前言

“防火墙”这个名词起源于建筑领域，其作用是隔离火灾，阻止火势从一个区域蔓延到另一个区域。在网络通信领域，防火墙设备的主要作用是阻止恶意流量从一个网络扩散到另一个网络。作为一个产品品类的名称，“防火墙”这个名词非常形象地体现了这一产品的作用。作为安全防护的第一道防线，防火墙在网络中扮演着重要的角色。

显然，防火墙产品最核心、最基础的功能就是访问控制。防火墙要能够根据管理员配置的安全策略，控制网络中的访问行为。具体来说就是，放行合法业务，阻断恶意和高风险的流量。为了使访问控制更精准、策略配置更简便，安全策略不仅要支持根据IP地址、服务接口进行配置，还要支持根据地理位置、用户、应用等更容易感知的管控维度进行配置。安全策略还要能够对合法业务执行深度的安全检查，以防范隐藏在合法业务中的已知威胁和未知威胁。

要完成访问控制，防火墙必须部署在网络边界，如企业网络出口、大型网络内部子网边界、数据中心边界等。这就要求防火墙首先是一个网络设备，要能够跟上下行网络设备互通，并保证网络架构本身的健壮性、稳定性。首先，在设计网络架构时要尽可能清晰地划定网络区域和边界。根据各部门的工作职能、业务需求和所涉及信息的重要程度等因素，合理划分子网网段、VLAN和安全区域。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，必须和其他网段隔离，单独划分区域。为了管理方便，也可以采用虚拟化技术，把物理设备划分为逻辑上隔离的多个虚拟设备，实现路由隔离。其次，网络架构需要具备一定的可靠性，在关键节点规划硬件设备冗余，在关键业务路径上规划通信线路的冗余，包括业务数据链路和带外管理链路。防火墙支持双机热备、链路负载均衡和服务器负载均衡等可靠性技术，可以保障业务的连续。

为了保障数据传输的完整性和保密性，防火墙还需要支持VPN技术。由于网络协议及文件格式均具有标准、开放、公开的特征，数据在网络上传输的过程中，不仅会出现丢失、重复等错误，也会遭遇攻击或欺诈行为，导致数据被篡改或被窃取。因此，在数据传输过程中，应采用校验技术或密码技术保证通信过程中数据的完整性，采用密码技术保证通信过程中数据的保密性。数据传输的完整性和保密性可以通过部署VPN来实现，通过隧道封装为认证用户提供安全可靠的加密传输。华为防火墙具有IPsec VPN、SSL VPN等特性，支持多种软硬件加密算法。

防火墙产品诞生至今已逾30年，自《华为防火墙技术漫谈》出版至2022年10月也已经7年有余。这些年来，网络技术不断发展，攻击手段不断翻新，攻防技术日新月异，推动防火墙产品不断演进。7年来，华为防火墙产品很多特性的实现原理和配置方式已经发生了变化。我们不断收到读者的追问：《华为防火墙技术漫谈》什么时候再版？如今，我们终于可以正面回答这个问题了。本书以华为防火墙产品USG6000E V6R7C20版本为基础，详细介绍了构建安全通信网络的关键技术，旨在给读者呈现每一种关键技术的产生背景、技术实现原理、配置指导等内容。

本书内容

本书共计9章，第1、2章介绍防火墙的基础知识，包括安全策略和NAT技术。第3～6章介绍防火墙的关键组网技术，包括双机热备冗余技术、虚拟系统隔离技术、链路和服务器负载均衡技术。第7～9章介绍VPN技术，包括L2TP VPN、IPsec VPN和SSL VPN。

第1章　安全策略

安全策略是防火墙产品最基础的功能。通过安全策略，防火墙决定哪些流量可以通过，哪些不能通过。本章从安全策略的基础知识讲起，介绍了安全策略的基本配置方式和配置原则，用常见业务的配置实例展示了分析业务和配置安全策略的思路与方法。此外，本章还提供了配置和管理安全策略的最佳实践和维护手段。

第2章　NAT

NAT是一种地址转换技术，支持转换报文的源地址和目的地址。NAT是解决IPv4地址短缺问题的重要手段。本章介绍了源NAT和目的NAT的基本原理、应用场景和配置方法，说明了双向场景和多出口场景下的配置技巧。

