解决方案-天融信防火墙mgmt-新手漏洞教程
天融信防火墙配置指南
天融信防火墙配置指南
一、对象与规则
现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。
比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如:
1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。
2)用户当前的目标是不是A城市,是不是B地点。
3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。
用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者
城市-->主机
地点-->端口
为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。
二、路由功能与地址转换
现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。
我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。
当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。
~
网络安全学习,我们一起交流
~