防火墙 安全策略

最新推荐文章于 2024-07-24 13:13:54 发布
最新推荐文章于 2024-07-24 13:13:54 发布
阅读量48 收藏
点赞数
分类专栏: 华为项目 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IP_LiangHuan/article/details/134412674
版权

介绍安全策略的定义和特点。

设备能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。

1.如果动作为“允许”,则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。

2.如果动作为“禁止”,则禁止流量通过。

内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理,就能实现包括反病毒、入侵防御、URL过滤、DNS过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御在内的内容安全功能,通过各种内容安全功能来保证网络安全。

传统防火墙的包过滤


   传统防火墙根据五元组(源地址、目的地址、源端口、目的端口、协议类型)来控制流量在安全区域间的转发。如图1所示,如果希望只有市场部的主机(192.168.1.0/24网段)能够浏览Internet网页,则需要在trust和untrust区域间配置源地址为192.168.1.0/24、目的地址为any、协议为HTTP(或目的端口为80)、动作为允许的包过滤规则。

下一代防火墙的安全策略


下一代防火墙的安全策略不仅可以完全替代包过滤的功能,还进一步实现了基于用户和应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点,满足新时代网络的需求。

如图2所示,制定安全策略1可以阻止市场部的用户使用IM和游戏应用,制定安全策略2允许市场部的用户浏览Internet网页并且对浏览的内容进行检测,防止病毒和黑客的入侵。默认安全策略会禁止研发部员工访问Internet。

下一代防火墙的安全策略体现了以下优势:

能够通过“用户”来区分不同部门的员工,使网络的管理更加灵活和可视。
能够有效区分协议(例如HTTP)承载的不同应用(例如网页IM、网页游戏等),使网络的管理更加精细。
能够通过安全策略实现内容安全检测,阻断病毒、黑客等的入侵,更好的保护内部网络。

实验拓补图

实验步骤

s1的配置

[s1]interface Vlanif  10 
[s1-Vlanif10]ip address 192.168.10.254 24
[s1-Vlanif10]interface Vlanif 100
[s1-Vlanif100]ip address 192.168.12.2 24
[s1]interface GigabitEthernet 0/0/1
[s1-GigabitEthernet0/0/1]port link-type access
[s1-GigabitEthernet0/0/1]port default vlan 100
[s1]interface GigabitEthernet 0/0/2
[s1-GigabitEthernet0/0/2]port link-type access 
[s1-GigabitEthernet0/0/2]port default vlan 10
[s1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[s1-GigabitEthernet0/0/3]port link-type access
[s1-GigabitEthernet0/0/3]port default vlan 10
[s1]interface Vlanif 10
[s1-Vlanif10]dhcp select interface   //给vlan10自动分配IP地址
[s1]ip route-static 0.0.0.0 0.0.0.0 10.0.12.1   //配置一条默认路由

fw1的配置

[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.0.12.1 24
[FW1-GigabitEthernet1/0/2]un shutdown 
[FW1-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 172.16.1.1 24
[FW1]firewall zone  trust          //进入区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/2       //将接口放入区域
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1]ip route-static 192.168.10.0 24 10.0.12.2
[FW1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2

开始定义安全策略

[FW1]security-policy
[FW1-policy-security]rule name t_2_u
[FW1-policy-security-rule-t_2_u]source-zone trust 
[FW1-policy-security-rule-t_2_u]destination-zone untrust 
[FW1-policy-security-rule-t_2_u]source-address 192.168.10.0 mask 255.255.255.0
[FW1-policy-security-rule-t_2_u]action permit

配置r1

[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 172.16.1.2 24
[r1]interface LoopBack 0
[r1-LoopBack0]ip address 1.1.1.1 32
[r1]ip route-static 192.168.10.0 24 172.16.1.1     //配置路由
[r1]user-interface vty 0 4      //配置vty
[r1-ui-vty0-4]authentication-mode password     //配置模式
Please configure the login password (maximum length 16):hwawei   //配置密码

这样就有了去10网段的路由

<swl>telnet -a 192.160.10.254-1.1.1.1
Trying 1.1.1.1 ...
Press CTRL+K to abort
Connected to 1.1.1.1 ...
Login authentication
Password:

