HCIE 第一天防火墙笔记整理

一、结合以下问题对当天内容进行总结
1. 什么是防火墙?
2. 状态防火墙工作原理
二、复现上课俩个演示实验

一、结合以下问题对当天内容进行总结
1 什么是防火墙?
防火墙是一种隔离(非授权用户和授权用户之间部署)并过滤(对受保护 网络有害的流量或数据包)的设备
根据区域概念来处理流量
防火墙与路由器、交换机是有区别的不同的俩类设备。路由器用来连接不同的网络,通过路由协议 保证互联互通,确保将报文转发到目的地,交换机则通常用来组建局域网,作为局域网通信的重要枢 纽,通过二层/三层交换快速转发报文,我们发现俩者都是负责转发的设备。而防火墙主要部署在网络边 界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙 的本质是控制。
防火墙区域:
安全区域等级 内网(trust)100

                    外网(untrust)0

                    服务器区(DMZ) 50

2. 状态防火墙工作原理?
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
首包过来发现没有会话表会通过对比策略来生成会话表,建立会话。只有首包可以建立,重传不能建立会话
二、复现上课俩个演示实验
实验复现
在这里插入图片描述
一,添加ip地址
pc1:110.1.1.2 24
server1:20.1.1.2 24
server2:50.1.1.2 24
server3: 50.1.2.2 24
防火墙:g1/0/0,g1/0/1
在这里插入图片描述
R1:
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/01
[ISP-GigabitEthernet0/0/1]ip add 20.1.1.1 24
[ISP]ip route-static 0.0.0.0 0 10.1.1.1

二,配置交换机
SW1:
[SW1]vlan 2
[SW1-vlan2]int vlan2
[SW1-Vlanif2]ip add 100.1.1.2 24
[SW1-Vlanif2]vlan 3
[SW1-vlan3]int vlan3
[SW1-Vlanif3]ip add 110.1.1.1 24
[SW1-Vlanif3]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 3
[SW1]ip route-static 0.0.0.0 0 100.1.1.1

SW2
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport g0/0/2
[SW2-Eth-Trunk1]trunkport g0/0/1
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]port link-type trunk
[SW2-Eth-Trunk1]port trunk allow-pass vlan 10 11
[SW2-Eth-Trunk1]vlan 10
[SW2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 10
[SW2]vlan 11
[SW2]int g0/0/04
[SW2-GigabitEthernet0/0/4]port link-type access
[SW2-GigabitEthernet0/0/4]port default vlan 11

三,防火墙做接口汇聚
添加en_trunk接口
在这里插入图片描述
添加vlanif10以及11接口
在这里插入图片描述
在这里插入图片描述
下方勾选可ping
在这里插入图片描述
四,制定安全策略
trust区域可访问untrust区域
在这里插入图片描述
untrust区域访问DMZ区域的server2服务器
在这里插入图片描述
防火墙制定两条静态路由
在这里插入图片描述
可访问trust区
在这里插入图片描述
为pc1回包

五,测试
PC1ping防火墙g1/0/1
在这里插入图片描述
PC1访问untrust区域
在这里插入图片描述
ISP ping server2
在这里插入图片描述
ping server3(50.1.2.2)
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值