Day21、22防火墙

防火墙定义:一款具备安全防护功能的网络设备
隔离网络:
将需要保护的网络与不可信任的网络进行隔离,隐藏信息并进行安全防护
防火墙可以替代路由器
在这里插入图片描述注意:路由器配置好IP和路由的话默认是放行的,是往路由器里头写限制,但是防火墙是默认不允许通过的,是往防火墙上头写放行

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述防火墙基本功能:
访问控制:ACL 策略
攻击防护:3,4层攻击
冗余设计:hrsp,vrrp
路由、交换
日志记录
虚拟专用网VPN(需要买授权,两种VPN都支持)
NAT
Dos拒绝服务攻击
DDos:分布式拒绝服务攻击
并发连接数128000
//同时可建立128000
并发连接数(新建连接数)
并发连接数范围50万到100万(实际上能有一半就不错了,如果是一百人的网络一半再除以一百就是每个人实际可用的会话数,可能一个网页就要占用5个会话)
区域隔离:
防火墙区域概念:
内部区域
DMZ区域称为“隔离区”,也称“非军事化区域/停火区”
外部区域
在这里插入图片描述在这里插入图片描述IPS入侵防御系统:满足特征库就干掉,牺牲性能检查甚至重组(五层防御)
直路/并行/串联

需要对外发布的服务器放在DMZ区:
占层检查:看应用层有没有sql语句,有的话认为是sql注入
IDS:入侵检测系统:不防御,只记录
选择旁路安装
在这里插入图片描述

在这里插入图片描述防火墙分类:
1)按防火墙形态分类:
软件防火墙
硬件防火墙
2)按技术分类:
包过滤防火墙
状态检测防火墙
应用代理防火墙
WAF防火墙
应用层防火墙
防火墙两个会话:员工到防火墙
防火墙到内网
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述上网行为一般给定每个人带宽:300-500KB/人
也就是3-5M
限制迅雷10KB/人(因为迅雷要是开了会员有可能占了所有网络的带宽)

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述Day22
防火墙工作模式
透明模式
路由模式
混杂模式
防火墙二层端口不配IP,也可以起防护作用
三层端口配IP
防火墙端口是二层,不代表只能工作在二层有可能内置了其他东西
透明模式一般在不想影响网络架构的时候使用

