防火墙
防火墙概念及分类
防火墙的概念及其核心任务
防火墙: 网络里面的防火墙,防止安全风险从一个区域蔓延到另外一个区域的设备
防火墙的核心任务: 控制和防护 ---- 安全策略 ---- 防火墙通过安全策略识别流量并做出相应的动作
防火墙的分类
吞吐量 :单位时间内防火墙处理的数据量
防火墙的发展历程
传统的包过滤防火墙
防火墙的安全策略在进行匹配时,自上而下逐一匹配,匹配上则不在匹配下条,结尾隐含一条
拒绝所有的规则。
包过滤的缺点(关注五元组): 关注三四层数据,无法检查应用层,无法充分识别安全风险,检测颗粒度不深
需要逐包匹配检测,则效率较低,可能会成为网络的瓶颈
应用代理防火墙
优点: 可以检测应用层数据
缺点: 效率低,延展性变差(可伸缩,每一种应用都需要开发对应的代理功能)
状态检测防火墙
‘’会话表技术“— 首包检测,但也检测不到应用层
IDS(入侵检测系统)
IDS可以发现安全风险,可以记录,分析及反馈,并不会直接处理或消除风险,基于风险管理的安全设备-----一定能的滞后性 — 基于风险管理 滞后性
IPS入侵防御设备
侧重于风险控制的安全设备,行为,如暴力破解
防病毒网关(AV)
WAF
UTM
串联部署—效率低
NGFW(下一代防火墙)
防火墙的其他功能
1:访问控制
2:地址转换
3:网络环境支持 可以支持二层部署环境,也可以支持三层部署环境
4:带宽管理 对带宽进行调控,智能调控职能管理
5:入侵检测的攻击防御
6:用户认证 如行为管理:用户 行为 流量
7:高可用性 要起到一个备份或者负载分担
防火墙的组网
带内管理 —要通 ,如Telnet,ssh,web,snmp
带外管理 —console线,MINI USB
MGMT: g0/0/0 web界面 出厂ip:192.168.0.1/24 ,默认开启了两个功能,DHCP和web管理
防火墙默认:账户/密码:admin/Admin@123
模拟器:去 g0/0/0开启wed服务service-manage all permit — 开启管理服务
华为防火墙默认端口:8443
认证类型
本地认证 ----用户密码信息存储在防火墙本地,由防火墙判断是否通过认证
服务器认证 ----对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。
服务器/本地认证 ---- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。
信任主机 — 只有信任主机中的地址或者网段才能登录控制设备
最多可以添加10条信任主机,如果没有配置,则不做限制
管理员角色
这里设置3-15是为了让管理颗粒细化,比如设置5以上才能save那么,3,4级权限就不能用save命令
设备接口
2X指的是2个万兆口
4个千兆Bypass其实是两对Bypass接口— 如果设备出现故障,则两个bypass将直接短接,形成通路,不影响网络数据的传输。
物理接口:
三层口---可以配置IP地址的接口
二层口 :
普通二层口
接口对---“透明网线”---可以将一个或者两个接口配置成为接口对,则数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;
旁路检测接口:其实就是在交换机上配置的镜像端口,并联的,即使设备坏了也不会对网络有影响
虚拟接口:
环回接口
子接口
Vlanif
Tunnel
链路聚合
VRF(虚拟系统)
虚拟系统—VRF
其实可以理解为网络中的 mpls-vpn,假如现在有两个区域都在192.168.1.0/24,那你设备系统不够用,需要将他们区分开来,就真的不行来假的,这个系统也可以理解为两个进程
那么这个virtual-if0这个接口可以将两个系统连接起来,这样就能互相通信
(虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可。)
## 缺省的产生
这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问
添加网关,将自动生成一条指向网关的缺省
防火墙区域
Trust --- 信任区 可以理解为内网
Untrust --- 非信任区 可以理解为外放
Local --- 防火墙上所有的接口都属于这个区域 就是防火墙本身的接口
DMZ --- 非军事化管理区域---放置一些对外开放的服务器
将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。
优先级---1 -100 --- 从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域----入方向----inbound
扫一扫
110
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
