Code-5的博客

12，在FW5和FW3之间建立一条IPSec通道，保证10.0.2.0/24网段可以正常访问到192.168.1.0/24。由于之前有需求配置可能用到路由配置对此次配置稍有影响，建议暂时不做策略路由。只需要在启动双机热备的各设备上尝试重启双击热备即可使双机热备成功运行。因为由于是在模拟器上实验，难免每次启动时会遇到双击热备不成功的情况。检查之前的各种路由配置，比如策略路由。

需求:在FW1和FW3之间建立一条IPSec通道，保证10.0.2.0/24网段可以正常访问到192.168.1.0/24。

需求场景VPN ---- 虚拟专用网 ---- 一般指依靠ISP或者其他NSP，也可以是企业自身，提供的一条虚拟网络专线。这个虚拟的专线是逻辑上的，而不是物理上的，所以称为虚拟专用网。VPN诞生的原因 :物理网络不适用，成本太高，并且如果位置不固定，则无法构建物理专线公网安全无法保证由于VPN的诞生，导致网络部署的灵活性大大提升。

所谓垃圾邮件，就是收件人事先没有提出要求或者同意接受的广告，电子刊物，各种形式的宣传的邮件。包括，一些携带病毒，木马的钓鱼邮件，也属于垃圾邮件。文件内容的过滤 ---- 比如我们上传下载的文件中，包含某些关键字（可以进行精准的匹。应用内容的过滤 ---- 比如微博或者抖音提交帖子的时候，包括我们搜索某些内容的时。候，其事只都是通过HTTP之类的协议中规定的动作来实现的，包括邮件附件名称，FTP。注意：对于一些加密的应用，比如我们HTTPS协议，则在进行内容识别的时候，需要配置。

病毒传播本地缓存查询远程分类服务查询 — 如果进行了远程的查询，则会将查询结果记录在本地的缓存中，方便后续的查询。— 需要购买license才能被激活。自定义的URL分类 ---- 自定义的优先级高于预定义的优先级的如果远程分类服务查询也没有对应分类，则将其归类为“其他”，则按照其他的处理逻辑执行。

DPI — 深度包检测技术 — 主要针对完整的数据包（数据包分片，分段需要重组），之后对。据后，可能就通过UDP协议来传输，流量缺失可以识别的特征。能存在高频，群发等特性，如果出现，我们可以将其认定为垃圾邮件，进行拦截，对IP。基于应用网关的检测技术 — 有些应用控制和数据传输是分离的，比如一些视频流。基于行为模式的检测技术 — 比如我们需要拦截一些垃圾邮件，但是，从特征字中很。基于“特征字”的检测技术 — 最常用的识别手段，基于一些协议的字段来识别特。为特征，之后，检测流量和特征库进行对比，来发现威胁。

1 办公区设备可以通过电信链路和移动链路上网（多对多的NAT，并且需要保留一个公网IP不能用来转换）2 分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区的http服务器3 分公司内部的客户端可以通过公网地址访问到内部的服务器4 FW1和FW3组成主备模式的双机热备5 办公区上网用户限制流量不超过60M，其中销售部人员在其基础上限制流量不超过30M，且销售部一共10人，每人限制流量不超过3M 6 销售部保证emai1应用在办公时间至少可以使用10M的带宽，每个人至少1M

双向NAT（Bidirectional NAT）是指在NAT转换过程中同时转换报文的源信息和目的信息。

目标NAT (Destination NAT, DNAT) 是一种网络地址转换（NAT）技术，用于改变通过 NAT 设备的数据包的目标 IP 地址。在 DNAT 中，内部网络中的设备发送的数据包的目标地址被更改，以使其能够路由到外部网络中的特定目的地。

办公区全天可以访问服务区，其中，10.0.2.20可以访问FTP服务器和HTTP服务器。生产区在工作时间内可以访问服务器区，仅可以访问HTTP服务器。10.0.2.10仅可以ping通10.0.3.10。办公区在访问服务区时采用匿名认证方式进行上网行为管理。办公区设备可以访问公网，其他区域不行。

需求1. 配置总公司区域2. 配置DMZ区域3. 配置总公司区域到DMZ区域互通（trust to DMZ）

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性网络安全：计算机网络环境下的信息安全。

需求，配置防火墙的安全区域，trust，DMZ，untrust基础实验。

在浏览器登录eNSP中的防火墙

为了使私网Web服务器能够对外提供服务，需要在NGFW上配置服务器静态映射功能。除了公网接口的IP地址外，公司还向ISP申请了一个IP地址（1.1.1.10）作为内网服务器对外提供服务的地址。网络环境如图所示，其中Router是ISP提供的接入网关。通过NAT Server（服务器映射）功能，可以实现外部网络用户通过公网地址访问私网内部服务器的需求。NAT Server功能即将某个公网IP地址映射为服务器的私网IP地址。NAT Server提供了公网地址和私网地址的静态映射关系。

为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在NGFW上配置源NAT策略。除了公网接口的IP地址外，公司还向ISP申请了2个IP地址（1.1.1.10～1.1.1.11）作为私网地址转换后的公网地址。NAT No-PAT也可以称为“一对一地址转换”，只对报文的地址进行转换，不转换端口。多个用户共享少量公网地址访问Internet的时候，可以使用源NAT技术来实现。- NAPT属于“多对一的地址转换”，在转换过程中同时转换报文的地址和端口。

设备通过检测报文的应用层数据，自动获取相关信息并创建相应的会话表项，以保证这些应用的正常通信。遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。

如果防火墙域间没有配置安全策略，或查找安全策略时，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作（拒绝通过）包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过。如果规则允许通过，状态检测防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。一条会话表示通信双方的一个连接。多条会话的集合叫做会话表。通过会话中的五元组信息可以唯一确定通信双方的一条连接。防火墙将要删除会话的时间称为会话的老化时间。

为了在防火墙上区分不同的网络，我们在防火墙上引入了一个重要的概念：安全区域（Security Zone），简称为区域（Zone）。安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，一般来说，当报文在不同的安全区域之间流动时，才会受到控制。我们都知道，防火墙通过接口来连接网络，将接口划分到安全区域后，通过接口就把安全区域和网络关联起来。通常说某个安全区域，就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系如图所示。

用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。