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

在这里插入图片描述

在这里插入图片描述在这里插入图片描述
路由器叫做NAT
防火墙SNAT 源地址转换
DNAT 目标地址转换

在这里插入图片描述

在这里插入图片描述实验:
在这里插入图片描述防火墙接口一般都是叫做eth0,eth1等
使用top-gate时由于xpIE版本太低,无法通过浏览器管理防火墙,所以我们可以把真实机v1打开,用真实机管理防火墙即可
防火墙创建三个区域:
在这里插入图片描述
如果所有设备都放在v1的时候,pc不经过防火墙也可以通信,无法检测出防火墙的作用,所以不能那么设置
中国国产防火墙第一个接口eth0已经被配好了,192。168.1.254
默认80/443端口已经打开
80:http
443:https
虚拟机中的防火墙默认打开的时8080
NGFW是下一代防火墙
xp:Inside-pc v1
2003:DMZ-pc-2003
2003:Outside-pc-2003
topgate-1:解压到vm,我已复制,还原快照发现5块网卡
网卡1就代表eth0
网卡2 eth1
3eth2
4eth3取消启动
5eth4取消启动
login:superman
psw:talent
show
不分模式
实验一:验证区域隔离以及策略编写:
1.pc配置IP及网关
2.防火墙:创建区域—>接口加入到域
3.接口配置IP,配置路由(本实验不需要配置,因为都是直连的)
4.书写策略并验证
–100.1.1.
xp:192.168.1.1
255.255.255.0
192.168.1.254
DMZ:172.16.1.1
255.255.255.0
172.16.1.254
Outside:100.1.1.2
255.255.255.0
网关:100.1.1.1
PAT
真实机----------网络配置-----vmnet1更改—启用 192.168.1.100 255.255.255.0(这里不需要配置网关因为100网段已经能够与防火墙通信)
真实机配网关会出问题,因为真实机本来就有一个网关
真实机:ping 192.168.1.254可以ping通
打开IE:https://192.168.1.254:8080
superman
talent
资源管理----区域—点击操作inside/trust
访问权限:禁止
允许的话防火墙跟路由器的区别
添加dmz 禁止eth2
outside禁止eth1
网络管理–接口—eth1–编辑 outside----路由----(access vlan几还有trunk二层接口的时候可以选择)—100.1.1.1 255.255.255.0添加
eth2---------DMZ------------172。16.2.254---------255.255.255.0
路由器只看eth0,eth1,eth2优先级都是10,都是1
直连接口IP地址
路由中添加0.0.0.0 0.0.0.0 100.2选择接口(这里不需要配置因为都是直连)
现在没有配置策略谁都访问不了谁
ping 172.16.1.1不通
防火墙----------访问控制—添加策略-------inside----------任意---------目的dmz outside -----服务:任意----动作:允许-----日志记录(指正常的流量不记录)不记录—内容安全策略(5层)无-----------确定
添加DMZ
outside
允许
允许
确定
高—低放行已经完成
xp----ping 100.1.1.2
ping 172.16.1.1
验证看通不通
172.1.1.1 ping 100.1.1.1看通不通
实验二做源转换:
在实验一的基础上,把外网pc的网关去掉,outside网关去掉
1.配置源转换(PAT)实现inside以及dmz区可以上网
防火墙—地址转换
inside ping100.1.1.2不通
不通的原因不是因为防火墙不让过,而是因为外面的私有地址不回包
防火墙:地址转换----添加—源转换—任意inside----dmz—目的 任意 outside-----服务 任意—源地址转换为eth1----不勾选源端口固定
其他勾选
此时外网pc无法给192或172回包,相当于模拟了互联网
配置源转换(PAT)实现inside以及dmz区可以上网(源转换把源地址私有IP地址在出去的时候转换为公网IP地址)
防火墙地址转换
在这里插入图片描述实验三:目标转换DNAT(静态映射也就是把内网服务器映射到公网IP的固定端口上,只开放服务器的一个小口)
在实验1-2的前提下:
1.把dmz区的2003部署为WEB服务器,并发布出去
1)做DNAT
2)写策略outside-----dmz 172.16.1.1:80
2.使用outside区域2003(外网pc)通过访问http://100.1.1.88
DMZ------------光盘------------CD/DVD------------启动时连接----------windows sp2原版--------安装-------组件-------万维网服务
web默认站点在c:\in。。。。\wwwroot(修改默认站点的网页内容)
防火墙的配置之后记得点击右上角的保存按钮不然每次开机重启策略就没了
防火墙----------目的转换---------outside进来 目标无100.1.1.88(怎么办)
资源管理-------定义地址----地址----主机----添加----------100.1.1.88 (名称vip-web-wencoll)-----添加------确定
新建地址 dmz-web-wencoll 172.16.1.1
80端口已经默认打开,所以不需要定义
目的转换-------源:outside----------目的:vip-web-wencoll-----服务:http添加-----目标地址转换为dmz-web-wencoll-------------目的端口转换不需要做--------确定
outside-pc:ie:100.1.1.88回车无法访问------为何?因为防火墙没有写策略
防火墙--------访问控制--------源区域outside-------任意------(外----内)目标区域:dmz------地址:dmz-web-wencoll
注意:思科防火墙:外网到内网:放行一100.1.1.88作为目标IP并且以80作为目标端口号的时候
天融信:外网到内网,先NAT,把100.1.1.88转换为172.16.1.1,再配置策略,允许外网到100.1.1.88,策略只让100.1.1.88通过然而100.1.1.88已经转换为了172.16.1.1,所以172.16.1.1过不去
服务http------允许
再做防火墙相关配置的时候,只要出了问题,要马上想到防火墙
outside-pc:ie:100.1.1.88可访问
天融信防火墙从外网访问内网的话:
1)先查看状态表有没有
2)NAT
3)防火墙策略
用内网服务器共享一个文件夹
外网pc:win+R://100.1.1.88 不可访问
原因:访问445端口 ,防火墙不让过,没有这一条策略
实验四:内容过滤
1)将外网的2003布置为公网的某web服务器以及DNS服务器
2)此时内网以及dmzpc均可通过域名访问外网网站
外网pc记得ip配置DNS服务器
外网pc做成web服务器,iis服务器--------DNS服务器
3)做url过滤,结果一般网站可以访问,黑名单url禁止访问
4)http内容过滤,结果包含敏感词汇,禁止访问网站
outside-pc:
web-----------属性-------地址-----------100.1.1.2------------添加主机头值www.xxx.com
DNS:新建区域-----------主要区域-------------xxx.com
右键新建主机-------www------100.1.1.2
nslookup
不想指向DNS,想测试DNS是否能用?
nslookup
测试环境
server 100.1.1.2 手动指向DNS
www.xxx.com
exit
退出之后,手动指向的DNS消失了,还是不能通过域名上网
真实机:nslookup
www.baidu.com
server 114.114.114.114
server 8.8.8.8
www.baidu.com
server 144.144.144.144
www.baidu.com
不同的DNS服务器解析同一个网址解析出来的IP可能不太一样
然后给dmz以及inisde配DNS
dmz-pc:DNS:100.1.1.2
inside-pc:DNS:100.1.1.2
inside-xp:ie:www.xxx.com可以上网
dmz:ie:www.xxx.com可以上网
outside:ie:可以上网
//outside没有指向DNs,但是他会问自己,然后自己恰好是DNS所以恰好可以访问网站
outside-pc:新建区域—baidu.com----www------100.1.1.2
E盘新建baidu文件夹里头新建index.html
修改内容

baidu


IIS---------网站--------新建-------100.1.1.2 www.baidu.com
输入路径----------读取--------默认首页index.html
www.baidu.com
www.xxx.com
www.xxx.com应用层功能才能过滤输入的网址
内到外
防火墙访问控制-----------inside---------outside-------------内容安全策略新建(阻止弹出窗口允许,不建议在这里新建)
内容安全策略-----------添加--------in-to-out此策略用于inside与dmz通outside策略上,内容安全策略不可独立存在
访问控制----inside到outside---------内容安全策略-----------in-to-out
内容安全策略--------in-to-out-------编辑—http--------url过滤-----新建规则(不建议在这里新建,在这里引用即可)url黑名单----确定
内容过滤—http过滤–url添加----名称url黑名单—xxx.com-----禁止
允许是白名单,禁止是黑名单
inside-pc:xxx.com可以访问的原因,ie版本太低有缓存
ie清理缓存-------工具------internet选项-------删除文件—删除cokkie
还不可访问原因:http过滤------*xxx.com—禁止-----确定
www.baidu.com可以访问
xxx.com不可以访问
ping www.xxx.com可以访问
telnet www.baidu.com可以查看baidu有没有打开445端口
www.xxx.com内容过滤黄赌毒
取消url过滤
内容过滤—关键词黑名单----黄赌毒-----禁止
内容安全策略----in-to-out-----网页内容过滤----关键词黑名单
xp-inside—清理ie缓存--------www.xxx.com不可访问原因有敏感词汇
www.baidu.com可以访问

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

想成为前端工程师滴小小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值