（本科）第9章 防火墙技术ppt课件.pptx

《（本科）第9章 防火墙技术ppt课件.pptx》由会员分享，可在线阅读，更多相关《（本科）第9章 防火墙技术ppt课件.pptx（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、课程主讲人：第9章 防火墙技术第 9 章 防火墙技术计算机网络工程实践 课件桂学勤 徐斌主要内容9.1防护墙概述9.2华为防火墙产品9.3防火墙技术基础9.4 防火墙高级安全功能9.5 防火墙配置方法9.6 防火墙配置案例9.1 防火墙概述所谓防火墙指的是一个在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，用于保护内部网和专用网免受非法用户的侵入。防火墙是一种隔离技术，它能允许你允许的人和数据进入你的网络，同时将你不允许的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。1. 传统防火墙发展历程20世纪8

2、0年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙功能。1989年，美国贝尔实验室最早推出了第二代防火墙，即电路层防火墙，本质也是代理防火墙，典型例子是SOCKS代理软件。同时提出了应用层防火墙（应用代理防火墙）的初步结构，20世纪90年代初，开始推出第三代防火墙，即应用代理防火墙。1992年，南加利福尼亚大学（USC）开发出了动态包过滤（Dynamic packet filter）技术，1994年以色列的CheckPoint公司开发出了第一个基于动态包过滤的状态检测防火墙。称为第四代防火墙1998年，

3、NAI公司（Network Associates，网络联盟公司）推出了一种自适应代理（Adaptive proxy）技术，其产品称为第五代防火墙。传统防火墙发展历程（续）1997年，几个中国留学生在美国成立一个叫Egis Communications的公司，1998年更名为NETSCREEN。NETSCREEN公司最初推出的是NS100百兆防火墙，出口带宽为100Mbps，并引起轰动。后来又推出了NS1000等千兆防火墙，成为千兆防火墙的领头羊。2004年，NETSCREEN被Juniper公司收购。1998年，NETSCREEN公司推出的防火墙是基于ASIC（Application Spec

4、ific Integrated Circuit，特定应用集成电路）的真正意义上硬件防火墙。NETSCREEN硬件防火墙，与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在计算机平台上的一个软件防火墙，而NETSCREEN防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密，因此速度比其它防火墙快。这里要强调的是，NETSCREEN公司造就了一批优秀网络安全工程师。NETSCREEN的很多早期员工后来都纷纷创立网络安全公司。比如后来UTM安全产品的代表Fortinet公司，下一代防火墙NGFW的代表Palo Alto Networks公司，以及ServGate公司，Hillst

5、one山石网科公司等等。传统防火墙发展历程（续）根据防火墙发展历程，传统防火墙形成了四种技术类型的防火墙包过滤防火墙：依据规则允许和拒绝数据通过。代理防火墙：通过代理访问外部网络，屏蔽内部网络。状态检测防火墙：在包过滤基础上，通过会话信息判断是否允许访问内部网络。自适应代理防火墙：结合了包过滤和代理技术。传统防火墙的关键技术有两种：包过滤技术，代理技术。其中包过滤防火墙和状态检测防火墙本质上采用的是包过滤技术。代理防火墙和自适应代理防火墙本质上是代理技术。其中状态检测技术是目前防火墙产品的基本功能，也是防火墙安全防护的基础技术。2. 防火墙基本功能防火墙是网络安全策略的有机组成部分，它通过控制

6、和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警。3. 防火墙现状当前，防火墙设备的主要形式是多种安全功能汇集一起的一体化安全设备形式，比如统一安全管理TUM、下一代防火墙NGFW等。（1）统一安全管理UTM2004年，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理（Unified Threat Management，UTM）新类别。（2）下一代防火墙NGFW2009年，著

7、名咨询机构Gartner提出下一代防火墙（Next Generation FireWall，NGFW）概念。NGFW必须有标准的防火墙功能，如网络地址转换，状态检测，VPN和大企业需要的功能如入侵防御系统IPS、防病毒AV、行为管理等功能。UTM和NGFWUTM对数据包的深度检测采取串行方式，存在安全处理能力比较分散的缺点,数据包在进入不同安全模块时，要分别执行多次解码，不能达到“一次识别，并行处理”的效果.NGFW架构是建立在智能感知引擎之上，能做到一次应别识别与解码，并行处理送不同安全模块。NGFW在硬件架构上，采用MIPS多核处理器、具备基于硬件的协处理器、采用高速的交换矩阵等硬件来合力

