防火墙基础学习

已于 2023-07-10 11:47:21 修改
阅读量5.4k 收藏 6
点赞数
分类专栏: 网工文章 文章标签: 网络协议 网络安全
于 2022-03-24 11:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50488257/article/details/123706310
版权

防火墙的最基本的功能作用:区域隔离和访问控制 

状态检测:防火墙转发流量时,产生会话表,返回流量如果有会话表,直接根据会话表返回。

路由器的acl是双向的,要么是同时通,或者同时不通。

华为防火墙,默认情况下,不同区域的接口默认就是不通的,同一个安全域内部之间是互通的,防火墙的安全策略默认情况控制单播流量【比如ospf,BGP,DHCP等列外也不受控制】,对组播和广播流量不做控制直接放行(也可对组播流量做控制),想让不同区域之间通讯,需要专门做策略放行。特殊情况:抵达华为防火墙自身的Telnet、SSH、http、https、SNMP、Netconf等管理类型流量,不受华为防火墙安全策略的控制。受接口下命令【service-manage +协议+permit/deny】的控制 。

当数据包经过防火墙时,防火墙先查看路由表,再看策略 ,产生会话表,返回数据包时,查看会话表中如果存在数据时,直接通过。所以在防火墙做策略时候,不需要考虑返回流量。

防火墙dmz区域:非军事区域、缓存区、隔离区

华为防火墙的安全域默认区域有四个

  1. trust 信任区域      一般链接办公网络
  2. Untrust 不信任区域  一般链接外网
  3. Dmz   隔离区      一般链接服务器
  4. Local  本地区域     防火墙本地(默认防火墙)【防火墙也做策略也不能直接ping其他区域的网络】

华为防火墙的基本配置【防火墙作为一个企业的出口,保证内部用户可以正常访问internet】

  1. 接口划分到安全区域并配置安全区域
  2. 上网Nat
  3. 路由
  4. 安全策略

防火墙的基础实验

实验拓扑:

实验效果

  • 1 实现防火墙trust到DMZ和untrust的访问
  • 2 实现防火墙tDMZ到untrust的访问

实验操作:

1.接口划分到安全区域并配置安全区域

2.配置安全策略

[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2 
[USG6000V1-GigabitEthernet1/0/2]ip address 10.1.2.254 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/3   
[USG6000V1-GigabitEthernet1/0/3]ip address 10.1.3.254 24

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add int g1/0/1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/2
[USG6000V1-zone-untrust]firewall zone dmz  
[USG6000V1-zone-dmz]add int g1/0/3

配置策略

[USG6000V1]security-policy    
[USG6000V1-policy-security]rule name trust_un 
[USG6000V1-policy-security-rule-trust_un]source-zone trust 
[USG6000V1-policy-security-rule-trust_un]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_un]action permit  
[USG6000V1-policy-security]rule name trust_dmz 
[USG6000V1-policy-security-rule-trust_dmz]source-zone trust   
[USG6000V1-policy-security-rule-trust_dmz]destination-zone dmz 
[USG6000V1-policy-security-rule-trust_dmz]action permit 
[USG6000V1-policy-security-rule-trust_dmz]q 
[USG6000V1-policy-security]rule name dmz_un 
[USG6000V1-policy-security-rule-dmz_un]source-zone dmz  
[USG6000V1-policy-security-rule-dmz_un]destination-zone untrust   
[USG6000V1-policy-security-rule-dmz_un]action permit 

