下一代防火墙-快速配置指南

天融信下一代防火墙本身可以提供完整的访问控制功能，可以自由地采用路由、透明及混合等多种方式集成到客户网络环境中，并通过与天融信的其他安全产品相配合，为客户网络提供强大的安全保护功能。

同时，客户还可以通过网络管理平台（如SNMP管理器或日志服务器）对天融信下一代防火墙的运行状况进行查询、监控和日志分析。另外，天融信下一代防火墙还提供了与其他厂家VPN产品建立IPSec VPN静态隧道，极大加强了网络安全性能。

天融信下一代防火墙具有如下基本功能：

l支持透明、路由和混合三种工作模式。

l支持基于对象的网络访问控制，包括网络层、应用层等多层次的访问控制；支持URL过滤、关键字过滤、邮件过滤，支持入侵防御和防病毒过滤。

l支持多种网络地址转换（NAT）方式。

l支持多种认证方式，如密码认证、证书认证，并且支持本地认证，以及第三方Radius、TACACS和LDAP等认证服务器认证。

l支持标准IPSec VPN。

l能够自防御Land、Smurf、TearOfDrop、SynFlood、Targa3和IPSweep等攻击，具有抗DoS/DDoS攻击功能。

l支持与天融信下一代防火墙双机热备。

l支持IPX、NETBEUI、VOD、H.323v1/v2、SSH等协议。

l支持DHCP，包括DHCP Server、DHCP Client以及DHCP Relay。

l支持接口联动和聚合接口。

l支持智能DNS和服务器负载均衡。

天融信下一代防火墙具有如下特点：

l采用多接口设计，具有良好的网络应用可扩展性。

l高效的访问控制。天融信下一代防火墙采用核检测技术，应用深度过滤策略在系统内核实现应用层深度过滤，可对网络流量进行细粒度控制。

l灵活的管理。实现了TOPSEC防火墙管理协议，管理员可以使用SSH、TELNET登录天融信下一代防火墙，实现类似交换机设备的中央管理。

l高性能的应用层威胁分析能力。系统核心层实现应用层内容的还原、安全检测，深入洞察网络流量，实现高性能的TOPSEC内容安全协议，保证网络安全可靠。

l强大的可视化功能。采用多维度实时图表展示产品运行状态、网络流量组成、应用构成、IPSec流量、安全威胁等统计信息，并提供分析报表，让用户全方位感知网络运行状况。

l系统升级与容错。天融信下一代防火墙可以通过命令行和WebUI方式进行系统升级，同时天融信下一代防火墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择BACKUP方式，用备份系统引导系统。

防火墙的作用是控制外部的非信任网络（如Internet）对内部信任网络的访问、内部网络中不同区域之间的相互访问、以及内网网络访问外部非信任网络，为网络构建全面的安全保护屏障。天融信下一代防火墙所使用的NGTOS操作系统平台是基于模块设计的高稳定性操作系统，通过调用防火墙模块、深度过滤模块、乃至VPN模块、DDoS防御模块、入侵防御模块、防病毒模块等一系列功能模块，防火墙可深度控制穿越安全设备的数据流。

调用各个功能模块后，天融信下一代防火墙处理数据包的基本过程如下图所示。

1）接收处理

防火墙接收到数据报文后进行解析，如果为分片数据报文，且防火墙的分片重组功能开启，则重组数据报文，并区分出报文类型（本地报文、广播报文、二层透明转发报文、路由转发报文）。如果接收的数据包为IPSec协议保护的报文，则还需进行IPSec解密。

2）会话查询

对于一个新接收的报文，防火墙将根据五元组查询会话表，判断该报文是否属于某个已经存在的会话。如果存在，直接转至3）处理。如果不存在，则说明此报文属于一个新的会话，防火墙将调用DDoS防御模块检测报文是否合法，如果报文合法，则在会话表中创建一条新的会话记录。

3）DNAT规则匹配

如果数据报文满足DNAT（目标地址转换）规则条件，天融信下一代防火墙则将报文的目的IP地址（或端口），转换为规则中预先设置的IP地址或端口（真实的IP地址或端口）；否则，不进行地址转换。4）路由查询

报文类型为路由转发报文时才进行路由查询。如果是新建连接，则查找路由表，并记录查询结果在会话表中；如果不是新建连接，则仅仅检查路由年龄是否变化（即路由是否发生变化），有变化时才查路由，重新确定下一跳。数据包如果经过了地址转换操作，防火墙将根据转换后的地址查询路由表。5）IPSec策略匹配

根据报文的源IP地址与目的IP地址匹配IPSec VPN策略中所保护隧道子网，如果匹配成功，则记录信息，在防火墙发送数据报文之前，根据相应IPSec VPN策略加密数据报文。6）访问控制策略匹配

访问控制规则描述了防火墙能否允许符合相关条件的报文通过。防火墙接收到报文后，将按策略的编号顺序逐条匹配访问规则表中所设定规则，一旦寻找到完全匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文。7）SNAT规则匹配

如果数据报文满足SNAT（源地址转换）规则条件，将接收的报文的源IP地址（或端口）转换为规则中预先设定的IP地址（或端口）；否则，不进行地址转换。

8）发送前处理

对于发送IPSec VPN报文，系统将对其进行加密。IPSec VPN加密后的报文目的地址有可能改变，此时，重新查询路由表，确定发送数据报文的下一跳，然后根据下一跳将数据报文转发出去。对于非VPN报文，则直接根据路由查询阶段查询到的下一跳转发报文。

天融信下一代防火墙可以在三种模式下工作：透明模式、路由模式以及混合模式。

l路由模式

在这种模式下，天融信下一代防火墙具备路由器转发数据包的功能，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，天融信下一代防火墙的每个接口均要根据区域规划配置IP地址。

l透明模式

在这种模式下，天融信下一代防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，天融信下一代防火墙可以在设置了IP的VLAN之间进行路由转发。

l混合模式

顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。如下图所示，feth1接口为路由接口，配置了IP 200.96.10.69，feth2和feth3为交换接口，feth1属于Internet区域，feth2属于Intranet区域；feth3属于SSN区域。