8、支撑NGFW。（MIPS多核架构的CPU内部是由多个嵌入式CPU组成的）。在当前云计算和虚拟化时代的大背景下，NGFW支持自身被虚拟化来满足不同的逻辑环境。UTM和NGFW的同共点在于它们都是基于OSI模型的2-7层进行防御，都将多种安全功能集于一身，都具有防火墙功能、入侵检测/入侵防御功能、VPN功能，上网行为管理、防病毒功能等。9.2 华为防火墙华为公司从2000年开始启动网络安全产品的研发，到目前，华为推出了两个系列防火墙产品，分别是Eudemon防火墙和USG防火墙。Eudemon包括传统防火墙、UTM防火墙、NGFW防火墙。USG防火墙包括UTM防火墙和NGFW防火墙。1.Eudem

9、on防火墙2003年，华为推出低端防火墙Eudemon100/200，2004年推出了基于NP处理器（Network processor，网络处理器）架构的中低档Eudemon500/1000防火墙，后期又推出了Eudemon8040/8080系列高端防火墙。Eudemon100/200定位中小企业，出口带宽100Mbps/400Mbps，并发连接数20万/50万条。Eudemon500/1000定位于大中型企业，出口带宽3Gbps，并发连接80万条。Eudemon8040/8080定位于大型企业和行业用户，以及数据中心，属于万兆防火墙。随着UTM概念的推出，华为推出了Eudemon200E、

10、Eudemon1000E和Eudemon8000E系列防火墙，这一系列防火墙属于UTM防火墙。2013年以后，华为又推出Eudemon200E-N和Eudemon1000-N系列防火墙，这两个系列防火墙属于下一代防火墙NGFW。2. 统一安全网关防火墙（USG）2008年，华为通过与赛门铁克成联合成立华赛公司后，加强了安全产品的研发，推出了命名为统一安全网关USG的防火墙UTM防火墙和NGFW防火墙。2008-2011年，华为推出USG50、USG2100/2200、USG3000、USG5100/5300/5500、USG9300/9500（高端产品）等系列防火墙。这一系列的防火墙属于UTM

11、安全产品。2013年后，华为推出USG下一代防火墙NGFW,包括USG6300/6600等系列型号，分别是USG6306/6308，USG6320，USF6330/6350/6360，USG6370/6380/6390，USG6620/6630，USG6650/6660，USG6670/6680。3. 华为下一代防火墙选型华为下一代防火墙选型参考表9.3 防火墙技术基础防火墙利用安全区域把连接的不同网络区分成不同安全等级的网络，并利用安全策略控制不同安全等级的网络之间的相互访问。报文在同一安全区域内流动不受控制。9.3.1 安全区域1安全区域与安全域间安全区域：安全区域（Security Zo

12、ne），简称为区域（zone），安全区域是一个和多个接口的集合，防火墙通过安全区域来划分网络，标识报文流动的路线。安全域间：任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图。2. 安全域间报文流动对于默认的安全区域，他们的安全级别是固定的。Local区域的安全级别100，Trust区域的安全级别为85，DMZ区域的安全级别为50，Untrust区域的安全级别为5。规定：报文从低安全级别区域向高安全级别区域流量为入方向（inbound），报文从高安全级别区域向低安全级别区域流动为出方向（outbound）。3防火墙管理配置在缺省情况下，不同型号的防火墙都提供了默

13、认的登录方式，管理员可以通过特定的接口登录防火墙，具体情况如下表。9.3.2 防火墙工作模式接口工作在三层，就可以实现三层路由网关的功能；接口工作在二层，就可以实现二层透明网桥的功能。因此，在防火墙中可以使用部分三层接口来进行三层路由网关的部署，再使用二层接口来进行二层透明桥接的部署。两者可以共存。因为防火墙实现了切换业务接口的工作层次，所以设备无需通过整机切换工作模式来实现传统意义上的“路由模式/NAT模式”或者“透明模式”。1.三层路由网关模式将防火墙设备作为三层网关，部署在全新网络中或者替代原有网络中的路由器或防火墙，实现内外网通信的同时进行安全防护。2.二层透明网桥模式在不影响原有网络

