1.防火墙的具体类型大家可以到官网产看。这里我主要是根据华为防火墙来介绍
2.主要安全级别
第一代:包过滤防火墙(ACL五元组:源地址 端口 协议 目的地址 目的端口)
第二代:代理防火墙 (代理模式:检查数据后发送给目标IP)
第三代:状态检测防火墙(动态跟踪会话流程)防止重放
第四代UTM:统一威胁管理(URL过滤,内容过滤)
第五代:下一代防火墙(NGF,应用识别,内容识别,用户识别) 目前的主流产品
第六代:AI防火墙(华为usg1200系列)
3.防火墙是干嘛
部署在局域网的和外部网络的连接处,用于控制检查流量隔离内外网络。
4.交互模式
命令+图形化界面
5.下一代防火墙
这里我们以eNSP为例子来做实验演示
使用网云连接防火墙,并连接本地虚拟网卡。
在防火墙接口中配置接口IP并开启https服务
在浏览器中输入https://xxxx.xxxx.xxxx.xxxx:8443 来连接你的防火墙。
!注意:此时有不安全弹窗时,看是否出现高级按钮
若没有出现检查是否被防火墙应用拦截。虚拟网卡IP网段和防火墙IP网段一致。
输入防火墙设置的账号和密码后会进入配置页面。
6.重要概念
安全区域:结合第二点安全级别
Trust:受信任区 一般对应企业内网区域
Untrust: 非受信任区 一般对应互联网/外网
DMZ:非军事区 一般对应服务器区/用来存放服务器
Local:本地区 代表防火墙设备本身
默认情况下,流量可以从高->低流动
可以手动创建新的安全区域,自定义安全级别值 1~100
通过eNSP做一个实验验证
我们配置好后再防火墙配置端口IP和对应区域,并勾选ping选项来测试,发现无法ping通,在接口抓包发现没有从Untrust区域放回的数据包。这是为什么呢?
1.需要在防火墙配置安全策略,放行从untrust到Trust区域的数据。
7.在防火墙中配置nat
我们知道基础NAT:静态nat和NAPT:easy-IP和nat地址池以及nat server,那么怎么在防火墙中配置呢。我们可以把防火墙看作有数据控制功能的路由器。
当我们使用easy-IP时和nat-pool试需要在nat策略中配置源区域和目标区域,以及nat地址池
最后在配置一条允许nutrust区域到Trust区域的安全策略
和配置服务器映射相当于指令nat server global xxxxx 端口号 inside xxxxx 80
最后测试,用Untrust区域客户端访问内网的服务器
如果网页报错以下列数字开头检查对应设备的配置。