学习日志8.13--防火墙安全策略进阶

最新推荐文章于 2024-09-28 20:34:52 发布
最新推荐文章于 2024-09-28 20:34:52 发布
阅读量1k 收藏 14
点赞数 20
文章标签: 学习 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62560069/article/details/141128655
版权

目录

防火墙安全策略-区域内策略

防火墙接口策略-特殊性问题

防火墙安全策略-顺序问题

防火墙特殊接口的说明

防火墙安全策略-区域内策略

在之前学习的是防火墙的不通区域之间的安全策略,实验的内容是从trust到untrust。这节学习防火墙区域内的安全策略。防火墙相同区域内的不同接口是否可以实现策略管控。

实验拓扑结构按照配置信息,给主机进行配置,给防火墙接口配置IP信息,开启接口的ping服务功能
命令:[FW01-GigabitEthernet1/0/1]service-manage ping permit,开启接口1/0/1的ping服务功能
命令:[FW01-GigabitEthernet1/0/2]service-manage ping permit,开启接口1/0/2的ping服务功能


将接口1/0/和接口1/0/2划分到两个trust的安全区域
命令:[FW01]firewall zone trust ,进入trust安全区域
命令:[FW01-zone-trust]add interface  GigabitEthernet 1/0/1,将g1/0/1划分到安全区域
命令:[FW01-zone-trust]add interface  GigabitEthernet 1/0/2,将g1/0/2划分到安全区域

命令:[FW01]display current-configuration ,查看当前防火墙配置

都配置好后,用主机PC1去尝试ping他的网关

防火墙只要在接口配置了地址就会产生和路由器一样的路由表

然后尝试看看PC1pingPC2能不能通

由此可以知道,防火墙的相同的安全区域的接口流量是放行的,默认不拦截。

现在在防火墙做一个从trust(左边)到trust(右边)的安全策略。创建一个这样的安全策略,区域都在trust,网段是192.168.1.0和192.168.2.0之间通信。
让两个主机ping通测试一下。成功通信。

在接口上设置了server-manage接口的服务允许,在没有设置安全策略的前提下,接口之间是可以通信的,也就是说,在同一安全区域,在没有配置安全策略的情况下,接口之间的流量是允许通过的。在有打开接口的服务的情况下,去配置同一区域的安全策略,其接口上的流量也是通过的。

现在将安全策略的接口流量设置为拒绝通过
命令:[FW01-policy-security-rule-tru-to-tru]action deny
然后再用PC1去pingPC2发现这次,在同一区域的不通接口,在设置了接口的服务,但是安全策略拒绝同一区域不通接口之间的流量通过,主机之间是无法通信的,也就是,同一区域的不通接口之间流量是拒绝的。在仅仅设置接口的服务权限,没有配置安全策略的情况下是可以通信的;在即设置接口的服务权限又设置安全策略允许流量通过的情况下,同一区域不通接口之间的流量也是允许的;在设置接口的服务权限,配置安全策略是同一区域不通接口之间的流量是拒绝的的时候,接口之间的流量是拒绝通过的。

这是因为,这个涉及到流量过不过墙的问题,在有的厂商的防火墙的同一区域的不通接口,他的流量是不过墙的,意味着不过墙的流量就不进行拦截,华为的防火墙同一区域的不通接口他的流量是过墙的,能被安全策略拦截。所以在配置安全策略同一区域的不同接口的流量是拒绝通过的时候,两主机会无法通信。

总结就是,防火墙的相同的安全区域的不同接口默认是放行流量;防火墙相同安全区域不通接口之间流量访问可以被防火墙的安全策略所管控的。防火墙不同安全区域之间的不同接口默认拒绝流量;防火墙不同安全区域之间的不同接口之间的流量访问是可以被墙的安全策略所管控的。

那在防火墙流量进出不同的安全区域防火墙会进行安全状态监测,会创建会话表,然后返回的流量会通过会话表匹配是否允许流量通过。那是不是在防火墙的相同安全区域的不同接口之间也会进行安全状态检测。
用主机PC1去ping主机PC2,然后再回到防火墙看是否会生成会话表生成会话表。
现在删除安全策略,看是否还会有会话表生成
命令:[FW01-policy-security]undo rule name tru-to-tru,删除刚刚创建的安全策略
再用PC1pingPC2到防火墙上看是否会有会话表生成有会话表生成。

正常情况下是,在流量首包进入防火墙之后匹配到安全策略,防火墙就会生成会话表,现在是删除了防火墙的安全策略,但是在相同的安全区域的不同接口,流量是默认通过的,就会生成会话表。

