前言

“防火墻”這個名詞起源于建筑領域，其作用是隔離火災，阻止火勢從一個區域蔓延到另一個區域。在網絡通信領域，防火墻設備的主要作用是阻止惡意流量從一個網絡擴散到另一個網絡。作為一個產品品類的名稱，“防火墻”這個名詞非常形象地體現了這一產品的作用。作為安全防護的第一道防線，防火墻在網絡中扮演著重要的角色。

顯然，防火墻產品最核心、最基礎的功能就是訪問控制。防火墻要能夠根據管理員配置的安全策略，控制網絡中的訪問行為。具體來說就是，放行合法業務，阻斷惡意和高風險的流量。為了使訪問控制更精準、策略配置更簡便，安全策略不僅要支持根據IP地址、服務接口進行配置，還要支持根據地理位置、用戶、應用等更容易感知的管控維度進行配置。安全策略還要能夠對合法業務執行深度的安全檢查，以防范隱藏在合法業務中的已知威脅和未知威脅。

要完成訪問控制，防火墻必須部署在網絡邊界，如企業網絡出口、大型網絡內部子網邊界、數據中心邊界等。這就要求防火墻首先是一個網絡設備，要能夠跟上下行網絡設備互通，并保證網絡架構本身的健壯性、穩定性。首先，在設計網絡架構時要盡可能清晰地劃定網絡區域和邊界。根據各部門的工作職能、業務需求和所涉及信息的重要程度等因素，合理劃分子網網段、VLAN和安全區域。保存有重要業務系統及數據的重要網段不能直接與外部系統連接，必須和其他網段隔離，單獨劃分區域。為了管理方便，也可以采用虛擬化技術，把物理設備劃分為邏輯上隔離的多個虛擬設備，實現路由隔離。其次，網絡架構需要具備一定的可靠性，在關鍵節點規劃硬件設備冗余，在關鍵業務路徑上規劃通信線路的冗余，包括業務數據鏈路和帶外管理鏈路。防火墻支持雙機熱備、鏈路負載均衡和服務器負載均衡等可靠性技術，可以保障業務的連續。

為了保障數據傳輸的完整性和保密性，防火墻還需要支持VPN技術。由于網絡協議及文件格式均具有標準、開放、公開的特征，數據在網絡上傳輸的過程中，不僅會出現丟失、重復等錯誤，也會遭遇攻擊或欺詐行為，導致數據被篡改或被竊取。因此，在數據傳輸過程中，應采用校驗技術或密碼技術保證通信過程中數據的完整性，采用密碼技術保證通信過程中數據的保密性。數據傳輸的完整性和保密性可以通過部署VPN來實現，通過隧道封裝為認證用戶提供安全可靠的加密傳輸。華為防火墻具有IPsec VPN、SSL VPN等特性，支持多種軟硬件加密算法。

防火墻產品誕生至今已逾30年，自《華為防火墻技術漫談》出版至2022年10月也已經7年有余。這些年來，網絡技術不斷發展，攻擊手段不斷翻新，攻防技術日新月異，推動防火墻產品不斷演進。7年來，華為防火墻產品很多特性的實現原理和配置方式已經發生了變化。我們不斷收到讀者的追問：《華為防火墻技術漫談》什么時候再版？如今，我們終于可以正面回答這個問題了。本書以華為防火墻產品USG6000E V6R7C20版本為基礎，詳細介紹了構建安全通信網絡的關鍵技術，旨在給讀者呈現每一種關鍵技術的產生背景、技術實現原理、配置指導等內容。

本書內容

本書共計9章，第1、2章介紹防火墻的基礎知識，包括安全策略和NAT技術。第3～6章介紹防火墻的關鍵組網技術，包括雙機熱備冗余技術、虛擬系統隔離技術、鏈路和服務器負載均衡技術。第7～9章介紹VPN技術，包括L2TP VPN、IPsec VPN和SSL VPN。

第1章　安全策略

安全策略是防火墻產品最基礎的功能。通過安全策略，防火墻決定哪些流量可以通過，哪些不能通過。本章從安全策略的基礎知識講起，介紹了安全策略的基本配置方式和配置原則，用常見業務的配置實例展示了分析業務和配置安全策略的思路與方法。此外，本章還提供了配置和管理安全策略的最佳實踐和維護手段。

第2章　NAT

NAT是一種地址轉換技術，支持轉換報文的源地址和目的地址。NAT是解決IPv4地址短缺問題的重要手段。本章介紹了源NAT和目的NAT的基本原理、應用場景和配置方法，說明了雙向場景和多出口場景下的配置技巧。

