华为防火墙简介及其工作原理

防火墙作为一种安全设备被广泛使用于各种网络环境中，他在网络间起到了间隔作用。华为作为著名的网络设备厂商，2001年便发布了首款防火墙插卡，而后根据网络发展及技术需求，推出了一代又一代防护墙及安全系列产品。这篇博文主要介绍华为防火墙产品及其工作原理。

博文大纲：
一、华为防火墙产品简介
1.USG2110
2.USG6600
3.USG9500
4.NGFW
二、防火墙的工作原理
1.防火墙的工作模式
（1）路由模式
（2）透明模式
（3）混合模式
2.华为防火墙的安全区域划分
3.防火墙Inbound和Outbound
4.状态化信息
5.安全策略

一、华为防火墙产品简介

USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分，分别适用于不同的网络需求。其中，USG2000和USG5000系列定位于UTM（统一威胁管理）产品，USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。接下来详细介绍一下各个版本系列防火墙的区别！

1.USG2110

USG2110系列是华为针对中小型企业及连锁机构等发布的防火墙设备，其功能包含防火墙、UTM、虚拟专用网、路由、无线等。USG2110系列防火墙具有性能高、可靠性高、配置方便等特性，且价格相对较低，支持多种虚拟专用网组网方式，为用户提供安全、灵活、便捷的一体化组网解决方案。如图：

2.USG6600

USG6600系列是华为面向下一代网络环境防火墙产品，适用于大中型企业及数据中心等网络环境，具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点。可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、虚拟专用网远程互联等组网应用。如图：

3.USG9500

USG9500系列包含USG9520、USG9560、USG9580三种系列，适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”结构即最丰富的虚拟化，被称为最稳定可靠的安全网关产品，可用于大型数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景等。如图：

4.NGFW

NGFW即下一代防火墙，更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能，如网络地址转换、状态检测、虚拟专用网和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块。另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等。

传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管理控制和防护，分别是应用、用户、内容、时间、威胁、位置。

其中：

• 基于应用：运用多种手段准确识别Web应用内超过6000以上的应用协议及其附属功能，从而进行精确的访问控制和业务加速。其中也包含移动应用，如可以通过防火墙区分微信流量中的语音和文字，进而实现不同的控制策略；
• 基于用户：借助于AD活动目录、目录服务或AAA服务器等，基于用户进行访问控制、QoS管理和深度防护；
• 基于位置：结合全球位置信息，智能识别流量的发起位置，从而获取应用和***的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制，同时支持根据IP信息自定义位置；

在实际应用中，应用可能使用任意端口，而传统FW无法根据端口识别和控制应用。NGFW的进步在于更精细的访问控制。其最佳使用原则为“基于应用+白名单控制+最小授权”。

目前，华为的NGFW产品主要是USG6000系列，覆盖从低端的固定化模块产品到高端的可插拔模块产品。华为下一代防火墙的应用识别能力范围领先同行业产品20%，超出国产品牌3~5倍。

二、防火墙的工作原理

1.防火墙的工作模式

华为防火墙具有三种工作模式：路由模式、透明模式、混合模式。

（1）路由模式

如果华为防火墙连接网络的接口配置IP地址，则认为防火墙工作在路由模式下。当华为防火墙位于内部网络与外部网络之间，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别布配置成不同网段的IP地址，所以需要重新规划原有的网络拓补，此时防火墙首先是一台路由器，然后提供其他防火墙功能。路由模式需要对网络拓补进行修改，比较麻烦！

（2）透明模式

如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作，只需在网络中像连接交换机一样连接华为防火墙即可，其最大的优点是武侠修改任何已有的IP配置；此时防火墙就像一个交换机一样工作，内部网络和外部网络必须处于同一个子网。此模式下，报文在防火墙当中不仅进行二层的交换，还会对报文进行高层分析处理。

（3）混合模式

如果华为防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用！

2.华为防火墙的安全区域划分

安全区域，简称区域。防火墙通过区域区分安全网络和不安全网络，在华为防火墙上安全区域是一个或多个接口的集合，是防火墙区分于路由器的主要特性。防火墙通过安全区域来划分网络，并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时，将会触发安全策略进行检查。

当给一个接口指定安全区域之后，该接口及身后的网络就被当做一个安全区域，一个安全区域可以包含一个或多个网段。安全区域是基于网络的信任区域程度或保护程度来划分的。将不同的接口划分相应的安全区域后，防火墙通过接口就可以把安全区域与网络关联到一起。当我们提到某个安全区域中的流量时，就会联想到这个安全区域下所管理的接口与网络的对应关系。

华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和Local。不同的区域拥有不同的受信优先级，防火墙则根据这些区域的受信优先级来区分区域的保护级别。

