HCIE-Security Day2:防火墙安全区域、安全级别的理解

已于 2022-04-12 23:39:01 修改
阅读量7.1k 收藏 39
点赞数 6
分类专栏: HCIE-Security
于 2022-02-09 23:51:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122852074
版权

目录

什么是防火墙

安全区域和安全级别

系统预定义安全区域

用户自定义安全区域

安全级别Priority

安全区域的作用

防火墙安全区域和接口的关系

安全区域的简单配置

实验一:将g1/0/1下连网络加入和移除untrust区域

实验二:新增自定义安全区域

安全区域的方向

小结

什么是防火墙

通过防火墙将网络划分多个安全区域,基于安全策略限制区域间流量进出的设备。

进出:流量的控制可以是单向的。

防火墙与路由交换的区别

防火墙的本质是监管和控制流量

路由器和交换机的本质是转发

安全区域和安全级别

安全区域:一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。一般可以将具有相同优先级(安全级别)的网络设备划入同一个安全区域。

通过设置安全区域,将网络通过防火墙不同接口划分为不同等级安全级别的区域。

NGFW认为在同一个安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。

系统预定义安全区域

防火墙支持多个安全区域,缺省支持非受信区域(untrust)、非军事化区域(DMZ)、受信区域(trust)、本地区域(local),这四个安全区域无需创建,也不能删除,安全级别也不能再设置。

local

最高安全级别的安全区域,安全级别为100。

定义的是设备本身,local区域中不能添加任何接口,但是防火墙上所有接口本身都隐含属于(display zone的时候不会在local区域中显示这些接口)local区域,用户不能改变local区域本身的任何配置,包括向其中添加接口。

