外部网络安全隔离

内部网络安全管控

内容安全过滤

入侵防御

防病毒

桌面型防火墙

支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析

接入终端和汇聚内部路由，组建内部互联互通的局域网，实现二/三层快速转发报文

流量控制和安全防护，区分和隔离不同安全区域

路由的分发、寻址和转发，构建外部连接网络

企业

数据中心

包过滤防火墙

状态检测防火墙

AI防火墙

分类

注意点

安全区域优先级值越大优先级越高，范围1-100，必须保证全局唯一

每个自定义安全区域都有一个ID，范围4-9，0.1.2.3用于默认区域，所以最多6个自定义安全区域

控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略

匹配条件 动作 安全配置文件（可选-实现内容安全）

同ACL，按照配置顺序匹配，一旦匹配立即停止

系统默认存在一条缺省安全策略default，位于策略列表的最底部，优先级最低，所有匹配条件均为any，动作默认为禁止

记录连接状态的表项

防火墙状态检测开启情况下，流量的首包会创建会话表项，后续包即可直接匹配会话表项

一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗

对于某些特殊业务中，一条会话的两个连续报文可能间隔时间很长。例如： 用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文。用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间。此时如果其会话表项被删除，则该业务会中断。长连接（Long Link）机制可以给部分连接设定超长的老化时间，有效解决这个问题。

严格的单向安全策略，FTP主动模式建立数据连接时，由服务器发起连接

开启ASPF，生成Server-map表项（简化的会话表）

ASPF、NAT Server和No-PAT方式的源NAT时也会生成相应的Server-map表项

Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制，并且创建会话表； 会话表是通信双方连接状态的具体体现； Server-map表不是当前的连接信息，而是防火墙对当前连接分析后得到的即将到来报文的预测； 防火墙收到报文先检查是否命中会话表，如果没有命中则检查是否命中Server-map表；

URPF

STelnet

SFTP

传输层协议：提供版本协商，加密算法协商，密钥交换，服务端认证以及信息完整性支持

用户认证协议：为服务器提供客户端的身份鉴别

连接协议：将加密的信息隧道复用为多个逻辑通道，提供给高层的应用协议（STelnet、SFTP）使用

检查数据报文的源IP地址是否合法，检查的原理是根据数据包的源IP地址查路由表

严格模式

松散模式

允许匹配缺省路由

针对的是上送CPU的报文，主要用于保护设备自身安全，保证已有业务在发生攻击时的正常运转，避免设备遭受攻击时各业务的相互影响

CPU防攻击

攻击溯源

单向认证

双向认证

[Huawei] cpu-defend policy policy-name

配置黑名单

配置上送CPU报文的限制速率

配置上送CPU报文中指定协议类型报文的优先级

使能动态链路保护功能

使能攻击溯源功能

配置攻击溯源检查阈值

使能攻击溯源事件上报功能

[Huawei] cpu-defend-policy policy-name [ global | slot slot-id ]

查看配置的防攻击策略的信息

查看上送到主控板的报文的统计信息

专网传输

VPN

运营商租赁专网

企业自建专网

远程访问VPN（Remote Access VPN）

局域网到局域网的VPN（Site-to-site VPN）



隧道通过隧道协议实现

数据验证：对报文的完整性和真伪进行检查，丢弃被伪造和被篡改的报文

IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式，保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性（Confidentiality）指对数据进行加密保护，用密文的形式传送数据。 完整性（Data integrity）指对接收的数据进行认证，以判定报文是否被篡改。 防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。 AH协议：主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报。 ESP协议：提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。 IKE协议：用于自动协商AH和ESP所使用的密码算法。



优点： 1.GRE可以对某些网络层协议（如IPX、IPv4、IPv6等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。 2.IPSec VPN用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量。 3.GRE隧道扩展了受跳数限制的路由协议的工作范围，例如：RIP

Keepalive检测功能用于检测隧道对端是否可达。

GRE本身提供两种基本的安全机制：校验和验证、识别关键字

GRE构成要素分为3个部分：乘客协议、封装协议和运输协议。 乘客协议是指用户在传输数据时所使用的原始网络协议。 封装协议的作用就是用来“包装”乘客协议对应的报文，使原始报文能够在新的网络中传输。 运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。 GRE封裝报文时，封装前的报文称为净荷，封装前的报文协议称为乘客协议，然后GRE会封装GRE头部，GRE成为封装协议，也叫运载协议，最后负责对封装后的报文进行转发的协议称为传输协议

GRE的主要缺点是不支持加密和认证。 IPSec的主要缺点是只支持IP协议，且不支持组播。 将 IPSec技术与GRE相结合，可以先建立GRE隧道对报文进行GRE封装，然后再建立 IPSec隧道对报文进行加密，以保证报文传输的完整性和私密性。

L2TP（Layer 2 Tunneling Protocol） VPN是一种用于承载PPP报文的隧道技术，该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。 L2TP组网架构中包括LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）

L2TP是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，它扩展了点到点协议PPP的应用，是一种在远程办公场景中为出差员工或企业分支远程访问企业内网资源提供接入服务的VPN。

组网架构

控制消息用于L2TP隧道和会话连接的建立、维护和拆除。

数据消息用于封装PPP数据帧并在隧道上传输。

NAS-Initiated场景：拨号用户通过NAS访问企业内网

Client-Initiated场景：移动办公用户访问企业内网

Call-LNS场景：通过LAC自主拨号实现企业内网互连

当企业对数据和网络的安全性要求较高时，L2TP无法为报文传输提供足够的保护。这时可以和IPSec功能结合使用，保护传输的数据，有效避免数据被截取或攻击。 L2TP over IPSec既可以用于分支接入总部，也可以用于出差员工接入总部。

1、配置繁琐的策略，且拓展性差，无法规避重叠网段

2、增加设备物理隔离，但是增加额外成本

VRF又称VPN实例（VPN Instance），是一种虚拟化技术。在物理设备上创建多个VPN实例，实例间物理层隔离，每个VPN实例拥有独立的接口、路由表和路由协议进程等。

缺省时，一个网络设备的所有接口都属于同一个转发实例——设备的根实例

逻辑隔离、BGP/MPLS IP VPN、防火墙虚拟系统

[Huawei] ip vpn-instance NAME

[Huawei-vpn-instance-InstanceName] ipv4/6-family

只需要物理隔离不需要配置RD和RT值

[Huawei-GigabitEthernet0/0/0]ip binding vpn-instance

配置接口与VPN实例绑定后，或取消接口与VPN实例的绑定，都会清除该接口的IP地址、三层特性和IP相关的路由协议

ip route-static vpn-instance 绑定路由的实例（源实例） 1.1.1.0 24 vpn-instance 目的实例 2.2.2.2

ospf 1 router-id 1.1.1.1 vpn-instance aa

isis 1 vpn-instance aa

ipv4-family vpn-instance aa

display ip routing-table vpn-instance

ping -vpn-instance aa 1.1.1.1

tracert -vpn-instance aa 1.1.1.1