防火墙的知识
-
什么是防火墙?
在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙分为软降防火墙和硬件防火墙,他们各有优劣:
硬件防火墙: 拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙也是有软件的,只不过有部分功能由硬件实现,所以硬件防火墙其实是硬件+软件的方式);
软件防火墙: 应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能比硬件防火墙低、成本低。 -
状态防火墙工作原理?
状态防火墙—会话追踪技术—三层、四层
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
首包机制
细颗粒度
速度快
复现实验
第一步先打开所有设备连接上设备后,给防火墙上做配置更改密码和G0/0/0接口ip地址的更改和自己换回IP一个网段,以便在浏览器上打开防火墙
先配置untrust区
先给R1配置
再server2上配置
在接口列表里面给GE1/0/0接口配置IP,启动访问管理选ping
配置trust区
先给交换机LSW1接口配置划分VLAN2和VLAN3
vlan2 g0/0/1接口
vlan3 g0/0/2接口
防火墙上
写一条到达10.1.3.0/24网段的路由
最后用PC1ping防火墙的接口
接口聚合
做接口汇聚
测试
区域内部已经互通
配置防火墙策略
trust 到 untrust
PC1ping外网
命中该条策略
trust 到 dmz
给dmz区建立地址组
新建trust到dmz的策略
pc1去pingDMZ区的设备
untrust 到指定dmz
给其中以个dmz区建立地址
新建untrust 到dmz的策略
用untrust区设备测试能ping通dmz区10.1.10.2server3设备
策略命中
测试与10.1.11.2 发现失败。
原因是只做了与10.1.10.2的策略没有做和10.1.11.2的策略
包括untrust也不能访问trust 只有放行才能通过