凡是由设备构造并主动发出的报文(报文源地址是防火墙某个接口的ip地址)都是从loca

最低0.47元/天 解锁文章
信封同学
关注
专栏目录
HCIE-Security 安全策略技术——流量处理
PICACHU+++的博客
08-03 451
是指在某个安全区域内(一个安全区域,通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施或实现的。
防火墙安全策略(基本配置)
2301_78439235的博客
07-10 3532
此时,即使配置了接口所在安全域允许访问local区域安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
网路安全-防火墙安全区域简介
最新发布
weixin_57370131的博客
08-20 1054
安全区域安全区域分类、安全区域级别、安全区域的作用、安全区域流动方向、实战、自定义安全区域
防火墙安全区域&级别
只为苦逼的运维同胞在运维的道理上少踩坑。
03-03 1943
Untrust(5)<DMZ(50)<Trust(85)<Local(100)
安全设备-防火墙
qq_40521068的博客
10-31 799
防火墙起源于建筑领域,用来隔离火灾的,阻断火势从一个区域蔓延到另一个区域。引入到通讯领域中,用通讯的语言来定义,防火墙主要用于保护一个网络区域免受来自另外一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活的用于网络的边界、子网隔离等位置。具体的如企业网络的出口、大型网络内部子网隔离、 数据中心边界等等。
HCIE-Security网络安全-ARP攻击
qq_44667101的博客
03-16 819
文章目录信息安全几种常见的协议栈攻击一、ARP攻击 信息安全 信息安全是指通过采用计算机硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。 几种常见的协议栈攻击 一、ARP攻击 原理: 它是在数据链路层进行的攻击(修改MAC地址),利用交换机Arp表的更新特点:后来者会更新先来者,A...
HCIE-Security安全-SYN攻击(半开攻击)
qq_44667101的博客
03-23 451
文章目录SYN攻击攻击原理攻击代码效果 SYN攻击 SYN包:表示连接请求。 攻击原理 利用了TCP的三次握手机制,A给B发送SYN数据包,B收到该数据包并给A回复一个SYN+ACK数据包,A收到该数据包不去回复B对上一个数据包的ACK确认,则会造成B一直等待这个ACK确认,从而会消耗B的主机缓存资源。 SYN攻击属于拒绝式服务攻击(DOS),如果有成百上千个主机,分布在不同的区域,同时向一个被...
HCIE-Security Day1:防火墙概述、实验环境搭建、三种方式管理防火墙
小梁的博客
02-09 4372
防火墙了解 路由器、交换机、防火墙是最重要的三类网络设备。 交换机是部署在企业内部,用于实现局域网络互联,vlan划分的功能。路由器是部署在企业网络边缘,实现与其他节点,分支机构或者互联网连接的设备。园区网络内部,一般包含办公区,普通用户的业务一般在这里,数据中心,部署了很多服务器。为了保证企业网络的安全性,需要部署防火墙防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。 防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了一些服务器,..
HCIE-Security Day15:防火墙双机热备实验(三)防火墙透明接入,上下行连接交换机
小梁的博客
02-18 3943
如果防火墙上下行都接入二层交换机,则其上下行接口也都应该配置成二层接口,没有ip地址,所以vgmp组无法通过使用vrrp备份组或者直接检测接口状态,这时vgmp组使用的故障监测方法是通过vlan监控接口状态。 具体是将二层接口加入vlan,vgmp组监控vlan,通过控制vlan是否转发流量的方式来保证流量引导到主用设备上。当vgmp组状态为active,组内的vlan转发流量,如果vgmp组状态为standby,组内的vlan被禁用,不能转发流量。 当vgmp组中的接口故障时,vgmp组会通过...
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证)
小梁的博客
02-22 4398
用户 访问网络资源的主体,表示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
HCIE-Security-防火墙文档.zip
07-30
HCIE-Security-防火墙文档
HCIE security学习资料
03-22
HCIE security学习资料 案例1双防火墙单Internet出口组网配置
HCIE-Security华为认证网络安全精英培训教材
05-02
HCIE-Security华为认证网络安全精英培训教材.........................................
华为HCIE-Security学习备考资料汇总集.rar
08-19
HCIE-Security_Lab备考建议pdf HCIE-Security_备考指南ARP安全配置(S5700交换机.... HCIE-Security_备考指南 DHCP- Snooping(S5700交换...... HCIE-Security备考指南 DSVPN. pdf HCIE-Security备考指南—NAT策略,pdf HCIE-Security备考指南 SSL VPN(SVN). pdf HCIE-Security备考指南—UR过滤pdf HCIE-Security备考指南 安全策略pdf HCIE-Security备考指南—策略路由pdf E-Security.备考指南带管理pdf HCIE-Security备考指南反病毒pdf HCIE- Security备考指南—角色授权&amp认证授权(sVN a HCIE-Securi ty备考指南—接口管理(NP)pdf HClE-Security备考指南—内容过滤pdf HCIE- Security备考指南—双机热备pdf HCIE- Security备考指南—文件过滤pdf 包 HCIE-Security备考指南虚拟网关(SVN)pdf 回 HCIE-Security-备考指南虚找系统pdf HCIE-Security备考指南—应用安全( NIP). pdf HCIE-Security备考指南一应用行为控制pdf HCIE-Security备考指南—用户和认证pdf HCIE-Security备考指南部件过滤pdf HCIE- Security备考指南端安全( SVN). pdf HCIE-Security第试备考建议pdf HCIE-Security面试备考建议pdf
HCIE-Security华为认证网络安全精英培训实验手册
05-02
HCIE-Security华为认证网络安全精英培训实验手册..............................................
HCIE-Security Day4:安全策略和状态检测
小梁的博客
02-10 2890
包过滤和安全策略 包过滤 获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 实现包过滤的核心技术是访问控制列表ACL。 设定规则主要通过五元组定义。 五元组 源ip、目的ip、协议类型、源端口、目标端口。 应用 逐包匹配,转发效率低。 安全策略 安全策略是fw的核心特性,作用是对通过fw的数据流进行检验,只有符合安全策略的合法流量才能通过fw进行转发。 安全策略由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,fw收到流量后...
HCIE-Security心得
weixin_40111182的博客
12-29 2581
HCIE-Security心得 致敬: 首先在此致敬所有问鼎专家级认证的战友们!奋斗的路上不孤独。其次声明本人不为任何机构所托,只是分享在自己通往CSO路程的一个历程记录与心得。 考证背景 本人是一名17级硕士毕业生,毕业后因为学校特殊性及专业名气,找工作还算顺利,进入了国企福利待遇都不错。然而官场氛围太严重,加上自己刚入社会傲气傲骨并存,年轻气盛导致各种不顺心。19年元旦过后果断裸辞,自掏腰包参加了网络信息安全行业敲门砖CISP培训,因为职业规划,选了CISP的CISO(管理方向)。空挡期实属难熬,
基础知识篇 安全区域:划地而治 等级森严
weixin_33693070的博客
11-20 352
由此我们可以得知,不同网络间互访时报文在防火墙上所走的路线。例如,当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。除了在不同网络之间流动的报文之外,还存在从某个网络到达防火墙本身的报文(例如我们登录到防火墙上进行配置),以...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值