防火墙学习笔记.docx
- 文档编号:15225730
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:9
- 大小:19.38KB
防火墙学习笔记.docx
《防火墙学习笔记.docx》由会员分享,可在线阅读,更多相关《防火墙学习笔记.docx(9页珍藏版)》请在冰点文库上搜索。
防火墙学习笔记
5防火墙
一、防火墙基本
防火墙普通位于两个信任限度不同网路间(如:
公司内部和internet之间),可以对两个网络之间通信进行控制,从而保护内部网络安全。
防火墙特性:
1、逻辑区域过滤器
2、使用NAT技术可以隐藏内部网络构造
3、自身安全是有保障
4、可以积极防御袭击
防火墙构成:
硬件+软件+控制方略
控制方略分为两种:
1、宽松控制方略:
除非明确禁止,否则就容许
2、限制控制方略:
除非明确容许,否则就禁止
按形态分类:
硬件防火墙、软件防火墙
按保护对象分类:
单机防火墙、网络防火墙
按防火墙实现方式,分为三类:
1、包过滤防火墙:
只检测数据报头,缺陷是:
a、无法关联数据包之间关系
b、无法适应多通道合同(例如:
VPN)
c、不检测应用层数据
2、代理型防火墙:
所有数据包都要通过防火墙才干访问到server,访问速度很慢
3、状态检测防火墙:
当前运用防火墙重要都是状态检测防火墙
华为防火墙工作模式:
1、路由模式:
所有接口均有IP
2、透明模式:
所有接口均无IP
3、混合模式:
有接口有IP,有接口没有IP
防火墙局限性:
1、防外不防内
2、不能防御所有安全威胁,特别是新产生危险
3、在提供深度监测功能和解决转发性能之间需要做平衡
4、当使用端到端加密时,防火墙不能对加密隧道进行解决
5、防火墙自身会存在某些瓶颈,如抗袭击能力,会话限制等
防火墙区域和优先级:
1、local区域,优先级100
2、trust区域,优先级85
3、DMZ区域,优先级50
4、untrust区域,优先级5
这些防火墙内设区域优先级和名字都是无法变化,优先级低区域不能访问优先级高区域(思科),华为设备如果防火墙方略容允许以突破区域访问限制。
防火墙上所有接口自身都属于local区域,如果把一种接口划分到了trust区域,是指该接口下设备属于trust区域,接口自身永远属于local区域。
Inbound与Outbound定义:
高优先级访问低优先级:
Outbound,反之则是:
Inbound
安全区域与接口关系:
1、防火墙不容许存在两个具备完全相似安全级别(既优先级相似)安全区域
2、防火墙不容许同一物理接口分属于两个不同安全区域
3、防火墙不同接口可以属于同一种安全区域
防火墙支持功能:
路由器、互换机支持功能,防火墙都支持
衡量防火墙好坏指标:
1、吞吐量:
防火墙能同步解决最大数据量
有效吞吐量:
除掉因TCP丢包和超时重发数据,实际每秒传播有效速率
2、延时:
数据包最后一种比特进入防火墙到第一种比特输出防火墙时间间隔,是用来衡量防火墙解决数据速度抱负指标
3、每秒新建连接数:
指每秒可以通过防火墙建立起来完整TCP链接数
4、并发连接数:
指防火墙可以同步容纳最大连接数目,一种连接就是一种TCP/UDP访问
防火墙实验拓扑图
后来章节所讲内容都基于此图:
二、防火墙基本配备
默认状况下,防火墙是有某些配备:
G0/0/0接口IP地址为:
192.168.0.1/24,配备了基于接口DHCP,且G0/0/0默认属于trust区域。
在连接该端口PC自动获取到IP后,就可以在浏览器中输入192.168.0.1对防火墙进行图形化配备。
但模仿器是不支持图形化配备。
一旦对G0/0/0接口配备了其她IP地址,本来默认配备将被覆盖,DHCP服务也将被删除。
displaycurrent-configuration显示当前设备所有配备(互换机、路由器、防火墙通用)
划分防火墙安全区域:
Firewallzonetrust进入到trust区域
Addinterfaceg0/0/1将g0/0/1接口加入到trust区域
Firewallzonedmz进入到DMZ区域
Addinterfaceg0/0/2将g0/0/2接口加入到DMZ区域
Firewallzoneuntrust进入到untrust区域
Addinterfaceg0/0/3将g0/0/3接口加入到untrust区域
安全区域间过滤规则:
1、默认local到任何区域都是可以访问
2、同一区域内访问是容许
3、其她区域间访问要看区域间过滤规则
Displayfirewallpacket-filterdefaultall显示防火墙区域间过滤规则
Permit:
容许deny:
禁止
实验需求:
trust中设备可以访问DMZ,而DMZ中设备不能访问trust
(Firewallpacket-filterdefaultpermitall全放行,将使防火墙失去过滤功能)
Firewallpacket-filterdefaultpermitinterzonetrustdmzdirectionoutbound[y]
容许trust和dmz之间outbound访问,效果是:
trust区域能访问DMZ区域
防火墙会话表:
会话表中存在项目,防火墙是不检测,直接放行
Displayfirewallsessiontable查看防火墙会话表项
暂时会话表项:
当被容许访问发生时,防火墙会产生暂时会话表项,使反向数据包可以回来,以保证会话正常进行。
暂时会话表项是有时效,依照不同合同暂时会话表项有效时间是不同,例如ICMP合同有效时间只有1~2秒,因此过滤规则容许ping命令结束后,不久产生暂时会话表项就从会话表中消失了。
防火墙基本管理:
启动防火墙Telnet功能:
User-interfacevty04启动0~4虚拟链路以容许5台终端可以Telnet到防火墙
Authentication-modepasswordcipher123以密码访问方式启动Telnet功能(密码为:
123)
Authentication-modeaaa以aaa认证方式启动Telnet功能
aaa认证默认账号为:
admin默认密码:
Admin@123(A为大写)
如何使用特定顾客账号了Telnent登陆防火墙:
aaa进入3a
local-userlewispasswordcipher123在3a中创立一种顾客账号:
lewis密码为:
123
顾客权限问题:
级别范畴:
0-15
0:
参观级别新建顾客默认级别
1:
监控级别
2:
配备级别
3-15:
管理级别
提高顾客权限三种办法:
1、针对详细账户来提高权限
aaa进入3a
Local-userlewislevel3将顾客lewis账号级别提高到管理级别
Undolocal-userlewislevel取消对lewis账号权限更改,恢复默认
2、针对局部账号来提高权限
Superpasswordlevel3cipherAdmin@456设定super秘密为:
Admin@456(super密码:
必要包括大小写英文+符号+数字)
Super3[密码]终端用super指令并输入密码,暂时提高已登陆账号权限级别到3级
3、设立虚拟链路顾客权限
User-interfacevty04进入0~4虚拟链路
Userprivilegelevel3设立虚拟链路顾客权限为级别3,设立后使用0~4虚拟链路登陆任何账号都具备级别3权限
Displayuser查看有哪些顾客登录了防火墙
Displayuser-interface查看有哪些虚拟链路登录了防火墙
三、防火墙过滤方略
区域内流量过滤:
实验规定:
pc1不能访问pc2
可以采用ACL来做,但这里使用过滤方略来做
Policyzonetrust进入trust区域方略设立
Policy1创立并进入方略1
Policysource10.1.1.10.0.0.0(可简略写成:
policysource10.1.1.10)反掩码精准匹配源地址为:
10.1.1.1
Policydestination10.1.2.10反掩码精准匹配目的地址为:
10.1.2.1
Actiondeny禁止通过(源地址为10.1.1.1且目的地址为10.1.2.1访问被禁止)
区域间流量过滤:
实验规定:
防火墙DMZ和untrust区域间默认过滤inbounddeny,路由器AR1保持默认配备(untrust区域模仿外网条件),配备网络使untrust区client1可以ping通DMZ区Server1服务器,并能访问服务器上WEB和FTP资源。
第一步创立服务集
ipservice-settoservertypeobject创立一种名为“toserver”服务器,类型为object
service0protocolicmpping所使用ICMP合同相应service0
service1protocoltcpdestination-port80www所使用tcp合同80端口相应service1
service2protocoltcpdestination-port21ftp所使用tcp合同21端口相应service2
第二步启动方略
Policyinterzonedmzuntrustinbound进入dmz和untrust区域间inbound方向方略设立
Policy10创立序号为10方略
Policyserviceservice-settoserver把服务集toserver中服务设立为当前方略源
Policydestination10.1.3.100设立当前方略目的IP
Actionpermit容许满足方略条件(源、目条件都满足)数据包通过
第三步启动防火墙ASPF(应用层安全检查)技术(针对FTP特殊解决)
Firewallinterzonedmzuntrust进入防火墙dmz和untrust区域间设立
Detectftp使用ASPF技术,检测到是ftp使用就放行通过
第四步运用静态一对一技术映射服务器10.1.3.10为外网IP202.1.1.3
Natserverglobal202.1.1.3inside10.1.3.10
四、防火墙NAT技术
数据包在传播过程中,可以变化源或目地址
静态NAT转换PAT(NAT超载)
Nataddress-group1202.1.1.2202.1.1.2创立NAT地址转换组
Nat-policyinterzonetrustuntrustoutbound进入trust和untrust区域间outbound方向NAT方略设立
Policy1若当前没有编号为1方略,则创立方略1,并进入设立
Actionsource-nat设立当前方略动作为:
源地址转换
Policysource10.1.1.0mask24设立地址转换针对源地址范畴
Address-group1设立转换成哪个NAT地址组
Easy-ip技术
Nat-policyinterzonetrustuntrustoutbound进入trust和untrust区域间outbound方向NAT方略设立
Policy2若当前没有编号为2方略,则创立方略2,并进入设立
Actionsource-nat设立当前方略动作为:
源地址转换
Policysource10.1.2.0mask24设立地址转换针对源地址范畴
Easy-ipg0/0/3使用Easy-ip技术进行源地址转换,将内网IP转换为出口IP
静态一对一技术
Natserverglobal202.1.1.3inside10.1.3.10基于目的地址转换一种NAT技术,通惯用于把内部一台服务器内网IP映射为外网IP,以隐藏内网构造,起到保护作用。
外网对202.1.1.3访问事实上被防火墙透明转到10.1.3.10服务器,因此在防火墙上需要做区域间过滤方略,以保证可以访问到服务器,及访问安全性。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 学习 笔记