防火墙与公网的爱恨情仇

最新推荐文章于 2024-05-05 13:29:10 发布
最新推荐文章于 2024-05-05 13:29:10 发布
阅读量634 收藏 3
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45405626/article/details/114658306
版权

看前须知:这些小文稿都是本人自己撰写发表的,有错误的地方和不当的地方可以私聊我,谢谢!

防火墙

先说说防火墙。我们现在所了解的防火墙就是网络防火墙

WAF(Web Application Firewall):网站应用级入侵防御系统

这个东西顾名思义,就是起到了墙的作用,将内网跟公网区分开,使得内网可以访问公网,而公网访问不了内网。

那什么是内网呢?局域网肯定都听说过,对,你可以理解为内网=局域网,是一个小范围区域的网络,内网内的各个设备都可以互相访问(你在局域网看不了别人电脑上的文档那是因为人家设置权限了不让你看);

那什么是公网(外网)呢?公网就是我们都可以访问的互联网啦,数据从自己的设备上发出去,传到公网,再通过地址发送到指定设备(服务器)上,然后该设备再把处理过的数据传回来,就完成了一次访问。

那么为啥公网上的设备想发送请求给内网就不行呢?就是因为有防火墙的原因。简单来讲,防火墙会判断“来者何人”,要是从来都没见过,哼哼,拒绝进入(访问拒绝),要是你曾经有过偷盗资料的行为(IP扫描行为),那就更别说了(加入黑名单),要是我见过你,我还知道你是好人(CA证书),那就好办了,进来坐坐吧(加白)。

那防火墙的策略是啥呢?这就是各大安全公司拿着挣钱的东西啦,属于机密不能泄漏哦,最后达到的效果就是:
1.封禁指定IP
2.自动检查恶意IP
3.限制短时间内单IP访问次数
作为科普,知道这些就足够了,还有更厉害的方法呢!我也需要学习的啊!

VPN

VPN(Virtual Private Network):虚拟专用网络
是一种看似专线、实际也走公网的专线技术,通过架设VPN服务器对数据包进行加密传输,达到专线的效果,实际上走的还是公网,所以叫虚拟。现在知道啥叫被“墙”了吧,就是国内有一面巨大的防火墙屏蔽了网站,不认可网站导致的访问不到网站内容等。那为啥VPN就可以“那啥啥”呢?看个图你就明白了:
自己画的草图

怎么样,明白了吗?因为有众多VPN服务器(随便一台电脑都可以搭服务器)等原因,使得这张巨大的墙来不及把所有VPN加入黑名单,所以你还可以借助某些奇怪的东西访问外网。被墙了就说明你很不幸被防火墙查到了,IP被封喽~

