防火墙的作用和原理

今日，我们来深入探讨防火墙的基本原理，主要从安全区域、安全策略、会话表以及server-map这四个方面来阐述。

第一部分：安全区域

一、安全区域的概念

防火墙的重要概念之一就是安全区域，它将不同的接口划分到不同的安全区域。若干个具有相同安全属性的接口集合就形成了一个安全区域。

二、默认安全区域

华为防火墙默认划分了四个安全区域，包括：受信区域（trust）、非受信区域（untrust）、非军事化区域（dmz）以及本地区域（local）。设备自身及发出的报文均被视为从Local区域中发出，需要设备响应和处理的报文则视为来自local区域。

三、安全区域优先级

默认的安全区域无法删除，每个安全区域都有固定的优先级，优先级越高，其重要性越大。用户也可以根据自己的需求创建新的安全区域。

四、不同安全区域间的通信示例

例如，PC连接防火墙的G0/0/1口，防火墙将此口划分在trust区域；运营商网络连接防火墙的G0/0/2口，防火墙将此口划分在untrust区域。那么PC是否能通过防火墙访问互联网，这取决于防火墙的安全策略。

第二部分：安全策略

一、安全策略定义

安全策略是防火墙中对流量转发以及流量内容的安全一体化检测的策略。当防火墙收到流量后，会识别流量的属性并与安全策略进行匹配，匹配上则执行相应的动作。

二、安全策略组成

安全策略由匹配条件、动作和安全配置文件组成。匹配条件包括五元组、VLAN、源安全区域、目的安全区域等。动作包括允许和禁止。安全配置文件则包括内容安全检测，如反病毒、入侵防御等。

三、安全策略匹配过程

防火墙的安全策略一般配置多条，按照策略列表顺序执行，从上往下逐条匹配。配置安全策略的顺序十分重要，需要优先配置精确的安全策略，然后再配置粗略的安全策略。系统默认存在一条缺省安全策略，如果所有配置的策略都未匹配，则将匹配缺省安全策略。

第三部分：会话表

一、会话表的概念

会话表是记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转文的重要依据。防火墙基于“状态”转文，只对首包或者少量报文进行检测，然后确认一个连接状态，后续大量的报文则根据连接状态进行控制。会话表就记录了大量的连接状态。

二、会话表的创建与老化时间

防火墙在开启状态检测情况下，只有首包会创建会话表项，后续报文匹配会话表即可转发。对于一个已经建立的会话表表项，如果长时间没有报文匹配，则系统会在一段时间后将其删除，即会话表项已经老化。

三、特殊业务中的长连接功能

对于某些特殊业务，如FTP下载大文件或查询数据库服务器数据等，一条会话的两个连续报文可能间隔时间很长。长连接功能可以为这些特殊流量设定超长的老化时间，解决这一问题。

第四部分：Server-map表

一、Server-map表的产生原因

由于会话表对流量的匹配标准过于严格，可能导致一些特殊协议无法正确匹配。Server-map表的出现就是为了解决这一问题。例如，在使用FTP协议的port方式传输文件时，需要解决服务器端主动向客户端发起服务器数据连接的问题。如果设备上配置的安全策略只允许单方向主动报文通过，那么FTP文件传输将无法成功。此时就需要借助Server-map表来建立特殊的映射关系。这种映射关系可以是控制数据协商出来的数据连接关系或是NAT中的地址映射关系等。通过这个映射关系使得外部网络能够透过设备主动访问内部网络。当数据连接匹配了Server-map表项后就能够被设备正常转发并在匹配后创建会话从而保证后续报文能够按照会话表转发。二、Server-map表的原理和应用Server-map表存储了一种映射关系这些信息可以是控制数据协商出的数据连接关系也可以是NAT中的地址映射关系等通过这些映射关系使得外部网络能够主动访问内部网络如果报文没有命中会话表防火墙会查询是否命中Server-map表如果命中则生成会话表并转文如果没有命中则执行其他处理流程同时firewall会在收到报文后进行初步检查处理进入首包处理流程查询是否命中server-map表来确保网络安全和顺畅的通信体验以上就是防火墙的基本原理介绍希望对您有所帮助。