第3章　双机热备

双机热备是最常见的设备冗余技术。在网络的重要节点上部署两台设备，互为备份。当一台设备发生故障时，另一台设备可以自动接替，不用人工干预。本章介绍了防火墙双机热备技术的原理，提供了多种典型场景的实现方案和配置思路，分析了双机热备场景下NAT、IPsec、虚拟系统等特性的应用方案。

第4章　虚拟系统

虚拟系统技术是把一台防火墙从逻辑上划分为多台防火墙，即虚拟系统。每个虚拟系统相当于一台真实的设备，可以拥有自己的接口、路由表等软件和硬件资源。虚拟系统之间默认互相隔离，便于管理，也提高了安全性。本章解释了虚拟系统的基本概念，介绍了虚拟系统的典型部署场景，说明了资源分配、分流、互访等关键技术。

第5章　链路负载均衡

链路负载均衡是网络出口链路冗余的核心技术，是防火墙作为出口网关所必备的常用特性。本章介绍了就近选路、全局选路策略、策略路由的原理和配置方式，并详细阐述了DNS透明代理和智能DNS在链路负载均衡中的作用。这些技术结合在一起，可以实现出站方向的链路负载均衡和入站方向的链路负载均衡。

第6章　服务器负载均衡

服务器负载均衡是计算设备冗余和扩展的支撑技术。防火墙作为负载均衡设备，为用户请求调度服务器集群，保证用户体验。本章介绍了服务器负载均衡的核心功能，七层负载均衡和SSL卸载的应用场景和实现原理，并给出了基本的配置方法。

第7章　L2TP VPN

L2TP是一种标准的二层隧道协议，它本身没有加密能力，但是我们可以使用IPsec加密L2TP报文。L2TP VPN分为NAS-Initiated L2TP VPN、Client-Initiated L2TP VPN和LAC-Auto-Initiated L2TP VPN 3种组网场景，本章围绕这3种组网场景，介绍L2TP VPN的原理和配置方法。

第8章　IPsec VPN

IPsec是IETF制定的一个安全标准框架，为数据安全传输提供了一组安全协议和算法，以保证VPN连接的安全。本章介绍了IPsec的协议框架，说明了以手工方式、ISAKMP方式和模板方式建立IPsec VPN的方法。此外，本章还介绍了NAT穿越、对等体检测、L2TP over IPsec等技术和场景。

第9章　SSL VPN

SSL VPN是一种采用SSL协议来实现远程接入的新型VPN技术。它提供了更简单的技术方案，更丰富的认证手段，更精细的授权粒度。本章从SSL协议框架开始，介绍了基本的技术原理，提供了SSL VPN的配置逻辑和典型业务的配置方法。

读者对象

本书适合具有数据通信和网络安全基础，但需要系统学习网络安全技术的工程师阅读，包括以下几类读者。

（1）数据通信和网络安全从业人员

本书可作为自学用书，帮助从业人员了解网络安全产品的关键技术原理，掌握配置方法和部署技巧，找到解决问题的思路。本书可作为HCIP和HCIE安全方向的培训认证参考书，有助于从业人员快速通过认证考试，提升个人能力和价值。

（2）华为安全产品的用户

本书可作为使用指南，帮助用户循序渐进，更加深入地了解华为安全产品的技术原理、配置方法和排障思路。

致谢

本书由华为技术有限公司数据通信数字化信息和内容体验部组织编写。在写作过程中，华为数据通信产品线的领导给予了很多的指导、支持和鼓励，人民邮电出版社的编辑进行了严格、细致的审核。在此，诚挚感谢相关领导的扶持，感谢本书各位编委和人民邮电出版社各位编辑的辛勤工作！

以下是参与本书编写和技术审校人员名单。

编委：李学昭、刘水、吴兴勇、席友缘、杨晓芬、张娜。

技术审校：边婷婷、陈立健、丁汉吉、方勋、甘佐华、高伟伟、洪李栋、黄国淋、柯立堃、李芳凯、曲金泽、沈懿华、赵桃李、朱清亚。

参与本书编写和审校的老师虽然有多年从业经验，但因时间仓促，错漏之处在所难免，望读者不吝赐教，在此表示衷心的感谢。

本书常用图标