防火墙关于安全域和数据包过滤策略

最新推荐文章于 2024-04-09 14:13:46 发布
最新推荐文章于 2024-04-09 14:13:46 发布
阅读量3.1k 收藏 10
点赞数 4
分类专栏: 网络学习笔记 文章标签: linux 运维 windows 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/120372738
版权

根据视频学习,视频链接:https://www.ixigua.com/6809663667013943822?id=6804365091614491149&logTag=50ea4eaeb3dcaddf7c6e

网络拓扑

在这里插入图片描述

防火墙在这个拓扑中,还有路由的作用,所有首先配置上地址

命令如下:

system-view
int g0/0/1
ip address 172.16.2.1 24
int g0/0/2
ip address 10.1.3.1 24
int g0/0/3
ip address 192.168.1.1 24

使用命令dis ip int brief,可以查看每个接口的配置的情况,g0/0/0是默认的接口,地址也是默认的,所有连接没有使用它
在这里插入图片描述

然后将接口加入安全域firewall zone trust

在没有加入安全域的时候接口是不允许任何数据包通过的

add int g0/0/3
qu
firewall zone dmz 
add int g0/0/1
qu
firewall zone untrust
add int g0/0/2
qu

使用display current-configuration 命令查看一下默认的数据包过滤的规则
在这里插入图片描述

默认的总共有四条策略
local :是本地的安全域域,就是防火墙自己,优先级是100,
trust :本身就有安全域域,且不能删除优先级是默认85,
untrust :本身就有的安全域,不可删除,优先级是默认5
dmz :本身就有的安全域,不可删除,优先级默认是50
packet-filter :数据包过滤的意思
default permit :默认运行,default deny 默认拒绝
interzone :指定要操作的域
direction :方向,inbound是进方向,outbound是出方向

命令中的域,从优先级高的地方到优先级底的地方就是出,反之从优先级底的地方到优先级高的地方是进,

则第一条策略
允许trust域访问local域,
如果使用ping命令测试,只有这一条策略的情况下,允许只能是trust域ping通local域,反之则不能
第二条策略
允许local域访问trust域
和第一条的相反,允许只能是local域ping通trust域,反之则不能,和第一条策略一起,这两个域就可以正常的互相通信
其他两条可以依据这个推出来

本次实验的目标

1、PC1可以访问server1,但是server1不能访问PC1
添加策略

firewall packet-filter default permit interzone trust dmz direction outbound

在这里插入图片描述

使用ping命令测试一下,PC1 ping server1可以通
使用在这里插入图片描述
server1 ping PC1不通
在这里插入图片描述

2、PC1可以访问PC2,反之不可以
添加策略

firewall packet-filter default permit interzone trust untrust direction outbound

测试:
PC1 ping PC2
在这里插入图片描述
PC2 ping PC1
在这里插入图片描述

3、PC2和server1可以互相访问,
添加策略

firewall packet-filter default permit interzone dmz untrust direction inbou
nd 
firewall packet-filter default permit interzone dmz untrust direction outbo
und

