环境
实验环境:华为模拟器ensp
防火墙型号:USG6000V
防火墙的组网
(防火墙可以配置三层口也可以配置二层口,可以理解为一个三层交换机,且防火墙一般在边界,所以防火墙可以配置nat。但是三层交换机是不可以配置nat的)
组网配置在防火墙的网络面板
下面的面板展示的就是网络面板的内容,下面展示的接口就是防火墙的所有物理接口
接口分类
现在先脱离防火墙,补充一些知识,简单介绍一些接口分类
物理接口
三层口:可以配置IP地址的接口
二层口:普通二层口
接口对 又称为 透明网线,可以将一个或者一对接口配置成接口对,数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出数据从一个接口进,将不需要查看MAC地址表。
做一个的接口对不是没有意义,做一个接口对的话流量从一个口进来,然后再从这个口出去,是不是在防火墙里面走了一圈
旁落检测接口:接收镜像流量
如何增加物理接口
加板卡
下面是防火墙接口卡
![](https://i-blog.csdnimg.cn/direct/d849b05ec0ce42a0af6a51206e9ce123.png)
虚拟接口
环回接口
子接口
vlanif
tunnel
接口面板选项意义
现在回到防火墙web面板
三层接口面的各个选项的意思
接口名称:每个接口的名称,现在点开的就是防火墙的g0/0/0接口,所以接口名称处显示的就是接口名称
别名:相当于对接口的一个描述
虚拟系统:相当于虚拟路由转发技术,把一台防火墙逻辑的分成多个防火墙
看下图web接口和其他物理接口不在同意各个虚拟系统中。目的为了安全,在不同的虚拟系统中相当于在不同的局域网,他们是可以使用同一个IP的
上面的virtual-if接口,就是你每创建一个虚拟系统就会出现一个这个接口,这个接口就是用于不同虚拟系统互通
安全区域:
模式:选择不同的模式
再下面的选项就是IP地址和路由了
简单说一下
PPoE接口:和运营商连的时候可以用这个,拨号计费上网
(小知识,其实网关就相当于一个指向网关的缺省)
二层接口面的各个选项的意思
接口对配置
接口对是默认trunk,允许放通多个vlan
接口对状态同步就是可以将配置同步到其他接口
安全区域
每个区域都可以加入不同的接口
划分区域
将那个被圈起来的接口划分到某个区域,然后下面的就属于你刚刚划分的了
防火墙组网方式
路由模式
防火墙所有接口都是三层接口
在这个模式防火墙需要的配置
透明模式
旁路检测模式
旁路部署可以做一些管理
混合模式
防火墙安全策略
新旧时代网络对比
新旧时代过滤技术对比
内容安全识别,深入到应用里
例子
限制了用户和某些应用的工作
安全策略流程
安全策略进来了以后首先抓取根据条件匹配,然后看动作是什么是允许还是拒绝,在之后进行一个内容安全的审查,如下图
防火墙中策略配置
在如下图所示中配置
新建安全策略
从VLAN id到时间段结束都是用来做条件匹配的
在策略中用到的一些参数都在对象中
防火墙的状态检测和会话表技术
来个例子对比以下包过滤和状态检测
包过滤,想要相互访问需要如下图下两条规则
状态检测只需要整一条,且当数据包回来后会被检测是否符合协议定义的后续报文的要求
在防火墙中会话表的查看
会话表技术的一些特点
老化机制
状态检测技术是可以关闭的
在下图中
命令行的执行
![](https://i-blog.csdnimg.cn/direct/1e8c83a1bade468e858e3a61452da222.png)
ASPF协议--针对应用层的包过滤技术
需要前置的一些知识--ftp
ftp协议-文件传输协议,tcp工作,端口一个20一个21,不加密,需要认证。有一套完整命令集,可以对文件进行查询等一些操作
tftp协议-简单文件传输协议,基于udp工作,不需要认证,效率更快
下面来一张图是一个简单的ftp工作过程
FTP还分为了两种工作模式:主动模式,被动模式
![](https://i-blog.csdnimg.cn/direct/c8ca421d2e8049a2b8069539f3005b03.png)
被动模式
说了这么多,但是ftp可能出现一些问题
ASPF协议的由来和ASPF协议于ftp协议的关系
server map表和ASPF的关系
![](https://i-blog.csdnimg.cn/direct/873c353edb3f4eaf98fc16026df56e66.png)
用户认证
认证方式
本地认证
服务器认证
单点登陆:和服务器认证逻辑类似
现在来看一下用户认证web界面的配置
配置位置
认证域可以定义用户的认证方式以及用户的组织结构
下图是新创建的一个认证域,用户的管理配置就在该页面
新建用户组
新建安全组
动态安全组就是满足某些条件可以加入某个组
新建用户
用户属性
认证策略
认证动作
![](https://i-blog.csdnimg.cn/direct/bc96921917c94d5cb3d1a9176cc502d5.png)