一、什么是防火墙
1.概念
防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
2.防御对象
- 授权用户
- 非授权用户
3.防火墙的区域
- 区域的划分,根据安全等级来划分
- 区域拥有不同的安全等级,内网(trust)一般是100(满分),外网(untrust)一般是0,服务器区(DMZ)一般是50(可以去到外网和内网,但是不能主动区内网)
二、状态防火墙工作原理
1.概念
状态防火墙—会话追踪技术,主要是检查三层和四层的数据流量。
在ACL技术上增加了session表,数据包需要查看会话表来进行匹配(首包机制:首包需要查看策略表)。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
2.优点
- 首包机制
- 细颗粒度
- 速度快
3.工作过程
当一台主机区访问服务器的时候,第一个数据报文来到防火墙后,防火墙会先查看session表(因为这是第一个数据包,所以并未建立会话表),所以直接区匹配策略表,当命中其中一条策略之后,会直接建立会话表。之后的所有数据报文再来防火墙之后,不用查看策略表,而是查看会话表进行匹配然后直接转发。(会话表会匹配本次会话所有数据报文,并非只匹配一个报文。)
这个过程又称首包机制,共使用两张表:会话表、策略表。
三、防火墙实验
1.接口模式
拓扑图
cloud创建端口
防火墙用户配置
1.路由配置
2.将两台设备的IP修改至同一网段
3.接口对------转发速度较交换机快,因为不需要查MAC地址表
2.安全策略
拓扑图
防火墙配置
通过浏览器登录USG6000V
创建安全区域
接口划入安全区域
接口聚合
配置安全策略
配置路由
查看路由表
测试
1304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
