防火墙关于安全域和数据包过滤策略

最新推荐文章于 2024-05-08 11:18:42 发布
最新推荐文章于 2024-05-08 11:18:42 发布
阅读量3.1k 收藏 10
点赞数 4
分类专栏: 网络学习笔记 文章标签: linux 运维 windows 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/120372738
版权

根据视频学习,视频链接:https://www.ixigua.com/6809663667013943822?id=6804365091614491149&logTag=50ea4eaeb3dcaddf7c6e

网络拓扑

在这里插入图片描述

防火墙在这个拓扑中,还有路由的作用,所有首先配置上地址

命令如下:

system-view
int g0/0/1
ip address 172.16.2.1 24
int g0/0/2
ip address 10.1.3.1 24
int g0/0/3
ip address 192.168.1.1 24

使用命令dis ip int brief,可以查看每个接口的配置的情况,g0/0/0是默认的接口,地址也是默认的,所有连接没有使用它
在这里插入图片描述

然后将接口加入安全域firewall zone trust

在没有加入安全域的时候接口是不允许任何数据包通过的

add int g0/0/3
qu
firewall zone dmz 
add int g0/0/1
qu
firewall zone untrust
add int g0/0/2
qu

使用display current-configuration 命令查看一下默认的数据包过滤的规则
在这里插入图片描述

默认的总共有四条策略
local :是本地的安全域域,就是防火墙自己,优先级是100,
trust :本身就有安全域域,且不能删除优先级是默认85,
untrust :本身就有的安全域,不可删除,优先级是默认5
dmz :本身就有的安全域,不可删除,优先级默认是50
packet-filter :数据包过滤的意思
default permit :默认运行,default deny 默认拒绝
interzone :指定要操作的域
direction :方向,inbound是进方向,outbound是出方向

命令中的域,从优先级高的地方到优先级底的地方就是出,反之从优先级底的地方到优先级高的地方是进,

则第一条策略
允许trust域访问local域,
如果使用ping命令测试,只有这一条策略的情况下,允许只能是trust域ping通local域,反之则不能
第二条策略
允许local域访问trust域
和第一条的相反,允许只能是local域ping通trust域,反之则不能,和第一条策略一起,这两个域就可以正常的互相通信
其他两条可以依据这个推出来

本次实验的目标

1、PC1可以访问server1,但是server1不能访问PC1
添加策略

firewall packet-filter default permit interzone trust dmz direction outbound

在这里插入图片描述

使用ping命令测试一下,PC1 ping server1可以通
使用在这里插入图片描述
server1 ping PC1不通
在这里插入图片描述

2、PC1可以访问PC2,反之不可以
添加策略

firewall packet-filter default permit interzone trust untrust direction outbound

测试:
PC1 ping PC2
在这里插入图片描述
PC2 ping PC1
在这里插入图片描述

3、PC2和server1可以互相访问,
添加策略

firewall packet-filter default permit interzone dmz untrust direction inbou
nd 
firewall packet-filter default permit interzone dmz untrust direction outbo
und