14、结构的基础上，防火墙作为二层桥接设备透明植入原有网络，进行二层交换和安全防护。9.3.3 包过滤与状态检测1. 包过滤防火墙最早的防火墙是包过滤防火墙，它是通过访问控制列表对报文的流动进行控制，包过滤防火墙只能根据设定好的静态规则是否允许报文通过。2. 状态检查防火墙状态检测防火墙正是为解决包过滤防火墙存在的问题而提出的，状态检测防火墙使用基于连接状态的检测机制，将通讯双方之间交互的属于同一连接的所有报文都作为整体的数据流对待。状态检测防火墙中需要采用会话机制。多个会话信息的集合形成会话表（session-table）。状态检测和会话机制，是目前防火墙产品的基本功能，也是防火墙安全防护的基础技

15、术。3包过滤与状态检测示例如图所示，PC机和WWW服务器位于不同的网络。当PC机要访问WWW服务器浏览网页时，必须配置一条安全策略，允许PC机器访问WWW服务器的报文通过。规则如下。配置这条规则后，PC机发出的报文就可以顺利通过防火墙到达WWW服务器。WWW服务器将会向PC机发出响应报文，这个报文也要穿过防火墙到达PC机。对于状态检查防火墙，PC机发出的报文就可以顺利通过防火墙到达WWW服务器，同时还会针对PC机访问服务器的行为建立会话（Session）。对于包过滤防火墙，PC机发出的报文通过防火墙到达WWW服务器后，由于防火墙没有配置允许反向报文通过，WWW服务器回应报文无法通过防火墙，PC

16、机访问WWW服务器失败。还需要定义另一条安全策略。编号源地址源端口目的地址目的端口动作1192.168.2.10any200.1.2.1080Permit编号源地址源端口目的地址目的端口动作1192.168.2.10any200.1.2.1080Permit2200.1.2.1080192.168.2.10AnyPermit4会话与会话表对于状态检测防火墙，当PC机通过防火墙访问服务器时，状态检测防火墙就会建立会话，记录在防火墙会话表中。会话表中源地址、源端口、目的地址、目的端口和协议组成的五元组信息。会话表项中，HTTP和FTP表示协议，192.168.2.10:2060表示源IP地址和源端

17、口，200.1.2.10:80表示目的IP地址和目的端口。会话表中“-”符号可以直观的区分源和目标。9.3.4 安全策略安全策略是防火墙中基于安全区域之间的访问定义的访问规则。安全策略在防火墙中扮演重要的角色，只有安全策略允许报文通过，报文才可以在安全区域之间流动，否则报文将被丢弃。一般情况下，安全策略仅对单播报文单播报文进行控制，对组播和广播报文不做控制，直接转发。因此，对于路由协议，RIP协议和IS-IS协议不受安全策略控制，而OSPF既采用单播也采用组播方式，因此OSPF协议受到安全策略的控制，BGP协议采用单播报文，因此也受到安全策略的控制。对于这一类特殊情报文，华为防火墙通过fire

18、wall packet-filter basic-protocol enable命令用来开启基于BGP、LDP、BFD、DHCP单播报文以及OSPF单播报文的安全策略控制开关。开启该功能后，这些报文的转发才可以受安全策略控制。1. 基本概念安全策略是基于安全区域间关系来体现的，其内容由条件和动作两部分组成。条件：检查报文的依据，防火墙将报文中携带的信息与条件进行对比，以此来判断报文信息与条件是否匹配。动作：对匹配后的报文执行的操作，包括允许（permit）和拒绝（deny）操作。一条安全策略只能有一个动作。2.匹配顺序安全策略之间是存在先后顺序的， 防火墙在两个安全区域之间转发报文时，会按照从

