防火墙实验及知识点整理

最新推荐文章于 2024-05-21 22:53:26 发布
最新推荐文章于 2024-05-21 22:53:26 发布
阅读量104 收藏
点赞数
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63111406/article/details/131882424
版权

防火墙的介绍

路由器与交换机的本质是转发,防火墙的本质是控制和防护。
防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常 用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火 的蔓延,而又保证 的穿墙而过。 这里的“ 是指网络中的各种攻击,而 是指正常的通信报文。那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的安全区域

安全区域(Security Zone):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线,当报文在不同的安全区域之间流动时,才会触发安全检查。

Trust区域 

网络的受信任程度高;通常用来定义内部用户所在的网络。

DMZ区域

网络的受信任程度中等;通常用来定义内部服务器所在的网络。

Untrust区域

网络的受信任程度低;通常用来定义Internet等不安全的网络。

Local区域

防火墙上提供的 Local 区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从 Local 区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local 区域接收。 Local 区域中不能添加任何接口,但防火墙上所有业务接口本身都属于Local 区域。由于 Local 区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与Local 区域之间的安全策略。例如Telnet登录、网页登录、接入 SNMP 网管等。

安全区域的受信任程度与优先级

安全区域都有一个唯一的优先级,用 1 100 的数字表示,数字越大,则代表该区域内的网络越可信。

 安全策略

防火墙的基本作用是对进出网络的访问行为进行控制,保护特定网络免受 不信任 网络的攻击,但
同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。
安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,
对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行
匹配。 

安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过,可以创建安全策略。一般针对不同的业务流量,设备上会配置多条安全策略。

 防火墙的发展史

包过滤防火墙 ---- 访问控制列表技术 --- 三层技术
简单、速度慢
检查的颗粒度粗 --5 元组

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
(1)代理技术只能针对特定的应用来实现,应用间不能通用。
(2)技术复杂,速度慢
(3)能防御应用层威胁,内容威胁  
状态防火墙 --- 会话追踪技术 --- 三层、四层
在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
(1)首包机制
(2)细颗粒度
(3)速度快
UTM--- 深度包检查技术 ---- 应用层
统一威胁管理
把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
(1)把原来分散的设备进行统一管理,有利于节约资金和学习成本
(2)统一有利于各设备之间协作。
(3)设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
下一代防火墙
2008 Palo Alto Networks 公司发布了下一代防火墙( Next-Generation Firewall ),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年Gartner(一家 IT 咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。

状态检查详解

状态检测机制

状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。

 会话机制

防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录 TCP 、 UDP、 ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。
防火墙对于过来的流量会先查询会话表,如果没有则匹配策略,策略匹配成功创建会话表,匹配策略失败,则阻止通过。
会话表的查询和建立

 

思维导图

 

实验拓扑

实验要求

PC1能成功ping同PC2

首先配置Cloud

这里选择的是虚拟网卡(192.168.33.1/24)

配置防火墙,这里选择将防火墙的地址修改为192.168.33.100/24

 同时还需要配置一条命令 service-manage all permit  允许所有服务

 此时可以通过网页输入192.168.33.100进入防火墙的图形配置界面

 这里我已经配置好两个接口的区域和地址

 

接下来我们就可以写策略来选择放通PC1  ping PC2的流量

 测试PC1和PC2是否能够通信

   

姥紫蜀道山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为防火墙基础NAT实验及配置
11-11
华为防火墙基础NAT实验及配置,包含基础配置及测试图片
Git常用知识点整理
m0_53157173的博客
09-11 554
Git学习Git 工作机制Git 和代码托管中心Git 安装Git 常用命令设置用户签名1)基本语法初始化本地库基本语法查看本地库状态再次查看(检测到未追踪的文件)添加暂存区将工作区的文件添加到暂存区查看状态(检测到暂存区有新文件)删除暂存区中的文件提交本地库将暂存区的文件提交到本地库查看状态(没有文件需要提交)查看引用日志信息查看详细的日志信息修改文件(hello.txt)查看状态(检测到工作区有文件被修改)将修改的文件再次添加暂存区查看状态(工作区的修改添加到了暂存区)提交到本地仓库提交到本地库后,再次
《信息处理技术》知识点整理
学习、记录、分享
09-02 3577
★考核知识点: 信息与数据 附1.1.1(考核知识点解释): 计算机中信息一般有4种形态:数字、文本、声音、图像。 附1.1.2(考核知识点解释) 信息资源(Information Resources): (1)可供利用并产生效益、与社会生产和活动有关的各种文字、数字、音像、图表、语言等一切信息的总称 (2)无限的、可再生的、可共享的; (3)其开发利用可大大减少材料和能源的消耗,减少污染。 附1.1.3(考核知识点解释) 信息是反应客观世界中各种事物特征和变化的知识,是数据加工的结果,是
全面整理Nginx知识点
weixin_45985053的博客
07-21 909
至此,Nginx的大部分内容都已阐述完毕,关于最后一小节的性能优化内容,其实在前面就谈到的动静分离、分配缓冲区、资源缓存、防盗链、资源压缩等内容,也都可归纳为性能优化的方案。httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
snort与单台防火墙联动实验
xiao____hit的博客
06-23 4412
XX大学XX学院 《网络攻击与防御》 实验报告 实验报告撰写要求 实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下: 1、 实验报告模板为电子版。 2、 下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息:   组 号:例如:2...
防火墙实验
06-08
管理员证书:用证书方式对管理员进行身份认证。证书包括CA证书、防火墙证书、防火墙私钥、管理员证书。
防火墙技术实验分析报告范本
06-13
防火墙技术实验分析报告范本
华为网络安全防火墙实验手册.zip
04-19
基于华为防火墙网络安全实验,内包含镜像文件和实验手册
win7个人防火墙实验.doc
06-15
个人防火墙实验 1.实验目的 (1)通过实验深入理解防火墙的功能和工作原理; (2)以win7防火墙为例熟悉配置个人防火墙; 2.实验原理 2.1防火墙的实现技术 (1)包过滤技术
Linux网络编程:网络基础
weixin_73234157的博客
05-20 603
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 232
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 307
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
云服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 549
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
MQTT 异常断开(一)
m0_50668851的博客
05-21 166
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
netstat协议
lovemelovefish的博客
05-15 389
本机各端口的网络连接情况。
文件操作IO&网络编程&网络原理
tulingtuling的博客
05-13 1610
文件操作IO,网络编程,网络原理
0基础如何进入IT行业
2302_76516899的博客
05-19 601
IT(Information Technology,信息技术)行业涵盖了与计算机技术相关的所有领域。主要包括软件开发、硬件维护、网络架构、数据库管理、网络安全、云计算和人工智能等。了解这些领域的基本概念和发展趋势是进入IT行业的第一步。
OSPF多区域组网实验(思科)
最新发布
qq_65150735的博客
05-21 195
OSPF(Open Shortest Path First,开放式最短路径优先)是一种广泛使用的动态路由协议,属于链路状态路由协议。它主要用于在单一自治系统(AS)内部决策路由,并通过传递链路状态信息和使用算法计算最短路径,为数据包选择最佳的路径,实现快速且有效的数据传输。
Windows个人防火墙配置实验原理及结论
05-23
实验中,我们可以通过配置Windows个人防火墙,来模拟网络攻击和恶意软件感染,以验证个人防火墙的有效性和保护能力。 实验结论: 通过实验可以得到以下结论: 1. Windows个人防火墙可以有效地保护计算机免受...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值