防火墙接口策略-特殊性问题

防火墙的接口,自身的安全区域是属于Local。防火墙是通过policy(策略)来对流量来进行管控的。

防火墙的接口安全策略是要高于系统下的安全策略

现在写这样一条策略。从trust到Local的安全策略
命令:[FW01-policy-security]rule name tru-to-local,建立一个安全策略名字是tru-to-loacl
命令:[FW01-policy-security-rule-tru-to-local]source-zone trust,源区域是trust
命令:[FW01-policy-security-rule-tru-to-local]destination-zone local,目的区域是local
命令:[FW01-policy-security-rule-tru-to-local]action deny,不允许流量通过配置一个安全策略,从trust安全区域到防火墙的local区域,然后配置流量拒绝通过。

在1/0/1的接口下,允许接口被ping,这是接口下的安全策略,但是刚刚配置系统安全策略,不允许流量通过。实验看能不能用主机PC1ping防火墙接口1/0/1。能ping成功。

 同样,我们可以把接口的安全策略关闭掉,然后系统下的安全策略依旧拒绝流量,不做修改。
命令:[FW01-GigabitEthernet1/0/1]undo service-manage enable,关闭接口策略
现在接口安全策略和系统安全策略都已经拒绝流量通过了,现在用PC1去ping一下192.168.1.254。这次就不允许流量通过了。

现在,在接口策略关闭的情况下,打开系统下的安全策略,即接口策略不允许流量通过,配置的安全策略允许流量通过。然后再用PC1去ping一下192.168.1.254。这次就允许通过。

现在将接口的安全策略打开,然后再配置一个local到trust的安全策略
命令:[FW01-GigabitEthernet1/0/1]service-manage enable,打开接口的安全策略
命令:[FW01-GigabitEthernet1/0/1]service-manage ping permit,允许ping流量通过
然后再配置系统安全策略,名字叫local-to-tru
配置好后,用防火墙ping192.168.1.1。现在是接口策略说允许流量通过,但是系统安全策略不允许流量通过。不能通过。这是应为接口策略server-manage功能只能控制inbound方向的流量,无法控制防火墙自身向外发出的流量,而且只对当前接口生效,而local到trust是outbound方向的流量,需要由系统安全策略来管控。而在默认的安全策略下,outbound的流量是默认拒绝的需要security-policy来管控。

防火墙安全策略-顺序问题

防火墙的安全策略是按照配置的安全策略的顺序来进行匹配的。

现在在原有的安全策略下再增添安全策略为了区分将这个安全策略命名为tru-to-tru01,配置从trust到trust。​​​​​​​现在配置有四条安全策略一条默认的,三条是手动配置的。

用PC1去ping一下PC2,看看能不能通能通
然后再手动配置一条策略
配置一条和tru-to-tru01相反的策略,这条策略不允许流量通过。查看安全策略的顺序。
防火墙流量是按照顺序匹配的,如果现在是PC1192.168.1.1网络到PC2192.168.2.1网络的流量,会按顺序先匹配到tru-to-tru01,这条策略是允许流量通过的。匹配之后直接跳出,不在和下一条安全策略匹配。用PC1pingPC2测试一下能通。
现在就将tru-to-tru02移动到tru-ti-tru01之前,让PC1pingPC2不通。
命令:[FW01-policy-security]rule move tru-to-tru02 top,将tru-to-tru02安全策略放到顶端现在tru-to-tru02安全策略就放在最顶端。安全策略的移动有许多命令,可以after(在某条策略之后)、before(在某条策略之前)、bottom(在安全策略的最后一个)、down(将这条策略向下移一条)、top(将这条安全策略移动到顶端)、up(将这条策略向上移一条)。
移动好安全策略之后,再用PC1pingPC2。现在就是不通。

所以说防火墙流量的匹配是按照配置的安全策略的顺序来匹配的,而且安全策略的顺序是可以调整的。

防火墙对安全策略的操作可以有,copy(复制)、move(移动)、name(新建一个)、rename(重命名)。

防火墙特殊接口的说明

防火墙的接口g0/0/0是管理接口,单独用作管理使用,管理接口的网络和业务接口的网络是隔离的。管理接口默认属于vpn instance default,是一个单独隔离的路由表

防火墙g1/0/x是业务接口,可以对接路由器,对接交换机。查看管理接口的信息,默认的配置这个意思是这个接口是管理接口,起的简称。

防火墙是三层设备,再接口上配上地址之后,就会产生路由表
命令:[FW01-GigabitEthernet1/0/1]ip address 192.168.100.1 24,在接口g1/0/1上配置IP地址防火墙产生的路由表。但是管理接口0/0/0默认有地址,为什么不出现在路由表上呢。

管理接口的路由表信息被隔离开了,需要在特定视图下才能查询到。
命令:[FW01]display ip routing-table vpn-instance default,在vpn-instance里面,名字是default