19、上到下的顺序逐条查找安全策略，如果报文信息匹配了某条安全策略，就会执行该安全策略中的动作，不会再继续向下查找。基于此，在配置安全策略时，要先配置匹配范围小，条件精确的安全策略，然后在配置匹配范围大，条件宽泛的安全策略。3. 缺省包过滤缺省包过滤本质上是一种安全策略，也就是缺省的安全策略，缺省包过滤中没有具体条件，它对所有的报文均生效，它的动作也是允许和拒绝通过两种。缺省包过滤的条件最宽泛，所有的报文都可以匹配，所以防火墙把缺省包过滤作为最后的安全策略。默认情况下，缺省包过滤的动作是拒绝（deny），也就是说，没有配置任何安全策略的情况下，防火墙是不允许报文在安全之间流动的。为了简化配置，可以把

20、缺省包过滤的动作配置为允许通过，即允许所有报文通过。使用命令Firewall packet-filter default配置缺省包过滤默认动作为允许（permit）。4 安全策略发展变化华为设计生产了状态检测防火墙、UTM防火墙、下一代防火墙。华为防火墙安全策略也经历的三个阶段：基于ACL的包过滤阶段、融合UTM的安全策略阶段、一体化安全策略阶段。华为防火墙安全策略的发展历程有几个特点。一是匹配条件越来越精细，从传统的基于IP地址、端口来识别报文，发展到下一代防火墙基于用户、应用、内容来识别报文，识别能力越来越强。二是动作越来越多，从简单的允许/拒绝报文通过，发展到对报文进行多种内容安全检查，

21、处理手段越来越多。三是配置方式不但改进，从配置访问控制列表ACL，到融合UTM的安全策略，在到配置一体化安全策略，越来越简单，易于理解。（1）基于ACL的包过滤阶段基于ACL的包过滤是防火墙早起的实现方式，比如华为防火墙USG2000/5000系列早期版本V100R003版本，以及AR系列路由的防火墙功能。基于ACL的包过滤的ACL规则遵循从上到下逐条查找的匹配顺序。如果没有匹配的规则，则匹配缺省包过滤规则。（2）融合UTM安全策略随着华为UTM产品推出，比如华为USG2000/5000系列防火墙V300R001版本采用的就是UTM的安全策略。UTM系列的华为防火墙的安全策略可以直接定义条件和

22、动作，而无需采用访问控制列表ACL技术，另外，安全策略的动作允许通过时，还可以应用防病毒（AV）、入侵检测（IPS）等UTM策略，对报文进行进一步的检测。融合UTM安全策略有条件、动作和UTM策略组成，在安全策略的条件中出现了服务器集（Service-set）的概念，代替了协议和端口，安全策略中已经内置了一下服务集，可以直接引用。比如 service-set：ftp标识tcp协议和端口21，等等。融合UTM安全策略也遵循从上到下的顺序逐条查找的匹配顺序。融合UTM安全策略（续）融合UTM安全策略也遵循从上到下的顺序逐条查找的匹配顺序。（3）NGFW一体化安全策略随着华为推出下一代防火墙（NGF

23、W），华为的安全策略发展到一体化安全策略，目前华为USG6000系列大防火墙支持一体化安全策略。所谓一体化安全策略，两个方面内容，一是配置上的一体化，二是业务处理一体化。一体化安全策略是基于全局范围，而不再基于安全域间。安全策略中的缺省动作代替了缺省包过滤。还有一定需要注意，在华为USG6000系列防火墙上，报文在安全区域内部流动时，默认情况下防火墙是不允许通过的。NGFW一体化安全策略(续)下面给出以一体化安全策略配置示例9.3.4 黑名单与白名单1.黑名单黑名单，指根据报文源IP地址进行过滤的一种方式。无论命中了黑名单的数据包是否为安全策略允许的访问，防火墙对此类数据包予以丢弃。firew

24、all blacklist enable acl-number acl-number ，开启黑名单。firewall blacklist ip-address expire-time minutes ，静态添加黑名单2. 白名单在防火墙上加入白名单的主机不会再被加入动态和静态黑名单，使用IP地址来表示一个白名单项。firewall whitelist ip-address expire-time minutes ，添加白名单。9.3.5 ASPF技术ASPF（Application Specific Packet Filter，特定应用包过滤），是一种应用层状态检测技术，它主要是针对应用层的包