GCnYIN
关注
专栏目录
Linux查看公网IP的解决方案
weixin_43178406的博客
06-23 7万+
本文主要介绍了Linux查看公网IP的解决方案,希望能对使用Linux的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
状态检测防火墙
A soul tortured by desire
07-05 1149
防火墙原理、安全策略配置及优化注意事项
防火墙, 公网, 私网 的概念
lljxk2008的博客
08-30 1844
防火墙(Firewall),也称防护墙, 它是一种位于内部网络与外部网络之间的网络安全系统 依照特定的规则,允许或是限制传输的数据通过, 它能允许你“同意”的人和数据进入你的网络 同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络  防火墙的开启可以抵挡部份恶意程序, 有助于系统安全 入站规则: 入站规则, 允许外部访问主机的规则, 这里可以设置端口, 即将某...
防火墙
weixin_34232363的博客
02-05 303
引用:http://www.oschina.net/translate/introduction-to-firewalls 在建筑行业,“防火墙”是指一种专门设计用来阻止火在建筑的不同部分蔓延的墙,后来这个术语传播到了类似汽车制造业等其他行业,并在20世纪80年代末进入计算机领域。在防火墙的一侧是热闹且混乱的互联网,在另一侧是你强大但易受攻击的Web服务器。 实际上防火墙更...
Firewalld防火墙
weixin_56661712的博客
05-08 263
一、防火墙基础 1、防火墙的作用和特点 1)防火墙的作用 对数据包进行过滤,发现可疑流量进行阻断 2)防火墙的特点 增强安全 防止外网对内部网络发送攻击 2、防火墙的类型 1)软件防火墙 Windows防火墙、iptables、firewalld、TMG都属于软件防火墙 处理数据速度慢 2)硬件防火墙 华为防火墙、深信服、ASA防火墙都属于硬件防火墙 处理数据速度快 可靠性强 3、防火墙功能分类 1)代理防火墙 过滤用户访问资源 需要指定防火墙代理IP地址和端口上网 2)网络防火墙 对数据包进行过滤 3)状
防火墙出口公网IP设置问题
最新发布
normanhere的博客
05-05 186
A:由于目前设备SNAT和DNAT均是基于全局,所以配置1个或者多个IP,和NAT没有关系;DNAT将记录来去的数据包并对目的IP做替换;数据包返回的时候,查找DNAT条目,对源IP做出替换。所以即使不在接口配置该DNAT的公网地址,客户端和服务器也能正常通信。此外如果需要设备通过其他公网IP进行管理(从防火墙自身封装出发的流量,和到达防火墙本身的流量)就需要填写其他公网IP地址。Q:运营商分配一段IP,则在接口下应该配置哪个公网IP 或者是否需要都配置上去呢?所以配1个公网IP和多个均没有关系;
运营商多个公网地址防火墙怎么配置
qq_24328629的博客
09-24 3190
运营商多个公网地址防火墙怎么配置
巧用防火墙保护公网服务器.pdf
11-28
巧用防火墙保护公网服务器.pdf
内网服务器防火墙作用,防火墙内网用户通过公网域名访问内部服务器典型配置案例集...
weixin_35879493的博客
07-29 1715
1)防火墙开启ALG DNS功能。核心交换机配置:核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略。防火墙配置:1、在接口G0/0、G0/1、G0/2上配置相应的地址,正确配置路由和域间策略,具体配置略。2、通过PBR将PC访问公网的流量重定向至运营商A,PC访问服务器的流量不做重定向。#[F1000-E-SI]acl number 3010[F1000-E-SI-acl-adv...
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
华为防火墙通过公网IP与ubuntu20.04公网服务器 ipsec连接配置
04-04
1. 在华为防火墙上配置IPSec VPN 首先,在华为防火墙上配置IPSec VPN,以便与Ubuntu 20.04公网服务器建立安全连接。 1.1 创建IKE策略 IKE是IPSec的关键协议之一,用于建立安全的VPN隧道。在华为防火墙上,我们需要创建IKE策略来定义IKE协议的参数。 在命令行界面下,输入以下命令: [Huawei] ipsec ike proposal ike-proposal1 [Huawei-ike-proposal-ike-proposal1] encryption-algorithm aes-cbc-256 [Huawei-ike-proposal-ike-proposal1] integrity-algorithm sha1 [Huawei-ike-proposal-ike-proposal1] dh group14 该命令创建了一个IKE策略,指定了加密算法、完整性算法和Diffie-Hellman密钥交换组。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.2 创建IPSec策略 IPSec是用于加密数据的另一个重要协议。我们需要在华为防火墙上创建IPSec策略,以定义加密参数。 在命令行界面下,输入以下命令: [Huawei] ipsec proposal ipsec-proposal1 [Huawei-ipsec-proposal-ipsec-proposal1] esp encryption-algorithm aes-cbc-256 [Huawei-ipsec-proposal-ipsec-proposal1] esp integrity-algorithm sha1 该命令创建了一个IPSec策略,指定了加密和完整性算法。这些参数应该与Ubuntu 20.04公网服务器上的设置相匹配。 1.3 创建IPSec VPN 现在,我们可以使用上述IKE和IPSec策略创建IPSec VPN。 