管理接口的路由和业务接口的路由是隔开的,管理接口的网络和业务接口的网络也是隔开的。

当然,管理接口也可以配置为业务接口使用,只要将两者之间的隔离关闭就可以
命令:[FW01-GigabitEthernet0/0/0]undo ip binding vpn-instance default,关闭隔离vpn-instance名字是default。注意在关闭网络隔离的时候,同时会把管理接口的默认IP地址删除,后面需要我们重新配过IP地址。
命令:[FW01-GigabitEthernet0/0/0]ip address 192.168.0.1 24,重新给管理接口配地址
查看路由表的信息看到192.168.0.0的网段已经添加上去了,而且192.168.0.0和192.168.100.0网段都在同一个路由表里面,隔离就解除。
[FW01-GigabitEthernet0/0/0]undo ip binding vpn-instance default,这句话意思是说,关闭掉管理接口隔离,和业务接口融合,路由表也融合在一起。

m0_62560069
关注
前端学习笔记-8.13学习饿了么-商品详情页
qq_43000359的博客
10-22 1214
我们要实现点击商品,跳转至商品详情页,商品详情页分为头图,基本信息,split组件,商品介绍,split组件,商品评价。 首先设置food.vue的整体属性,设置动画。 然后设置头图的样式,头图左上角有个返回按钮,记得给他设置点击事件。 接着是基本信息,商品名称,价格,加入购物车等。 此时设置split组件。 商品介绍。 商品评价。这是个组件ratingselect.vue。说说这个组件怎么设置。...
8.13-LVS的nat模式+DR模式
qq_70752758的博客
08-13 1117
rw-r-----. 1 root named 152 6月 21 2007 named.localhost。-rw-r-----. 1 root named 168 12月 15 2009 named.loopback。-rw-r-----. 1 root named 152 12月 15 2009 named.empty。-rw-r-----. 1 root named 2253 4月 5 2018 named.ca。配置两个网卡和两个ip地址,一个对内ip,一个对外ip。
8.13-17任务
chenglichu0862的博客
08-14 1299
12.6 Nginx安装 去官网下载最新的稳定版的包。 [root@localhost: ~]# cd /usr/local/src/ [root@localhost: src]# rz [root@localhost: src]# ls nginx-1.14.0.tar.gz ...
8.13-8.19第六周
weixin_30924087的博客
08-19 96
这周复习了有关面向对象的知识并训练了Java编程,下周则开始编写程序完成考试题。 转载于:https://www.cnblogs.com/gkl20173667/p/9499619.html
悬镜安全丨第四期 全球一周安全情报(8.13-8.19)
Anprou的博客
08-20 532
纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。 1、Oracle数据库产品中存在一个关键漏洞 上周五(8月10日),甲骨文公司发布了新的安全补丁,以修复其Oracle数据库产品的一个重大漏洞。该漏洞编号为CVE-2018-3110,CVSS评分为9.9,影响Windows上的Oracle Database 11.2.0.4、12.2.0.1和12.1.0.2和Unix或Li...
8.11-分析工具、8.12-数据字典、8.13-数据流图 8.14-设计工具
李黏黏的博客
09-04 635
通常由多个数据项组成。C:描述数据如何进行控制(变化),体现的是控制的过程(控制信息),也就是数据加工的过程。但数据流图主要是从数据传递、加工的角度,以图形的方式,刻画系统内的数据运动情况。
MISRA C2012学习笔记(8)-Rules 8.13
赞的博客
08-31 1095
操作数的类型为“指向形参为 int32_t 型长度为 v 的数组的函数的 n 个指针的数组”。C99 标准中,通常不在运行时评估在操作数中出现的表达式。函数指示符和函数实参的相对求值顺序是未指定的,在这个不兼容的示例中,如果调用g修改了p的值,则不确定函数指示符p->f是在调用g之前还是之后使用p的值。在 sizeof(V)表达式中,若 V 是“volatile”修饰的非变长数组类型的左值,这种情况是被认可的。中的表达式求值过程中,副作用的发生顺序是不确定的,因此,如果这些副作用持续存在,则初始化行为是。
ELK日志平台-单机版部署手册
qq_43253382的博客
11-25 1193
本文主要用于新手学习ELK日志平台,从单机基本部署服务到最后应用简单场景
【skywalking学习-3-部署】
qq_34586455的博客
04-11 863
无需翻墙,直接去官网下载:https://skywalking.apache.org/downloads/,如下图所示,点击Distribution后,选择tar格式,分别下载Skywalking APM 和 Java Agent包,其中Agent包无需部署,下载解压后,在应用启动参数中加上对应Agent所在解压路径即可,路径格式之前文档已作介绍,此处不再赘述[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XOoJ40uP-1681196327259)(https://s3-u