25、过滤。ASPF不仅支持对IP层的数据包依据安全策略进行过滤；ASPF还支持传输层协议检测和ICMP、RAWIP协议检测，以及对应用层协议检测。另外，ASPF还支持一些增强性的安全功能，端口映射、JAVA阻断、Active阻断等。1. 传输层协议检测传输层协议检测即通用TCP/UDP检测。通用TCP/UDP检测与应用层协议检测不同，是对报文的传输层信息进行的检测，如源、目的地址及端口号等。通用TCP/UDP检测要求返回到ASPF外部接口的报文要与前面从ASPF外部接口发出去的报文完全匹配，即源、目的地址及端口号恰好对应，否则返回的报文将被阻塞。因此对于FTP这样的多通道应用层协议，在不配置应用层

26、检测而直接配置TCP检测的情况下会导致数据连接无法建立。TCP检测，是指ASPF检测TCP连接发起和结束的状态转换过程。UDP检测是指，针对UDP连接的地址和端口进行的检测。2. 应用层检测和多通道检测理解基于应用的状态检测技术，还要搞清楚两个概念，一是单通道协议，二是多通道协议。单通道协议：从会话建立到删除的全过程中，只有一个通道参与数据交互，如HTTP。多通道协议：包含一个控制通道和若干其它控制或数据通道，即控制信息的交互和数据的传送是在不同的通道上完成的，如FTP、RTSP。对于单通道协议的应用，ASPF通过会话表（session-table）来维护一个连接某一时刻所处的状态信息，并依据

27、该连接的当前状态来匹配后续的报文。对于多通道的应用，除了通过会话表对应用协议的状态进行检测外，ASPF还会临时建立一个临时状态表（server-map），对应用连接协商的数据通道状态进行记录，用于匹配后续数据通道的第一个报文。9.4 防火墙高级安全功能防火墙的主要作用是保护特定网络免受不信任网络的攻击，这是防火墙最基本的安全功能。这一节简要介绍防火墙的高级安全功能，包括攻击防范NAT功能VPN功能。9.4.1 防火墙攻击防范提到网络攻击，首先要说的就是拒绝服务DoS攻击和分布式拒绝服务DDoS攻击。因此防范DoS/DDoS攻击是防火墙的基本功能。1.DoS攻击（拒绝服务）DoS是denial

28、of Service的简称，即拒绝服务。其目的是使计算机或网络无法正常提供服务。最常见DoS攻击是单包攻击。单包攻击分为三大类，分别是畸形报文攻击：Ping of Death攻击、Land攻击、IP欺骗攻击等扫描类攻击：IP地址扫描攻击、单口扫描攻击等特殊控制类报文攻击：操大ICMP报文攻击、Tracert报文攻击2. DDoS攻击（分布式拒绝服务）目前，单包攻击在网络中所占比例并不高，最主流的攻击其实是DDoS攻击。DDoS攻击种主要是传输层流量型攻击和应用层流量型攻击。SYN Flood、UDP Flood、ICMP FloodHTTP Flood、HTTPS Flood、DNS Floo

29、d9.4.2 防火墙NAT功能NAT即网络地址转换。是Network Address Translation的缩写。NAT功能是作为网络出口设备防火墙重要的功能之一。网络地址转换支持对源IP地址进行转换，也支持对目的IP地址进行转换。对源IP地址进行转换，即源NAT，即通过对报文的源地址进行转换，使大量私网用户可以利用少量公网IP地址上网，大量减少对公网IP地址的需求。华为防火墙支持源NAT包括NAT NO-PAT（一对一方式）、NAPT（多对一方式）、easy-ip（多对一）、Smart-NAT（一对一，预留IP做多对一方式，高端防火墙支持）等方式。对目的IP地址的转换，用于内部服务对公网提

30、供服务时，是公网用户对私网发起的访问。华为称为NAT Server（服务器映射）。9.4.3 防火墙VPN功能1、防火墙VPN技术分类（1）依据VPN建设单位分类：运营商建设VPN，企业建设VPN（2）根据应用场景分类：Access VPN、Intranet VPN、Extranet VPN（3）VPN技术网络层次分类：数据链路层VPN、网络层VPN、应用层VPN2VPN关键技术（1）隧道技术：隧道技术是VPN的基本技术，类似于点到点连接技术（2）加解密技术，加解密技术是最常用的安全保密手段（3）密钥管理技术，是如何在公用数据网上安全地传递密钥而不被窃取（4）身份认证技术，身份认证技术主要是采

