目录
一、防火墙种类:
1、包过滤防火墙
2、代理防火墙
3、状态检测防火墙
二、防火墙流量控制手段:
1、包过滤技术(传统)
2、状态检测技术:
三、安全实验
1、防火墙默认规则实验
2、区域间策略安全实验
(1)、拓扑
(2)、需求
(3)、配置思路
(4)、关键配置截图
(5)、验证
一、防火墙种类:
本身还是基于ACL对流量进行分类识别
1、包过滤防火墙
2、代理防火墙
3、状态检测防火墙
1、包过滤技术(传统)
包过滤技术(传统):对于转发的数据包,先获取包头信息(网络层【源IP、目的IP】和传输层【源端口、目的端口】头部),然后和设定的规则进行比较(和本地ACL进行比较是否匹配),根据比较的结果对数据包进行转发或丢弃。
ICMP不具备传输层协议,直接封装在网络层上,没有源目端口,但是网络层IP有一个协议字段标识上层使用协议。
2、状态检测技术:
状态检测技术:除了基础的ACL,还支持多维度的条件精细策略(安全策略),安全策略就是按一定的规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略,规则的本质是包过滤。
ACL是基于五元组(源IP、目的IP、源端口、目的端口、协议号)
三、安全实验
1、防火墙默认规则实验
配置默认动作是拒绝所有
system-view 从用户视图进入系统视图
[USG6000V1]sysname AF 改名
接口配置IP:
[AF]interface GigabitEthernet 0/0/0
[AF-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[AF]interface GigabitEthernet 1/0/0
[AF-GigabitEthernet1/0/0]ip address 192.168.1.254 24
配置区域,接入加入区域:
[AF]firewall zone trust 进入区域
[AF-zone-trust]add interface GigabitEthernet 0/0/0 接入加入区域
[AF]firewall zone untrust
[AF-zone-untrust]add interface GigabitEthernet 1/0/0
这个时间PC1去ping PC2,不通,原因是防火墙默认不同区域间是禁止访问的。
进入安全视图
[AF]security-policy
[AF-policy-security]default action permit 配置默认动作允许通过
放通策略后:
如果出现业务有影响,现网情况允许,放通所有策略来排查是否有策略影响。
配置策略
[AF-policy-security]rule name PC1-to-PC2
[AF-policy-security-rule-PC1-to-PC2]source-zone trust
[AF-policy-security-rule-PC1-to-PC2]destination-zone untrust
[AF-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 mask 255.255.255.0
[AF-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 24
[AF-policy-security-rule-PC1-to-PC2]service icmp
[AF-policy-security-rule-PC1-to-PC2]action deny