Proteus8.13-ADC-Project
04-30
注意:这个项目在我电脑上无法运行!!!!设置为零分,希望有人能看看为什么有这个问题,如果找到问题,希望到该博客下面评论:https://blog.csdn.net/ZHOU_YONG915/article/details/130359835
Proteus-Professional-8.13-SP0
03-29
Proteus-Professional-8.13-SP0-Build-31525
unidac8.13-d26pro.rar
05-12
niDAC Pro是一套最受欢迎的数据集组件,提供从Windows,Linux,macOS,iOS和Android上的Delphi,C ++ Builder,Lazarus(和Free Pascal)直接访问多个数据库的32位和64位平台。 它提供了对Oracle,Microsoft SQL ...
XX大学MBA开题报告8.13 - 副本-论文.zip
08-18
MBA论文通常涉及对某一商业问题或策略的深入研究,强调理论与实践的结合,以及批判性思维和创新解决方案的提出。 在MBA的开题报告中,以下几个关键知识点是不可或缺的: 1. **选题**:报告首先应明确研究的主题,...
PyPI 官网下载 | phonopy-1.11.8.13-py2.7-linux-x86_64.egg
02-06
python phonopy-1.11.8.13-py2.7-linux-x86_64.egg ``` 这将解析并安装`.egg`文件中的所有内容到你的Python环境中。 4. **验证安装**:安装完成后,你可以通过在Python交互式环境中导入Phonopy来检查是否成功...
Spring Boot 学习和使用
cesske的博客
09-24 1078
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
Go基础学习08-并发安全型类型-通道(chan)深入研究
最新发布
FLJS_T的博客
09-28 595
在前面学习中了解到对于单值变量,如:int、string;多值变量,如:map存在多协程对资源竞争的并发问题,为了解决并发性通常需要引入sync.Mutex解决。>对于通道的基本声明方式有三种:声明并初始化带缓冲的通道(ch1);声明并初始化一个不带缓冲的通道(ch2);仅仅声明一个通道(ch3) >什么是通道:==一个通道相当于一个先进先出(FIFO)的队列。也就是说,通道中的各个元素值都是严格地按照发送的顺序排列的,先被发送通道的元素值一定会先被接收。Select和for循环实现对channel的多次选
大模型输入参数学习
AI智能,无处不在
09-25 336
top_p和top_k:用于控制生成文本的多样性和连贯性。较小的值会使生成的文本更连贯但缺乏多样性,较大的值会使生成的文本更随机和多样。:用于控制生成文本的随机性。较高的值增加随机性,较低的值增加确定性。:用于控制生成文本的长度。
Linux入门学习:进程概念
Lvision2的博客
09-24 1069
在课本的概念中,进程程序的一个执行实例,正在执行的程序。其内核观点:担当分配系统资源(CPU时间,内存)的实体。但这些概念太笼统,并不能让我们更加清晰的知道进程是什么,实际上,进程是内核数据结构(pcb) + 程序的代码与数据。pcb(process control block)进程控制块,进程信息被放在一个叫pcb的数据结构中,可以理解为进程属性的集合。在Linux入门学习:深刻理解计算机硬件与OS体系中,我们已经了解到。
windos elasticsearch-8.13.0配置
09-22
Windows上安装和配置Elasticsearch 8.13.0主要包括以下几个步骤: 1. **下载安装包**:首先从Elasticsearch官网下载适用于Windows的二进制文件包,例如`elasticsearch-8.13.0-win-x64.zip`。 2. **解压并运行**:将下载的压缩包解压到一个目录,比如`C:\Elasticsearch`。双击解压后的`elasticsearch-8.13.0\bin\elasticsearch.bat`启动服务。 3. **配置文件**:默认情况下,Elasticsearch会查找`config/elasticsearch.yml`文件来读取配置。你可以修改这个文件来调整集群设置、节点名称等。例如,添加网络监听地址: ``` network.host: "localhost" ``` 4. **环境变量**:可以设置环境变量`ES_HOME`指向Elasticsearch的安装路径,方便后续管理: ```cmd set ES_HOME=C:\Elasticsearch ``` 5. **启动服务**:通过命令行输入`elasticsearch.bat`启动服务,或者创建一个快捷方式添加到“启动”菜单。 6. **监控和日志**:Elasticsearch通常会自动生成访问日志和错误报告,在`logs`目录下查看。Kibana是一个可视化工具,可以帮助管理和分析这些信息,如果你需要的话,可以单独安装Kibana并与Elasticsearch集成。 7. **安全性和权限**:为了保护数据安全,可能需要配置身份验证和访问控制策略。可以参考官方文档了解更多关于如何配置防火墙和SSL/TLS的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值