目录
防火墙配置-地址转换
1源转换
出接口
2目的转换
支持端口 公网访问私网 目的区域vlan不允许配置
3双向转换
目的区域vlan不允许配置
4一对一源转换
源地址跟源转换后 地址池
5一对一目的转换
6不作转换
防火墙配置-IP/MAC绑定
根据IP地址探测 、 根据接口探测(掩码24) 基于ARP
防火墙配置-阻断策略
默认规则允许通过
阻断策略 协议类型(2层)
访问控制 7层
防火墙配置-访问控制
IP/MAC绑定里可以添加MAC
长连接(TCP状态)
QOS-流量管理
防火墙-内容安全策略
http/ftp/web过滤
对7层进行过滤
防火墙-接口联动(高可用性)
双机热备、负载均衡、连接保护模式,短时间内根据单一接口的状态调整组内所有接口的状态,保证转发设备出接口和入接口状态的一致性,以防设备故障数据丢包。
跟华三的链路状态检测track有点像。
接口联动组(功能启用)
防火墙-双击热备(高可用性)
一台处于激活、另一台备用(不转发任何报文)。实现冗余备份。
支持透明模式和路由模式。
主墙的任何一个接口(不包括心跳口)出现故障,处于备份状态的高优先级墙经过协商进行数据转发。
- 配置心跳口 非同步地址 eth1
- 模式双击热备 抢占开启
- 监控所有接口
两台墙需要手工配置同步。
防火墙-负载均衡(高可用性)
使用多台服务器共同分担网络负载、缩短响应时间、优化性能。实现冗余。
支持路由模式。
并行工作。类似VRRP。
2个VRRP组。
- 心跳接口
- 组1 优先级10 抢占开启
组2 优先级1 抢占关闭
抓包命令
Network interface eth0 show
System tcpdump -ni any host xxxx
防火墙-连接保护
所有防火墙处于负载分担状态并且在网络部署层面相互独立,防火墙之间通过心跳线只同步连接信息,不同步状态信息,不区分主备。
支持透明和路由模式,上下游通过OSPF选路。
- 心跳接口
- 工作模式 连接保护
- 系统管理-配置 关闭连接完整性
流量异路。上去下回。
防火墙-入侵防御
入侵防御 入侵防御策略+攻击检测规则
主机防护 sy代理
Anti-DOS 防御 统计型需要引用
入侵防御策略 攻击检测规则
日志设置:防攻击
防火墙-网络基础配置
链路聚合 bond
路由表: 权重值(负载比例)
策略路由: 全局(data包任意接口来)、入接口 入接口优先级高
策略路由比路由表优先级高。
防火墙-IP探测
网络管理-IP探测 ping
引用模块:路由、高可用性、链路备份(静态路由、指定出接口)
防火墙-RIP
RIP 距离矢量 动态路由 跳数度量值-16跳 v1广播 v2组播
邻居地址必须配置 peer ip
路由重发布:从其他协议学习,同步rip路由表中。
接口上需要开启服务。
防火墙-OSPF
OSPF 链路状态 IGP v2 网关逻辑上支持50个进程
路由重发布:其他路由重发布到OSPF路由表中。
Area
防火墙-ADSL与DNS
ADSL:网络管理-接入 adsl1与eth0接口绑定 拨号
系统管理-配置 启用服务
DNS:网络管理-域名解析
DNS服务器 智能(服务器监听地址)/本地(上游DNS服务器地址)
外出查询IP:
域名记录:手工添加
防火墙-DHCP
DHCP 动态主机配置协议 C/S
防火墙-流量管理
通过QOS实现带宽动态管理。
QOS:共享类、策略独享类、独享类、受控独享类
共享类:当多个访问规则引用同一个qos,所有匹配acl的连接共享带宽。
策略独享:当多个访问规则引用同一个qos,每一个acl中匹配的所有连接各自共享带宽。
独享:匹配acl的每一个连接单独享有qos中设置的带宽,不对总带宽限制,之和不能超过接口有效带宽。
受控独享:匹配acl的每一个连接单独享有qos中设置的“每主机限制带宽”,但是所有源ip可以使用的总带宽不能超过qos设置的总线制带宽。
防火墙-开放服务配置 需启动进程
防火墙-应用识别
系统监视-应用统计
防火墙-内容安全策略-应用程序识别