第3章　雙機熱備

雙機熱備是最常見的設備冗余技術。在網絡的重要節點上部署兩臺設備，互為備份。當一臺設備發生故障時，另一臺設備可以自動接替，不用人工干預。本章介紹了防火墻雙機熱備技術的原理，提供了多種典型場景的實現方案和配置思路，分析了雙機熱備場景下NAT、IPsec、虛擬系統等特性的應用方案。

第4章　虛擬系統

虛擬系統技術是把一臺防火墻從邏輯上劃分為多臺防火墻，即虛擬系統。每個虛擬系統相當于一臺真實的設備，可以擁有自己的接口、路由表等軟件和硬件資源。虛擬系統之間默認互相隔離，便于管理，也提高了安全性。本章解釋了虛擬系統的基本概念，介紹了虛擬系統的典型部署場景，說明了資源分配、分流、互訪等關鍵技術。

第5章　鏈路負載均衡

鏈路負載均衡是網絡出口鏈路冗余的核心技術，是防火墻作為出口網關所必備的常用特性。本章介紹了就近選路、全局選路策略、策略路由的原理和配置方式，并詳細闡述了DNS透明代理和智能DNS在鏈路負載均衡中的作用。這些技術結合在一起，可以實現出站方向的鏈路負載均衡和入站方向的鏈路負載均衡。

第6章　服務器負載均衡

服務器負載均衡是計算設備冗余和擴展的支撐技術。防火墻作為負載均衡設備，為用戶請求調度服務器集群，保證用戶體驗。本章介紹了服務器負載均衡的核心功能，七層負載均衡和SSL卸載的應用場景和實現原理，并給出了基本的配置方法。

第7章　L2TP VPN

L2TP是一種標準的二層隧道協議，它本身沒有加密能力，但是我們可以使用IPsec加密L2TP報文。L2TP VPN分為NAS-Initiated L2TP VPN、Client-Initiated L2TP VPN和LAC-Auto-Initiated L2TP VPN 3種組網場景，本章圍繞這3種組網場景，介紹L2TP VPN的原理和配置方法。

第8章　IPsec VPN

IPsec是IETF制定的一個安全標準框架，為數據安全傳輸提供了一組安全協議和算法，以保證VPN連接的安全。本章介紹了IPsec的協議框架，說明了以手工方式、ISAKMP方式和模板方式建立IPsec VPN的方法。此外，本章還介紹了NAT穿越、對等體檢測、L2TP over IPsec等技術和場景。

第9章　SSL VPN

SSL VPN是一種采用SSL協議來實現遠程接入的新型VPN技術。它提供了更簡單的技術方案，更豐富的認證手段，更精細的授權粒度。本章從SSL協議框架開始，介紹了基本的技術原理，提供了SSL VPN的配置邏輯和典型業務的配置方法。

讀者對象

本書適合具有數據通信和網絡安全基礎，但需要系統學習網絡安全技術的工程師閱讀，包括以下幾類讀者。

（1）數據通信和網絡安全從業人員

本書可作為自學用書，幫助從業人員了解網絡安全產品的關鍵技術原理，掌握配置方法和部署技巧，找到解決問題的思路。本書可作為HCIP和HCIE安全方向的培訓認證參考書，有助于從業人員快速通過認證考試，提升個人能力和價值。

（2）華為安全產品的用戶

本書可作為使用指南，幫助用戶循序漸進，更加深入地了解華為安全產品的技術原理、配置方法和排障思路。

致謝

本書由華為技術有限公司數據通信數字化信息和內容體驗部組織編寫。在寫作過程中，華為數據通信產品線的領導給予了很多的指導、支持和鼓勵，人民郵電出版社的編輯進行了嚴格、細致的審核。在此，誠摯感謝相關領導的扶持，感謝本書各位編委和人民郵電出版社各位編輯的辛勤工作！

以下是參與本書編寫和技術審校人員名單。

編委：李學昭、劉水、吳興勇、席友緣、楊曉芬、張娜。

技術審校：邊婷婷、陳立健、丁漢吉、方勛、甘佐華、高偉偉、洪李棟、黃國淋、柯立堃、李芳凱、曲金澤、沈懿華、趙桃李、朱清亞。

參與本書編寫和審校的老師雖然有多年從業經驗，但因時間倉促，錯漏之處在所難免，望讀者不吝賜教，在此表示衷心的感謝。

本書常用圖標