在华为防火墙上，每个安全区域都有唯一的安全级别，用数字1~100来表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，他们的安全区域是固定的：Local区域的安全级别是100，Trust区域的安全级别是85，DMZ区域的安全级别是50，Untrust区域的安全级别是5。

用户可以根据自己的实际情况，自行创建更多的安全区域，并为这些安全区域配置优先级，在配置优先级时需要注意安全级别之间的相互关系，如一个自定义网络的安全性比目前已经存在的DMZ区域要差，但是比互联网安全，那么优先级的取值应该是5~50范围内。

华为防火墙常见的几种区域：

• Trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高；
• DMZ区域：非军事化区域，是介于严格的军事管制区和公共区域之间的一种区域，在防火墙中通常定义为需要对外提供服务的网络，其安全性介于Trust区域和Untrust区域之间，优先级为50，安全等级中等；
• Untrust区域：通常定义外部网络，优先级为5，安全级别很低。Untrust区域表示不受信任的区域，互联网上威胁较多，所以一般把Internet等不安全网络划入Untrust区域；
• Local区域：通常定义防火墙本身，优先级为100。防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理、运行动态路由协议等。由防火墙主动发起的报文被认为是从Local区域传出的，需要防火墙响应并处理（不是穿越）的报文被认为是由Local区域接收并进行相应处理的。Local区域并不需要添加接口，但所有接口隐含属于Local区域，虽然我们一个接口划分到某个区域中，但也只是表示由这个接口发送或接受的报文属于该区域，并不代表接口本身；
• 其他区域：用户自定义区域，默认最多自定义16个区域，自定义区域没有默认优先级，所以需要手工指定；

注意：

• 华为防火墙中，一个接口只能加入一个安全区域；
• 华为传统防火墙默认情况下，对从高优先级区域到低优先级区域方向的流量默认放行，但是华为最新的NGFW防火墙默认禁止一切流量。如需放行指定的流量，需要管理员设置策略；

3.防火墙Inbound和Outbound

防火墙基于区域之间处理流量，即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递。当数据流在安全区域之间流动时，才会激发华为防火墙进行安全策略的检查，即华为防火墙的安全策略通常都是基于域间的，不同的区域之间可以设置不同的安全策略。

域间的数据流分为两个方向：

• 入方向（Inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；
• 出方向（Outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向；

在防火墙技术中，通常把两个方向的流量区别来看待。因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首个报文。

如图：内网计算机属于Trust区域，互联网计算机属于Untrust区域。当内网计算机访问互联网计算机时，属于正常的公司业务流量，请求包属于Outbound流量，而且是第一个包，所以防火墙需要基于策略处理该Outbound流量，而返回响应包时，流量属于Inbound流量，直接查询状态化信息放行流量。而外部Untrust区域的互联网计算机访问内网计算机可能是来自于外部的非法行为，此时流量风险较大，请求包属于Inbound流量，而且是第一个包，所以防火墙需要基于安全策略处理该Inbound流量。而返回响应包时，流量属于Outbound流量，直接查询状态化信息放行流量。所以首个包是Inbound的入站包的风险远远大于首个包的是Outbound的出站包。在指定防火墙策略时，也应该重点指定严格的Inbound域间策略和相对宽松的OUtbound域间策略。

4.状态化信息

状态化检测防火墙使用的状态化检测和会话机制，目前已经成为防火墙产品的基本功能，也是防火墙实现安全防护的基础技术。

防火墙对于数据流的处理，是针对首个报文在访问发起的方向检查安全策略，如果允许转发，同时将生成状态化信息——会话表。而后续的报文及返回的报文如果匹配到会话表，将直接转发而不经过策略的检查，进而提高转发效率，这也是状态化防火墙的典型特性。

防火墙通过五元组来唯一地区分一个数据流，即源IP、目标IP、协议、源端口和目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。防火墙对于同一个数据流只对首个报文检查一次安全策略，同时创建会话表来匹配数据流中的后续报文及返回报文。该会话表无法匹配其他流量，所以防火墙的这种状态化机制保证了同一会话的数据流高效转发。但是对于其他流量，依然要经过防火墙的安全策略检查，防火墙的这种特性使每个数据流都至少一个包必须匹配安全策略，而非法的流量在执行安全策略时将会被丢弃。

状态检测防火墙使用基于连接状态的检测机制，将通信双方交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的，如果为数据流的第一个报文建立会话，数据流内的后续报文将直接根据会话进行转发，从而提高了效率。

会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。防火墙上多余会话的集合就称为会话表。在华为防火墙上，执行以下命令可以查看当前的会话表：

