防火墙技术(安全-HCIA)

已于 2023-10-31 09:10:44 修改
阅读量58 收藏
点赞数
文章标签: 安全 服务器 运维
于 2023-10-31 08:48:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h666555/article/details/134132382
版权

目录

一、防火墙种类:

1、包过滤防火墙

2、代理防火墙

3、状态检测防火墙

二、防火墙流量控制手段:

1、包过滤技术(传统)

2、状态检测技术:

三、安全实验

1、防火墙默认规则实验

2、区域间策略安全实验

(1)、拓扑

(2)、需求

(3)、配置思路

(4)、关键配置截图

(5)、验证
 

一、防火墙种类:

本身还是基于ACL对流量进行分类识别

1、包过滤防火墙

2、代理防火墙

3、状态检测防火墙

1、包过滤技术(传统)
包过滤技术(传统):对于转发的数据包,先获取包头信息(网络层【源IP、目的IP】和传输层【源端口、目的端口】头部),然后和设定的规则进行比较(和本地ACL进行比较是否匹配),根据比较的结果对数据包进行转发或丢弃。

ICMP不具备传输层协议,直接封装在网络层上,没有源目端口,但是网络层IP有一个协议字段标识上层使用协议。

2、状态检测技术:

状态检测技术:除了基础的ACL,还支持多维度的条件精细策略(安全策略),安全策略就是按一定的规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略,规则的本质是包过滤。

ACL是基于五元组(源IP、目的IP、源端口、目的端口、协议号)

三、安全实验

1、防火墙默认规则实验

配置默认动作是拒绝所有

system-view 从用户视图进入系统视图

[USG6000V1]sysname AF 改名

接口配置IP:

[AF]interface GigabitEthernet 0/0/0

[AF-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[AF]interface GigabitEthernet 1/0/0

[AF-GigabitEthernet1/0/0]ip address 192.168.1.254 24

配置区域,接入加入区域:

[AF]firewall zone trust 进入区域

[AF-zone-trust]add interface GigabitEthernet 0/0/0 接入加入区域

[AF]firewall zone untrust

[AF-zone-untrust]add interface GigabitEthernet 1/0/0

这个时间PC1去ping PC2,不通,原因是防火墙默认不同区域间是禁止访问的。

进入安全视图

[AF]security-policy

[AF-policy-security]default action permit 配置默认动作允许通过

放通策略后:

如果出现业务有影响,现网情况允许,放通所有策略来排查是否有策略影响。

配置策略

[AF-policy-security]rule name PC1-to-PC2

[AF-policy-security-rule-PC1-to-PC2]source-zone trust

[AF-policy-security-rule-PC1-to-PC2]destination-zone untrust

[AF-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 mask 255.255.255.0

[AF-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 24

[AF-policy-security-rule-PC1-to-PC2]service icmp

[AF-policy-security-rule-PC1-to-PC2]action deny

h666555
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HCIA-SEC笔记8------防火墙介绍
weixin_44747184的博客
11-13 1831
HCIA-SEC课程之防火墙介绍
HCIA-Security(H12-711)题库V3.0修改版.pdf
09-07
HCIA-Security(H12-711)题库V3.0修改版.pdf 根据提供的文件信息,我们可以总结出以下知识点: 1. Windows日志事件类型:事件日志中有四种类型的事件:错误事件、警告事件、信息事件和审核事件。其中,错误事件...
HCIA-Security -- 防火墙安全策略
qq_50929489的博客
11-13 2232
介绍了防火墙基本概念与发展历史,同时介绍了防火墙安全区域、安全策略以及相应的控制原理。搭配基于实际环境的练习,独立完成华为防火墙安全策略的配置方法.并掌握防火墙在网络安全方案的部署场景。
安全防御 --- 防火墙-- ASPF、NAT
weixin_62443409的博客
03-29 1236
主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期,Web(World Wide Web,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP(File Transfer Protocol,文件传输协议)以及TFTP(Trivial File Transfer Protocol,简单文件传输协议)。
HCIA安全笔记1
u014576453的博客
02-17 3748
HCIA安全笔记1
HCIA安全笔记2
u014576453的博客
03-02 6560
第四章:常见的网络设备p114-158 交换机:工作在数据链路层,转发数据帧,基于数据帧的目的MAC,通过查询本地的MAC表,实现数据的转发。 交换机转发行为:泛洪(除了源端口以外的其他端口)、转发、丢弃。 二层交换机没有ARP缓存。 泛洪的两种情况: MAC表中没有目的地址信息(未知单播帧)。 目的地址为全F(广播帧),FF-FF-FF-FF-FF-FF。 定向转发:已知单播帧 交换机的MAC表中,查询到了数据帧的目的MAC信息 丢弃:当接收接口与发送接口一致时,交换机默认会将此数...
华为认证安全工程师HCIA-Security V4.0(中文版)预发布通知
mengmeng_921的博客
04-02 4832
尊敬的客户: 非常荣幸地通知您,华为认证HCIA-Security V4.0(中文版)预计将于2022年5月31日正式对外发布。为了帮助您做好学习、培训和考试计划,现进行预发布通知,请您关注。 一、发布概述 基于“平台+生态”战略,围绕“云-管-端”协同的新ICT技术架构,华为公司打造了覆盖ICT领域的认证体系,包含ICT技术架构与应用认证、云服务与平台认证两类认证。 根据ICT从业者的学习和进阶需求,华为认证分为工程师级别、高级工程师级别和专家级别三个认证等级。 华为认证覆盖ICT全领域,符合ICT融合的
了解HCIA-Securit华为认证
u013619612的博客
03-20 739
HCIP-Security Huawei Certified ICT Professional-Security 培训与认证具备大中型企业网络安全的架构设计、部署和运维能力的高级工程师 通过认证验证的能力: 掌握中小型网络信息安全基础知识与相关技术(华为防火墙技术、加解密技术、信息安全系统运维等),具备协助设计、部署和运维中小型企业网络安全架构的能力,实现中小企业网络和应用的安全保障。 建议掌握的知识: 信息安全概念、信息安全标准与规范、常见攻击手段、基础操作系统安全防火墙安全策略、防火墙NAT技
HCIA安全笔记3
u014576453的博客
03-02 3530
第十二章 防火墙双机热备份技术 P409-441 双机热备解决的问题: 如果在组网时,网络的结构比较简单,网关设备单一,那就会出现单点故障的问题。也就是说网关设备故障后,导致整个网络的连通性出现问题。 为避免单点故障,提高网络的可靠性,可通过双机热备来实现网关的冗余。 在路由器上实现双机热备,是使用VRRP技术,在多台网关之间虚拟出一台虚拟网关设备,此VG具有独立的IP和MAC,内网PC在指定网关时,可指定此IP为其网关。 VG其实是一个网关角色,它必须由真实的物理设备来承担其工...
HCIA安全】用户认证
qq_40733491的博客
07-26 2021
Authentication(认证你是谁)-------->Authorization(授权你能做什么)--------->Accounting(审计你做了什么)1、Authentication认证的方式包括我知道用户所知道的信息(如密码、个人识别号PIN等)我拥有用户所拥有的信息(如令牌卡、智能卡或银行卡)我具有用户所具有的生物特征(如指纹、声音、视网膜、DNA等)2、Authorization授权包括用户能访问的资源用户能使用的命令用户角色包括。...
HCIA-Security网络安全技术视频.zip
04-24
2.0 防火墙技术 2.1 防火墙概述 2.2.1 安全区域 2.2.2 安全策略 2.2.3 状态检测技术和会话表 2.3 ASPF技术原理 3.0 NAT技术 3.1 NAT概述 3.2.1 源NAT 3.2.2 目的NAT 3.2.3 双向NAT 3.2.4 NAT Server 3.3 NAT ALG 4.1...
HCIA-Security安全工程师视频V3.0.zip
04-24
3.1.3 防火墙安全策略及应用 3.1.4 ASPF技术 3.2.1 网络地址转换原理 3.2.2 源NAT技术 3.2.3 服务器映射 3.2.4 NAT应用场景 3.3.1 双机热备技术原理 3.3.2 双机热备基本组网与配置 3.4.2 用户认证管理及应用 ..........
HCIA-Security V4.0 培训材料(PPT)
12-27
04 防火墙安全策略.pptx 05 防火墙网络地址转换技术.pptx 06 防火墙双机热备技术.pptx 07 防火墙用户管理技术.pptx 08 防火墙入侵防御.pptx 09 加密技术原理.pptx 10 PKI证书体系.pptx 11 加密技术应用.pptx
HCIA-Security培训视频教程【共25集】.rar
04-16
2. 防火墙基础、安全策略-1 3. 防火墙基础、安全策略-2 4. 防火墙基础、安全策略-3 5. 防火墙基础、安全策略-4 6. 首包、非首包场景-6 7. 首包、非首包场景-7 8. ASPF、Ftp原理-8 9. ASPF、Ftp原理-9 10. 源...
CAC 2.0融合智谱AI大模型,邮件安全新升级
最新发布
CACTER_S的博客
06-21 267
CAC2.0反钓鱼防盗号已成功引入清华智谱ChatGLM大语言模型!
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 121
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
安全】软件系统安全开发指南文件(指南)
xx_123321456的博客
06-21 132
2.2.应用系统软件功能安全设计要求。2.1.应用系统架构安全设计要求。2.5.应用系统数据库安全设计要求。2.3.应用系统存储安全设计要求。2.4.应用系统通讯安全设计要求。2.6.应用系统数据安全设计要求。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 205
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
h12-811 hcia-datacom 题库
07-14
首先,H12-811 HCIA-Datacom题库主要包含以下几个方面的内容:数据通信网络基础知识、WAN技术、LAN交换技术、网络安全、传输协议、路由协议等。对于备考H12-811 HCIA-Datacom考试的考生来说,熟悉题库中的各类题目是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值