IP_LiangHuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙安全策略
w17791476027的博客
03-16 3496
防火墙的首包机制以及在ensp的图形化界面做防火墙安全策略
华为防火墙安全策略基础
09-16
安全策略基础
防火墙名词和安全策略简介(USG6307E)
Perfect886的博客
11-23 2467
什么是安全策略 介绍安全策略的定义和作用 FW的基本作用是对进出网络的访问行为进行控制,保护特定网络免受“不信任”网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。FW实现访问控制就是通过安全策略技术来实现的。 安全策略是FW的核心特性,它的作用是对通过FW的数据流进行检验,只有符合安全策略的合法流量才能通过FW进行转发。如图1所示: 图1 FW的安全策略 安全策略是由匹配条件(例如五元组、用户、时间段等)和动作组成的控制规则,FW收到流量后,对流量的属性(五元组、用户、时间段等)进
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
热门推荐
Richardlygo的博客
11-24 1万+
实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 //修改名称 [FW1]un in en //关闭提示信息 Info
eNSP之防火墙简单实验(一)
Shass的博客
11-10 1万+
eNSP之防火墙简单实验(一) 实验拓扑 图中,FW与ISP连接的网段仅仅是互联的作用,所以用私有地址段,而内部流量经过防火墙的G1/0/2访问外部流量时使用向运营商申请的公有地址段200.8.8.0/29。最后会针对这部分做一个扩展。 实验步骤 1、基础信息配置 将基础的IP地址配置 2、划分防火墙区域 1)代码配置方法 [FW]firewall zone trust [FW-zone-trust]add int g1/0/1 [FW]firewall zone dmz [FW-zone-dmz]add
华为防火墙NAT策略及配置详解
小健健的博客
10-24 1万+
人类现在对计算机网络的使用已经扩展到各个领域,而计算机网络的设计者当时无法想象互联网能有今天这样的规模。任何一个接入互联网的计算机、手机以及智能电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经以为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPV6的出现就是为了解决地址不足的问题,但在IPV6普及之前,需要有一个过渡技术——NAT。NAT的出现缓解了地址不足的问题,它可...
防火墙安全策略
weixin_49283635的博客
01-14 1665
Interface: GigabitEthernet1/0/2 NextHop: 10.1.3.2 MAC: 00e0-fcb0-3b49 // 流量的出接口,下一跳的IP地址、下一跳的mac地址。Zone: trust --> internet TTL: 00:00:20 Left: 00:00:13 //区域 TTL指的是该会话表的存活时间 ,left指的是存活的剩余时间。对于防火墙始发的或者抵达防火墙自身的OSPF/BGP/DHCP/IP-Link等流量,不受安全策略的限制。
华为防火墙安全策略
weixin_49209272的博客
12-11 8740
1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网..
防火墙安全策略配置
qq_51776588的博客
02-28 1万+
安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙防火墙安全区域 默认四种: Trust——信任值85 Untrust——5 Dmz——50 Local——100 防火墙安全策略工作流程 流量通过NGFW时,安全策略的处理流程如下: 1.NGFW会对收到的流量进行检测,检测出流量
防火墙安全策略检查表.pdf
11-27
防火墙安全策略检查表.pdf
华为防火墙 安全策略精要
09-16
华为防火墙 安全策略精要
等级保护测评-出口防火墙安全策略检查及加固建议.pdf
06-20
等级保护测评-出口防火墙安全策略检查及加固建议.pdf等级保护测评-出口防火墙安全策略检查及加固建议.pdf等级保护测评-出口防火墙安全策略检查及加固建议.pdf等级保护测评-出口防火墙安全策略检查及加固建议.pdf等级...
防火墙安全策略巡检报告.pdf
11-27
防火墙安全策略巡检报告 防火墙安全策略巡检报告是信息安全中的重要组成部分,该报告旨在对防火墙安全策略进行评估和分析,以确保防火墙安全策略符合信息安全的要求。下面是该报告的详细知识点: 第一章 概述 ...
Vue3+ element plus 前后分离admin项目安装教程
luck332的专栏
07-21 538
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发。
【PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 768
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
PHP项目开发流程概述
api77的博客
07-19 584
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 950
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
c++语言实现类似swoole扩展的项目实践
最新发布
北风之神Boreas
07-24 143
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ensp配置防火墙安全策略
03-26
在ensp中配置防火墙安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火墙安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火墙的设备。 2. 进入设备的配置界面,找到防火墙相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值