31、用用户名与密码进行认证3. 常用VPN适用场景9.5 防火墙配置方法华为设计生产了状态检测防火墙、UTM防火墙、下一代防火墙。华为防火墙安全策略也经历的三个阶段：基于ACL包过滤阶段、融合UTM安全策略阶段、一体化安全策略阶段。目前，华为AR路由器的防火墙功能支持基于ACL包过滤，而USG2000/5000系列防火墙支持融合UTM的安全策略，USG6000系列支持一体化安全策略。这里介绍AR路由器基于ACL包过滤的防火墙功能配置方法，然后介绍USG5000系列支持的UTM安全策略防火墙功能配置方法。9.5.1 AR路由器包过滤配置AR路由防火墙功能配置包括防火墙基本功能配置和包过滤配置。根据需

32、要还可配置黑名单、白名单、攻击防范等。1防火墙基本功能配置（参考教材）（1）创建安全区域并将接口添加的安全区域（2）创建安全域间并使能防火墙功能（3）配置防火墙会话表老化时间2. ACL包过滤配置（1）缺省过滤方式（2）配置ACL包过滤（3）配置应用层状态检测包过滤（ASPF）9.5.2 UTM安全策略配置华为USG5000 UTM防火采用的是融合UTM安全策略，可以直接定义条件和动作，而无需使用访问控制列表技术，同时，安全策略的动作允许通过时，还可以应用防病毒（AV）、入侵检测（IPS）等UTM策略，对报文进行进一步的检测。1. 公共安全对象配置2. 配置安全区域3安全策略配置4配置应用层包

33、过滤（ASPF）5配置攻击防范6配置流量统计（可选）9.6 防火墙配置案例华为AR系列路由器的防火墙功能支持基于ACL包过滤，而USG2000/5000系列防火墙支持融合UTM的安全策略，USG6000系列支持一体化安全策略。下面首先介绍AR路由器基于ACL包过滤的防火墙功能配置方法，然后在介绍USG5000系列支持的UTM安全策略防火墙功能配置方法。9.6.1 AR路由器防火墙功能配置9.6.2 USG5000 UTM防火墙功能配置9.6.1 AR路由器防火墙功能配置1. 拓扑图及配置要求通过FW（AR）防火墙功能配置，达到以下安全目标。（1）使PC1和PC2能够访问DMZ区域服务器Serv

34、er1中各类服务；（2）PC1可访问Untrust区域服务器WWW1的中各类服务，而PC2不能访问；（3）外部用户可以访问DMZ区域Server1中的Web和FTP等服务。2. 基本功能配置（1）配置防火墙安全区域（2）将接口添加到安全区域（3）创建安全域间并使能防火墙功能3. 包过滤配置（1）访问控制列表配置（2）开启包过滤以及应用层ASPF状态检测9.6.2 UTM防火墙功能配置1. 拓扑图及配置要求通过FW（AR）防火墙功能配置，达到以下安全目标。（1）使PC1和PC2能够访问DMZ区域服务器Server中各类服务；（2）PC1可访问Untrust服务器WWW的中服务，而PC2不能访问；

35、（3）外部用户可以访问DMZ区域Server中的Web和FTP等服务。2. 基本功能配置USG5000已经默认创建了lcoal、trust、dmz、untrust四个区域，他们的优先级分别是100、85、50、5。这里需要将将接口加入相应区域。3. 安全策略配置与开启应用层ASPF检测（1）定义安全策略（2）开启应用层ASPF检测9.6.3防火墙功能配置验证下面以AR路由器开启防火墙功能配置为例，说明在eNSP模拟环境下防火墙对HTTP和FTP访问的状态检测的验证。（1）在服务器WWW上开启HttpServer和FtpServer。（2）在PC1中，选择HttpClient进行连接测试。在地址栏出入 http:/200.1.2.10/。然后选择获取，测试结果如下图。（3）在PC1中，选择FtpClient进行连接测试，在服务器地址栏输入200.1.2.10，然后选择登录，测试结果如下图。谢谢！