重点介绍这个表中的关键字段：

• http代表协议；
• 1.1.1.1代表源地址；
• 2049代表源端口；
• 2.2.2.2代表目的地址；
• 80表示目标端口；
• 通过“-->”号可以直观的区分源和目标，符号前是源，符号后是目标。

注意：会话时动态生成的，不可能会永久存在。如果长时间没有报文匹配，则说明通信双方已经断开了连接，不再需要该条会话。此时，为了节约资源，防火墙会在一段时间后删除会话，该时间成为会话老化时间。

5.安全策略

防火墙的基本作用是保护特定网络免受“不信任”网站的非法操作，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。可以在不同的域间方向应用不同的安全策略进行不同的控制。

随着网络的高速发展，应用的不断增加，大量基于Web的应用和基于移动的应用越来越多，网络安全对防火墙提出了新的挑战。传统的基于IP、端口及协议的访问控制已经不能满足当前的网络需求。华为针对当前的网络需求。提出了一体化的安全策略。目前USG6000系列防火墙的V100R001版本采用的是一体化安全策略。

所谓一体化，可以体现在两个方面：

• 其一是配置上的一体化，如邮件过滤、内容过滤、应用行为过滤等安全监测通过策略中引用配置文件就可实现，降低了网络管理员的配置难度；
• 其二是业务上的一体化，一体化的策略只对报文进行一次检测，多业务功能可以并行处理，从而大大提高了处理效率；而传统的防火墙是采用串行方式，流量每经过一个模块便进行一次检测；

华为新一代防火墙对报文的检测除了基于传统的五元组（源IP、目标IP、协议、源端口、目标端口）之外，还可以基于应用、内容、时间、用户、威胁及位置对流量进行深层检测，真正实现全方位立体化的检测能力及精准的访问控制和安全策略。如图：

一体化的安全策略由若干规则组成，而规则由条件、动作、配置文件和选项构成。如图：

其中配置文件的作用是对报文进行内容安全检测，其中包括反病毒、非法进入防御、URL过滤、文件过滤、内容过滤、应用行为及邮件过滤。一条规则可以引用一个或多个配置文件。不同类型的规则包含对应对应的默认配置文件，管理员也可以手动引用一个或多个配置文件。配置文件只有在动作允许时，才能被引用。

条件是匹配某条规则的依据，如报文的源区域、目标地址、时间等。满足规则的所有条件才算匹配该条规则，如报文匹配规则1的源区域、源地址、用户、应用、服务。但是就是没有匹配时间，那么该报文也不能匹配第一条规则，而是应该继续往下继续匹配。一条规则中，不需要配置所有的条件，可以指定一个或多个条件。

• 条件中的各个元素如果在多条规则中重复使用，或者该元素本身包含多个相关内容，可以考虑配置为对象，对象可被多条规则调用。如果定义一个地址类型的对象，包含公司中多个网段，那么该对象就可以在规则条件中被源地址或目标地址引用；
• 动作是防火墙对于匹配的流量采用的处理方式，包含允许、拒绝等。不同的策略可以选择不同的处理方式。如果处理方式时运管系，那么还可以继续基于配置文件对报文做后续处理；
• 选项时规则中的附加功能，如是否针对该条规则记录日志，本条规则是否生效等；

注意：条件中的各个元素之间是“并且”的关系，报文的属性与各个元素必须全部匹配，才认为该报文匹配这条规则；而条件中的同一元素的多个对象之间是“或者”的关系，报文的属性只要匹配其中的一个对象，就认为报文的属性匹配这个元素。

区别于传统的安全策略，一体化的安全策略具有如下特点：

• 策略配置基于全局，不再基于区域间配置，安全区域只是条件的可选配置项，也可以在一条规则中配置多个源区域或目标区域；
• 默认情况下，所有的区域间通信都被拒绝，包括Outbound流量。必须通过策略配置放行所需流量；
• 安全策略中的默认动作代替了默认包过滤。传统防火墙的包过滤是基于区间的，只针对指定的区域间生效，而新一代防火墙的默认动作全局生效，且默认动作为拒绝，且拒绝一切流量，除非允许；

防火墙对规则的处理顺序和ACL非常类似。从上往下依次匹配，找到即停，默认拒绝！

默认情况下，华为防火墙的策略有如下特点：

• 任何两个安全区域的优先级不能相同；
• 本域内不同接口间的报文不过滤直接转发；
• 接口没有加入域之前不能转发报文；
• 在USG6000系列的防火墙上是没有安全策略的，也就是说，不管是什么区域之间互相访问，都必须配置安全策略，除非是同一区域报文传递；

———————— 本文至此结束，感谢阅读 ————————