防火墙技术基础篇:配置基本转发策略(安全策略)

于 2024-05-23 10:12:08 发布
阅读量723 收藏 3
点赞数 9
分类专栏: 防火墙技术基础篇 文章标签: 网络 服务器 防火墙 安全策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39241682/article/details/139140260
版权

防火墙基础基础篇:配置基本转发策略(安全策略)

1 什么是安全策略?

安全策略指的是用于保护网络的规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略是防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络的安全。

为了避免歧义,通常把针对一个组织的安全策略称为信息安全策略(Information Security Policy),而把后者称为防火墙安全策略(Firewall Security Policy,有时也简称为防火墙策略Firewall Policy)、防火墙规则(Firewall Rule)。在本文档中,我们主要介绍防火墙安全策略,并简称为安全策略。
在这里插入图片描述
简单一点来说,如果需要防火墙访问互联网或者外部网络,最基础的配置就是安全策略,因为它决定了哪些流量可以通过。

下面这个实验模拟内网用户访问外部网络,以路由器代替外部网络。

2 安全策略实验

2.1创建实验环境

2.2 配置防火墙接口IP地址

配置接口g1/0/1 IP地址,并开启ping功能

配置接口g1/0/2 IP地址,并开启ping功能

2.3 配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域

将g1/0/1加入trust区域

将g1/0/2加入untrust区域

2.4 配置默认路由访问公网

2.5 配置安全策略


[FW1]security-policy
[FW1-policy-security]rule name policy1 //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 192.168.100.0 24
[FW1-policy-security-rule-policy1]action permit //安全规则的动作,这里表示允许该规则流量的通过

2.6 配置路由器


3 测试结果

给PC添加IP地址


在PC上ping路由器,查看防火墙会话表

可以看到,内网的PC可以ping通路由器,说明内网用户可以访问外网。

云计算练习生
关注
  • 9
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙安全策略配置
qq_44197252的博客
07-02 8693
建立网络拓扑图,防火墙的接口0/0/0用于连接PC,PC的网段192.168.5.0,PC访问服务器需要经过防火墙的筛选;防火墙的接口0/0/1 用于连接网段192.168.1.0中的服务器,当网段192.168.5.0中的PC访问服务器时,只有符合要求的IP才能访问。网络拓扑图如下图所示: 对防火墙的接口进行配置,分别让接口0/0/0连接PC,接口0/0/1连接服务器,并且规定PC端的网段为192.168.5.0,服务器端的网段为192.168.1.0,如下图所示: 在防火墙中加入信任区域,..
网络安全策略-范本模板.doc
06-09
 1 防火墙技术策略 防火墙技术是建立在现代通信网络技术和信息 安全技术基础之上的应用性安全技术防火墙技术 源于单个主机系统的安全防范模式, 采用访问控制 的方法, 限制使用者访 问系统或网络资源的权限,...
防火墙技术基础篇:认识安全策略安全区域、域间转发及报文转发流程
最新发布
qq_39241682的博客
04-24 919
简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
华为防火墙实战配置教程
jennycisp的博客
04-19 879
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。今天给大家带来的是华为防火墙相关的实战,内容详实,可供参考!
防火墙策略配置
BerL1n
09-26 7138
拓扑 任务一 c2 ping c1 ,c1 not ping c2 首先我们要做的就是配置接口、网关、子网掩码,使得c1与c2可以互ping 如上图,我们先开启两个客户机,为方便测试。 命令 sys sysname FW dis ip int br 查看状态 int g0/0/1 ip add 192.168.2.1 24 int g0/0/2 ip add 192.168.1.1 ...
防火墙配置策略
qq_64441401的博客
11-06 796
对进出网络或者主机的数据包基于一定规则的检查,而且在匹配到某规则时,规则的定义做出相应的处理动作。只有运行策略的数据包,才能够通过。filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,以及任何时候接受或者拒绝数据包。自上向下,按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链的默认策略处理。1、如果策略已保存过,写在配置文件中的,保存,导入到iptables,重启服务器即可。防水墙:ensp,不透明的工作方式,你干什么都有记录,但是你自己不知道。
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 4526
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
基于Linux 的防火墙技术研究
11-24
基于Linux 的防火墙技术研究 宋文功1 唐 琎2 (1.中南大学网络中心,湖南长沙510630;2.中南大学信息科学与工程学院,湖南长沙410075) 摘 要:介绍了防火墙基本概念及其主要功能,分析了Linux 内核防火墙...
HCIP-Datacom核心技术(PPT).zip
06-15
目录 01 认识网络设备.pptx 02 IP路由基础.pptx ...23 防火墙技术.pptx 24 网络设备安全特性.pptx 25 技术概述.pptx 26 VRF基本概念及应用.pptx 27 BFD原理与应用.pptx 28 VRRP原理与配置.pptx ...........
Fortinet基础架构路由技术培训文件
01-25
本文档将详细介绍Fortinet基础架构路由技术的相关知识点,从路由的基本概念到FortiGate上的路由实现,涵盖静态路由、基于策略的路由、动态路由协议等多个方面。 一、路由基本概念 路由是数据包如何沿着一条路径被...
华为HCNA-Security教程华为官方培训HCNA-Security安全视频培训
07-23
03_防火墙安全策略基础.mp4 04_防火墙转发原理.mp4 05_防火墙ASPF功能.mp4 06_安全策略配置.mp4 07_源NAT原理和配置.mp4 08_NAT Server配置. 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
防火墙开局配置和技巧
03-11 471
网络中的流量错综复杂,安全策略的部署不可能一蹴而就,而任何错误的操作都可能影响组织的正常工作,所有的安全人员都对此提心吊胆。在把防火墙接入网络之前,防火墙管理员最大的困惑是,如何开始配置防火墙安全策略,才能不影响业务运行?这个部署方法既适用于防火墙首次接入网络时初始部署安全策略,也适用于安全策略的优化。如果当前部署的某个安全策略不够精确(如指定了Any作为匹配条件),你可以参照这个方法来确定更具体的匹配条件。通常情况下,安全策略中不指定用户、应用、URL分类、时间段是可以接受的。
防火墙策略
windy_12138的博客
09-09 4686
防火墙
【网络实验】华为防火墙基础安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 4186
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
如何配置防火墙?看这篇就够了
wuli1024的博客
11-27 6365
例如,一个企业按图 1-3 划分防火墙安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
防火墙安全策略
qq_57289939的博客
03-17 4529
目录防火墙安全策略实验图 1.配置防火墙图形界面 先添加UDP端口 添加网段网卡 启动防火墙FW1 查找防火墙 0/0/0 端口默认的IP地址 将地址与回环端口的地址改为同一网段 放行策略,RTPS协议 测试 输入图形化界面的访问地址 登陆刚才设置的用户名以及密码 2.配置untrust区域 点击网络,进入接口 配置GE1/0/0接口
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 1025
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
配置华为防火墙安全策略
杨奇的博客
06-24 6182
Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust //配置源区域为trust [FW1-policy-security-rule-trust_dmz]destination-zone dmz //
ensp配置防火墙安全策略
03-26
在ensp中配置防火墙安全策略可以帮助保护网络的安全,防止未经授权的访问和攻击。 在ensp中配置防火墙安全策略的步骤如下: 1. 登录ensp,并选择需要配置防火墙的设备。 2. 进入设备的配置界面,找到防火墙相关的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值