在命令行界面下,输入以下命令: [Huawei] ipsec vpn vpn1 [Huawei-ipsec-vpn-vpn1] ike proposal ike-proposal1 [Huawei-ipsec-vpn-vpn1] ipsec proposal ipsec-proposal1 [Huawei-ipsec-vpn-vpn1] remote-address 1.2.3.4 [Huawei-ipsec-vpn-vpn1] quit 该命令创建了一个名为vpn1的IPSec VPN,指定了IKE和IPSec策略,并将其绑定到Ubuntu 20.04公网服务器的公共IP地址。 2. 在Ubuntu 20.04公网服务器上配置IPSec VPN 接下来,在Ubuntu 20.04公网服务器上配置IPSec VPN,以便与华为防火墙建立安全连接。 2.1 安装StrongSwan StrongSwan是一个流行的开源IPSec VPN实现,我们将使用它来配置Ubuntu 20.04公网服务器。 在终端中,输入以下命令: $ sudo apt-get update $ sudo apt-get install strongswan 这将安装StrongSwan。 2.2 配置IPSec VPN 现在,我们需要配置StrongSwan以与华为防火墙建立IPSec VPN。 在终端中,打开/etc/ipsec.conf文件: $ sudo nano /etc/ipsec.conf 将以下内容添加到文件末尾: conn vpn1 keyexchange=ikev1 authby=secret ike=3des-sha1-modp1024 esp=aes256-sha1 left=2.3.4.5 # Ubuntu 20.04公网服务器的公共IP地址 leftsubnet=192.168.1.0/24 # Ubuntu 20.04公网服务器的本地子网 right=1.2.3.4 # 华为防火墙的公共IP地址 rightsubnet=192.168.2.0/24 # 华为防火墙的本地子网 auto=start 这将创建一个名为vpn1的IPSec连接,指定了IKE和IPSec参数,并将其绑定到Ubuntu 20.04公网服务器和华为防火墙的本地子网。 2.3 配置PSK 我们还需要为IPSec VPN配置预共享密钥(PSK)。 在终端中,打开/etc/ipsec.secrets文件: $ sudo nano /etc/ipsec.secrets 将以下内容添加到文件末尾: 2.3.4.5 1.2.3.4 : PSK "mysecretpassword" 这将为Ubuntu 20.04公网服务器和华为防火墙之间的IPSec连接配置PSK。 3. 测试IPSec VPN 现在,我们可以测试IPSec VPN是否正常工作。 在Ubuntu 20.04公网服务器上,输入以下命令以启动IPSec连接: $ sudo ipsec up vpn1 如果一切正常,您将看到以下输出: initiating Main Mode IKE_SA vpn1[1] to 1.2.3.4 generating ID_PROT request 0 [ SA V V V V V ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (184 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (184 bytes) parsed ID_PROT response 0 [ SA V V V V V ] received NAT-T (RFC 3947) vendor ID received XAuth vendor ID received DPD vendor ID received FRAGMENTATION vendor ID received unknown vendor ID: 1f:07:17:00:00:00:00:00:00:00:00:00:00:00:00:00 generating ID_PROT request 0 [ KE No NAT-D NAT-D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (244 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (244 bytes) parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] local host is behind NAT, sending keep alives generating ID_PROT request 0 [ ID HASH ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (100 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (68 bytes) parsed ID_PROT response 0 [ ID HASH ] IKE_SA vpn1[1] established between 2.3.4.5[2.3.4.5]...1.2.3.4[1.2.3.4] scheduling reauthentication in 10046s maximum IKE_SA lifetime 10586s generating QUICK_MODE request 2499452192 [ HASH SA No ID ID ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (188 bytes) received packet: from 1.2.3.4[500] to 2.3.4.5[500] (188 bytes) parsed INFORMATIONAL_V1 request 4026938035 [ HASH D ] received packet: from 1.2.3.4[500] to 2.3.4.5[500] (76 bytes) generating INFORMATIONAL_V1 response 4026938035 [ HASH D ] sending packet: from 2.3.4.5[500] to 1.2.3.4[500] (76 bytes) 这表示IPSec连接已成功建立。 现在,您可以从Ubuntu 20.04公网服务器上访问华为防火墙的本地子网,并从华为防火墙上访问Ubuntu 20.04公网服务器的本地子网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值