通信雙方已經斷開了連接，不再需要這條會話，為了節約系統資源，會在一定時間后刪除該會話，這個時間被稱為會話的老化時間。一般不會太久，記得Cisco防火墻上的會話表默認老化時間好像是300s吧。

5、安全策略的相關概念

防火墻的基本作用是保護特定網絡免受“不信任”的網絡的威脅，但是同時還必須允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火墻的數據流進行檢驗，符合安全策略的合法流量才能通過防火墻。可以在不同的域間方向應用不同的安全策略進行不同的控制。

華為針對當前的網絡需求，提出了一體化安全策略，目前USG6000系列防火墻的V100R001版本采用的是一體化安全策略。所謂一體化，可以體現在兩個方面，其一是配置上的一體化，如反 病 毒，郵件過濾、內容過濾、應用行為過濾等安全檢查通過在策略中引用配置文件實現，其二是業務上的一體化，一體化的策略只對報文進行一次檢測，多業務功能可以并行處理，從而提高處理效率。而傳統的防火墻如UTM產品，采用串行方式，流量每經過一個模塊便進行一次檢測。

華為新一代防火墻對報文的檢測除了基于傳統的五元組（源IP、目的IP、源端口、目的端口、協議）之外，還可以基于應用、內容、時間、用戶、威脅及位置對流量進行深層探測，真正實現全方位立體化的檢測能力及精準的訪問控制等。

一體化的安全策略是多個規則組成，而規則由條件、動作、配置文件和選項構成，其中配置文件的作用是對報文進行內容安全檢測，其中包括反 病 毒、入 侵 防御、URL過濾、文件過濾、內容過濾、應用行為控制及郵件過濾。一條規則可以引用一個或多個配置文件。配置文件只有在動作允許時，才能夠被引用。上個圖吧！

在上圖中，可以看到一個條件包含多個元素，條件中的各個元素是“與”的關系，也就是數據包必須同時匹配這些元素，才認為該數據包匹配這條規則。而條件中的同一個元素的多個對象之間是“或”的關系，也就是說，數據包只要匹配其中的一個對象，就認為這個數據包匹配這個元素。舉個栗子，當條件中的源地址同時定義了A、B、C三個地址，只要數據包中的源地址屬于其中任意一個，則表示匹配這個源地址的元素。但該報文同時又要匹配條件中的其他屬性，如目標地址、時間段、服務、用戶等，才算匹配這個規則。

區別于傳統的安全策略，一體化的安全策略具有如下特點：

• 策略配置基于全局，不再基于區域間配置，安全區域只是條件的可選配置項，也可在一條規則中配置多個源區域或目標區域。
• 默認情況拒絕所有區域間的流量，必須通過策略配置放行所需流量。
• 安全策略中的默認動作代替了默認包過濾。傳統的防火墻的包過濾基于區域間的，只針對指定的區域間生效，而新一代防火墻的默認動作全局生效，且默認動作為拒絕，即拒絕一切流量，除非允許。

默認情況下，華為防火墻的策略有如下特點：

1. 任何兩個安全區域的優先級不能相同。
2. 本域內不同接口間的報文不過濾直接轉發。
3. 接口沒有加入域之前不能轉發報文。
4. 在USG系列的防火墻上默認是沒有安全策略的，也就是說，不管是什么區域之間相互訪問，都必須要配置安全策略，除非是同一區域報文傳遞。

———————— 本文至此結束，感謝閱讀 ————————