防火墙自学笔记

最新推荐文章于 2024-07-05 15:51:51 发布

农夫三拳囿點庝

最新推荐文章于 2024-07-05 15:51:51 发布

阅读量500

点赞数 20

文章标签：笔记网络

本文链接：https://blog.csdn.net/2301_76433904/article/details/139079952

版权

防火墙

对网络行为进行控制的一种设备，区域之间隔离，核心是安全防护

概念

属于安全设备，

保护一个区域免受另一个区域的攻击，

能够对外网进行隔离。

有着入侵防御，防止病毒的作用

分类

硬件防火墙：盒式，框式

软件防火墙：自身电脑，服务器系统

防火墙的部署模式

旁观

串联

透明

路由

网桥

二层

各个设备之间的对比

交换机：接入终端和汇聚路由徐建内部互联互通的局域网

路由器：构建外部连接网络，负责不同网段的转发

防火墙：流量的安全管控和防护，区分不同的安全区域

应用场景

边界

内部管控

数据中心

数据联动

发展历程

包过滤防火墙：通过配置ACL对数据包进行过滤

缺点：每个包每个包的检测，效率低；没有报文交互，容易被欺骗
状态检测防火墙：支持状态检测，根据首个数据包进行检测，创建会话连接，根据会话连接，对后续数据包进行控制（转发或堵塞）

缺点：功能单一
UTM防火墙：在状态检测的基础上增加了杀毒，抗ddos，ids，ips防病毒网关

缺点：每个数据包都要进行模块检测消耗资源太大
下一台防火墙：通过芯片与算法设计，再此基础上可以同时处理多个数据包，增加apt攻击行为检测，更具有安全性，对未知的安全攻击进行进一步防御

基本概念

安全区域

大部分的安全策略都是在安全区域中进行的，没有区域无法运行防火墙，区域中的设备都具有统一属性，区域之间访问需要部署安全策略

区域分类

trust（信任）优先级：85

untrust（非信任）优先级：5

dmz（服务器区域）优先级：50

local（本地）优先级：100

区域间的访问主要看源地址和目的地址两者所在区域

安全策略

对流量转发和对流量管控的一体化检测的策略

组成

匹配条件：valn安全区域 IP地址用户时间段 URL 应用

执行动作：允许和禁止

安全配置文件：反病毒各种行为过滤

按顺序匹配，一旦命中停止匹配

会话表

会话表是用来记录tcp udp icmp等协议的转态表项

工作原理

发送流量经过防火墙，如果是首包，创建会话表

在创建会话表的时候，进行状态检测路由-安全-nat等策略进行匹配

如果没问题创建会话，后面的报文根据会话表型来进行发送

会话表存在，就缩减检测时间提高转发能力

注：会话表如果长时间不连接，会话表会删除表项避免消耗资源

如果有需求，可以通过设置长时间模式，不一定所有的设备都有长时间模式，华为设备可以设置72小时

多通道产生的问题

如果设置了安全策略单向，两个端口以上的协议就无法建立起来，需要server-map表

配置命令

service-manage ping permit-------接口视图下允许通过的协议
service-manage telnet deny-----接口视图下不允许通过的协议
firewall zone name trust--------创建并进入对应区域内
firewall zone name om----------自定义区域
set priority 81 -------定义区域优先级
add interface gi 0/0/2-------------添加接口到区域内
security-policy------进入安全策略
rule name dmz-unstrust----创建规则
source-zone untrust------配置安全策略中条件，去指定源区域
source-addresss IP地址/网段-----条件 源地址
destination-adress IP地址/网段----条件 目的地址
service icmp--配置服务类型（默认为all）
action permit------执行策略动作

路由器远程登录防火墙

telnet server enable--------开启telnet服务
aaa-------进入aaa视图
manager-user www----创建用户
password cipher admin@123-------创建密码
 service-type telnet-----账号支持支持telnet
 level  5-------设置权限等级5
 user-int vty 0 4------进入vty通道
 protocol inbound telnet------支持telnet协议
 service-manage telnet permit-----接口视图下支持telnet协议

nat策略

nat-policy------------进入nat策略视图
rule name easyip------------nat策略名字  
source-zone trunst  
destination-zone untrust  
service icmp 
action source-nat easy-ip----------激活nat模式 选择easyip

源NAT技术

背景：

企业或家庭所使用的的网络为私有网络，使用的私有地址；运营商维护的网络为公网地址，使用的是公有地址。私有地址不能在公网中通信

解决方案

多个用户共享少量公网地址访问net的时候，可以使用源NAT技术实现。

源NAT技术只对报文源地址进行转换

源NAT技术可以分为NAT NO-pat，NAPT、easy ip和三元组nat

目的NAT

是对报文中的目的地址和端口进行转换。通过目的NAT技术奖公网ip地址转换为私网ip地址，使用公网用户可以利用公网地址访问内部server

当外网用户访问内部server是，防火墙的处理结果如下：

当外网用户访问内网server的报文到达防火墙是，防火墙将报文的目的ip地址由公网地址转换为私网地址

当回程报文返回至防火墙时，防火墙再将报文的源地址有私网地址转换为公网地址

根据转换后的的目的地址是否固定，目的nat分为静态目的nat和动态目的nat

mode pat                           //在地址池组启动端口转换
section 12.1.1.1 2.1.1.3           //规划地址池范围
action soutce-nat adresss-group 1   //激活nat模式