测试
在这里插入图片描述

在这里插入图片描述

初次学习防火墙就到这里,想请大佬指教

月亮归我了
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙安全策略之包过滤技术及转发原理3.1
kanxingxingdemao的博客
02-01 755
比如建立tcp三次握手,只有第一个syn 包是首包,能建立会话表,策略是10.0.0.1到20.0.0.1通过,为什么tcp 的回包 syn ack 是从20到10也能通过? 答案:是因为第一个包创建了会话表,20到10时直接查会话表通过。 需要关闭状态检测的情况,防火墙旁挂,来回路径不一致。出去流量不经过fw,回来经过, ...
华为防火墙学习笔记 二
weixin_34144848的博客
02-05 190
FW防火墙:华为内部区的配置:防火墙的基本配置:所有的接口都属于local默认区过滤规则:配置trust访问dmz区firewall packet-filter default permit interzone dmz trust【dmz与trust是不分前后的】 direction outbound// 防火墙过滤默认允许地区间的dmz信任方向 出站注:当t...
防火墙技术基础篇:什么是包过滤技术
qq_39241682的博客
05-08 1336
当数据在网络中传输时,它们被分割成小的单元,称为数据包防火墙的包过滤是一种基本的网络安全技术,用于检查这些数据包并根据预定义的规则决定是否允许它们通过防火墙防火墙过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络数据包。通过检查每个数据包的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),包过滤防火墙能够决定哪些数据包被允许通过,哪些被阻止或丢弃。
过滤防火墙的设计与实现
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
华为防火墙
不定期分享一些自己的学习笔记
10-16 2130
华为防火墙基本配置,trustUNtrust、DMZ区的互相限制访问
防火墙安全策略
qq_44850340的博客
02-04 5096
过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
华为 ACL访问控制列表 (高级ACL为例)
热门推荐
艺博东的博客
09-12 1万+
文章目录一、认识ACL二、拓扑三、基础配置四、需求 一、认识ACL 1、什么是ACL: Access Control List访问控制列表–ACL ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用课达到不同的应用效果。 路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。 2、ACL的作用: 匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行) 实现网络访问控制,Qos留策略,路由信息
网络安全-防火墙.pptx
06-09
13 包过滤防火墙 缺点: 包过滤防火墙的维护比较困难 定义数据包过滤器比较复杂,网络管理员需要对各种Internet服务、包头格式、以及每个的意义有非常深入的理解 只能阻止一种类型的IP欺骗 即外部主机伪装内部...
防火墙网络安全.pptx
06-10
防火墙功能示意 两个不同网络安全间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。 安全安全防火墙网络安全全文共23页,当前为第6页。 1 控制在计算机网络中,不同信任程度...
网络安全策略-范本模板.doc
06-09
网络服务访问权限策略将决定对那些协议及协 议的进行 过滤, 防火墙阻塞一些容易受到攻击的 服务。在设计防火墙时还应该考虑SLIP 及PPP 访 问方式, 使外部用户通过防火墙高级认证进行过滤。 2 加密技术策略 ...
{安全生产管理}网络安全07防火墙.pdf
06-07
风险评估 入侵检测 审计分析 安全的通信协议 VPN 防火墙 存储备份 防火墙基本概念 什么是防火墙 防火墙是位于两个(或多个)网络间,实施 网间访问控制的组件集合,通过建立一整 套规则和策略来监测、限制、更改跨越防...
基于应用层的Windows个人防火墙的设计与实现
05-29
网络个人防火墙是指隔离在个人计算机和外 界网络之间的一道防御...存在不能过滤所有数据包过滤不完全的缺陷, 如对ICMP数据包的无条件放行;存在和 802.102]身份认证系统冲突的情况;缺乏针对 名的网址过滤功能。
端口映射初体验
weixin_43472459的博客
09-09 589
端口映射简单实验1.实验需求描述2.实现方法解析3.完成需求进行测试 1.实验需求描述 实现PC1访问server1的共享文件夹 (正常情况没有路由是不能从外往内访问的,从内往外是可以访问的) 实现方法:端口映射也叫虚拟服务器、nat端口映射 拓扑图如下: 2.实现方法解析 1.首先保证Server1已经创建好共享文件,保证同一网段内其余主机能正常访问 2.对R2设备做端口映射,这里以常用的TP-link家用路由器来模拟 这里具体说一下445这个端口 445端口也是一种TCP端口,该端口在windows
VLAN详解及实验
Y_S_J_112的博客
07-16 932
vlan的作用是隔绝广播(隔绝广播风暴)vlan分为静态与动态静态vlan接口模式有access(交换机与主机或路由器之间)trunk(交换机和交换机相连)hybrid(默认模式)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
思科实验4.2.2.12-Packet Tracer - 配置扩展 ACL - 场景 3
Max的博客
04-09 6923
Packet Tracer - 配置扩展 ACL - 场景 3 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 RT1 G0/0 172.31.1.126 255.255.255.224 不适用 S0/0/0 209.165.1.2 255.255.255.252 不适用 PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126 PC2...
window防火墙端口映射_华为防火墙如何做端口端口映射
weixin_39575775的博客
12-21 1345
这是我们防火墙的详细配置:********************************************************** All rights reserved (1997-2004) ** Without the owner's prior written consent, **no decompiling ...
高级ACL配置
weixin_50339233的博客
05-21 5530
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
ensp配置USG5500防火墙
网工猴的博客
04-14 7862
ensp配置USG5500防火墙 FW1:首先实现内网PC1可以访问到路由器。需要的配置有配置接口地址,安全策略放行,NAT转换,默认路由指到下一跳 [FW1]dis cur 13:20:19 2022/04/04 interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 192.168.1.254 255.255.255.0 service-manage enable service-manage http permit service-man
详解USG5500防火墙基础配置
qq_45637985的博客
11-28 7095
1、本实验中的防火墙为USG5500系列防火墙;2、 防火墙三个接口的IP地址按照上图所示进行配置;将这三个接口划入相应的安全;3、配置防火墙间包过滤策略,使得PC1能够主动访问PC2,但是PC2无法主动访问PC1;PC2能够主动访问WebServer的WEB服务。
防火墙数据包过滤规则
最新发布
05-10
防火墙数据包过滤规则用于控制网络流量,以保护网络安全。其基本原则是对进出网络数据包进行检查,并根据一定的规则进行过滤和处理。 防火墙数据包过滤规则主要包括以下几个方面: 1. 源IP地址和目的IP地址:设置可以通过防火墙网络端口进行通信的源IP地址和目的IP地址。 2. 协议:设置可以通过防火墙网络端口进行通信的协议类型,如TCP、UDP、ICMP等。 3. 端口:设置可以通过防火墙网络端口进行通信的端口号。 4. 动作:设置对于符合过滤规则的数据包防火墙需要采取的动作,如允许、禁止或丢弃等。 5. 时间:设置可以进行通信的时间段,可以限制某些特定时间段内的网络通信。 6. 用户:设置可以通过防火墙进行通信的用户账号或IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值