测试

trust ping untrust  和trust ping dmz

dmz ping untrust

 untrust ping dmz 和untrust ping trust 不通

 实验完成

要努力啊啊啊!!
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙的各个区域互通
weixin_65621133的博客
03-17 2365
防火墙上面创建vlanif10和vlanif11接口,并配置ip地址,开启ping服务。在交换机sw1上面创建Vlanif2和Vlanif3并添加Ip地址。将交换机的0/0/3接口类型改为access,并允许通过van10。将交换机的0/0/4接口类型改为access,并允许通过van11。在sw1,sw2,r1上面写两天回包路由(用缺省代替)给路由器0/0/0和0/0/1口配置ip地址。在防火墙1/0/3口配置ip地址。在防火墙1/0/0口配置ip地址。将vlan3划入g0/0/1口。
10张图片教会你配置华为防火墙上网,以及两地内网互通
m0_57121953的博客
12-11 2865
基本配置里面,名称随便写,无所谓;跨地区联网办公最经济实惠的方式,莫过于ipsec vpn,笔者此前也不止一次地写过ipsec vpn的配置方法,但是总有网友说太复杂了,今天我非要给各位看官来个简单版的教程,只用10张图片,就能展示华为防火墙配通外网,并且配通总部与分支机构的ipsec vpn。这条源NAT策略的意思是,从总部内网访问分支的内网,不做地址转换,如果没有这个配置,那么默认为转换,那数据流量就走到公网出去了,而不会从ipsec隧道走,那当然不会有回包了,所以两端无法互访。
ACL基本介绍和功能运用
MAY的博客
04-18 1145
ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的,是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略
【CyberSecurityLearning 21】防火墙
_Co1a
02-23 2883
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 4343
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
防火墙产品基础学习
10-28
防火墙基础学习学习基础开始,喜欢网络的同学可以下载来看看。该PDF以华为Eudemon 系列产品阐述
Linux基础学习PPT
12-10
红帽基础知识介绍PPT,内容包括用户管理、权限管理、分析日志和防火墙配置策略。
HUAWEI防火墙登录方式
12-25
本文档适合有防火墙基础,会做VRP系统简单的命令行配置的人阅读。 不同的厂商的防火墙设计和登录方式及命令行差别比较大。本文档是HUAWEI防火墙的登录方式,如果你使用了HUAWEI的防火墙,可以参考此文档进行登录。
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
防火墙初始配置学习
05-22
防火墙的初始配置,基础学习 有需要的可以下下来看看;
防火墙基础知识
热门推荐
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络,防火墙成为连接各个网络的节点,以此为基础防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 964
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT。双向NAT根据作用的ZONE不一样,可以分为域间双向NAT和域内双向NAT。
防火墙处理双通道协议以及实现高可靠
m0_59082856的博客
04-18 594
对于域内NAT,是为了内网的用户能通过公网地址访问服务器,如果不做域内NAT,则服务器对内网访问的回应的目标地址则是内网的地址,其数据流不会经过USG,其数据连接也不成功。所以要在USG的安全区域内做域内NAT。普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。
设备安全之防火墙
weixin_60719780的博客
09-06 1405
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或数据包)的设备是一种高级访问控制设备,置于不同网络安全域之间,通过相关的安全策略来控制进出网络的访问行为。
ACL-in-out的区别
seaship的博客
01-10 6408
1.access-list 与ip access-list的区别 access-list 是用数字来定义----acl(标准或扩展ACL,用数字定义)  ip access-list 是用名字来定义acl(命名ACL 命名前面要加 standard or extended 2.应用在端口上的访问控制列表 1、如果在路由器R1上配置标准的访问控制列表,阻止PC1访问PC3,如配置的ACL为acce...
华为防火墙会话表
月球挖掘机
08-03 950
所以该条命令中提供多个参数可以选择需要查看的会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。此处只能查看当前依旧存活的会话信息,假如某条会话创建以后,很快又被删除或是老化掉了,则该条会话信息将不会在此显示。
防火墙——防火墙基础知识
m0_49864110的博客
06-01 5782
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
初探华为防护墙(1)------直连怎么ping不通?什么鬼?看完你就明白了
wlgcszz的博客
06-14 8265
华为防火墙直连ping不通
防火墙安全策略
个人笔记
10-06 6115
安全区域、安全策略、状态检测、ASPF技术
计算机基础学习思维导图
最新发布
03-01
计算机基础学习思维导图可以包括以下几个主要方面: 1. 计算机硬件: - 中央处理器(CPU) - 存储器(内存和硬盘) - 输入设备(键盘、鼠标等) - 输出设备(显示器、打印机等) 2. 计算机网络: - 网络拓扑结构(星型、总线型、环型等) - 网络协议(TCP/IP、HTTP等) - 网络设备(路由器、交换机等) 3. 操作系统: - 常见操作系统(Windows、Linux、macOS等) - 数组 - 链表 - 栈和队列 - 树和图 - 排序和搜索算法 5. 编程语言: - 常见编程语言(C、Java、Python等) - 语法和语义 - 数据类型和变量 - 控制流程和函数 6. 数据库: - 关系型数据库(MySQL、Oracle等) - 数据库设计和规范化 - SQL查询语言 7. 软件工程: - 软件开发生命周期 - 需求分析和设计 - 编码和测试 - 版本控制和项目管理 8. 计算机安全: - 网络安全 - 数据加密 - 防火墙和入侵检测系统 以上是计算机基础学习思维导图的一些主要内容,你可以根据自己的学习需求和兴趣深入学习其中的某些方面。如果你有其他具体的问题或者需要更详细的介绍,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值