测试
在这里插入图片描述

在这里插入图片描述

初次学习防火墙就到这里,想请大佬指教

月亮归我了
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
过滤防火墙的设计与实现
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
华为防火墙学习笔记 二
weixin_34144848的博客
02-05 189
FW防火墙:华为内部区域的配置:防火墙的基本配置:所有的接口都属于local默认区域过滤规则:配置trust区域访问dmz区域firewall packet-filter default permit interzone dmz trust【dmz与trust是不分前后的】 direction outbound// 防火墙过滤默认允许地区间的dmz信任方向 出站注:当t...
2、什么是安全区域_什么是安全区域 (1),网络安全开发热门前沿知识
2401_84159688的博客
04-09 1281
防火墙默认提供的安全区域包括受信区域(Trust Zone,也称为内部区域)、非军事化区域(DMZ区域)和非受信区域(Untrust Zone,也称为外部区域)。这些区域分别用于定义内部用户所在的网络、内部服务器所在的网络以及不受信任的网络(如Internet)。此外,还可以根据具体需求自定义安全区域。例如,可以创建一个自定义区域(Custom Zone),只允许特定部门的员工访问。这种区域划分和管理方式有助于增强网络的安全性。
华为防火墙
不定期分享一些自己的学习笔记
10-16 2111
华为防火墙基本配置,trust、UNtrust、DMZ区域的互相限制访问
防火墙安全策略
qq_44850340的博客
02-04 5065
过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
华为 ACL访问控制列表 (高级ACL为例)
热门推荐
艺博东的博客
09-12 1万+
文章目录一、认识ACL二、拓扑三、基础配置四、需求 一、认识ACL 1、什么是ACL: Access Control List访问控制列表–ACL ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用课达到不同的应用效果。 路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。 2、ACL的作用: 匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行) 实现网络访问控制,Qos留策略,路由信息
端口映射初体验
weixin_43472459的博客
09-09 580
端口映射简单实验1.实验需求描述2.实现方法解析3.完成需求进行测试 1.实验需求描述 实现PC1访问server1的共享文件夹 (正常情况没有路由是不能从外往内访问的,从内往外是可以访问的) 实现方法:端口映射也叫虚拟服务器、nat端口映射 拓扑图如下: 2.实现方法解析 1.首先保证Server1已经创建好共享文件,保证同一网段内其余主机能正常访问 2.对R2设备做端口映射,这里以常用的TP-link家用路由器来模拟 这里具体说一下445这个端口 445端口也是一种TCP端口,该端口在windows
网络安全-防火墙.pptx
06-09
13 包过滤防火墙 缺点: 包过滤防火墙的维护比较困难 定义数据包过滤器比较复杂,网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解 只能阻止一种类型的IP欺骗 即外部主机伪装内部...
防火墙与网络安全.pptx
06-10
防火墙功能示意 两个不同网络安全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。 安全网域一 安全网域二 防火墙与网络安全全文共23页,当前为第6页。 1 控制在计算机网络中,不同信任程度...
网络安全策略-范本模板.doc
06-09
网络服务访问权限策略将决定对那些协议及协 议的域进行 过滤, 防火墙阻塞一些容易受到攻击的 服务。在设计防火墙时还应该考虑SLIP 及PPP 访 问方式, 使外部用户通过防火墙高级认证进行过滤。 2 加密技术策略 ...
{安全生产管理}网络安全07防火墙.pdf
06-07
风险评估 入侵检测 审计分析 安全的通信协议 VPN 防火墙 存储备份 防火墙基本概念 什么是防火墙 防火墙是位于两个(或多个)网络间,实施 网间访问控制的组件集合,通过建立一整 套规则和策略来监测、限制、更改跨越防...
基于应用层的Windows个人防火墙的设计与实现
05-29
网络个人防火墙是指隔离在个人计算机和外 界网络之间的一道防御...存在不能过滤所有数据包过滤不完全的缺陷, 如对ICMP数据包的无条件放行;存在和 802.102]身份认证系统冲突的情况;缺乏针对域 名的网址过滤功能。
linux对防火墙的简单过滤
qq_16069927的博客
12-06 404
(一) 禁止情况 情况1️⃣禁止本节点的666端口(其他节点不能访问,本节点也不能访问) iptables -A INPUT -p tcp -i eth0 --dport 666 -j DROP 情况2️⃣禁止1.2.3.4节点访问本节点的555端口(其他节点可以访问,本节点也可以访问) iptables -A INPUT -p tcp -i eth0 -s 1.2.3.4 --dp...
华为--VLAN之间Hybrid端口配置
NoobMaster的博客
03-20 7393
vlan之间Hybrid端口配置 要求:1.PC1和PC2不能互相访问,但是都能访问PC3 SW1配置: vlan batch 10 20 100     //同时创建三个VLAN interface Ethernet0/0/1 port hybrid pvid vlan 10    //将此端口号的VLANID设置为10 port hybrid...
VLAN详解及实验
Y_S_J_112的博客
07-16 930
vlan的作用是隔绝广播域(隔绝广播风暴)vlan分为静态与动态静态vlan接口模式有access(交换机与主机或路由器之间)trunk(交换机和交换机相连)hybrid(默认模式)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
基于eNSP的NAT配置实验
qq_57268869的博客
11-05 6776
实验四 NAT配置实验 现要求如下: (1)实现PC1所在网段能够访问外网,PC2所在网段不能访问外网;配置源NAT时使用easy-ip技术 (2)将内网WWW服务器进行映射;对应映射地址为202.112.1.5 (3)WWW服务器所在的网段仅允许PC2所在的网段访问,禁止PC1等业务网段访问,ping测试;
高级ACL配置
weixin_50339233的博客
05-21 5513
搭建top PC1配置IP PC2配置IP Server1配置IP Server2配置IP R1的配置 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 10.1.1.254 24 初始情况下PC1和PC2都能够访问server1和server2 一.
window防火墙端口映射_华为防火墙如何做端口端口映射
weixin_39575775的博客
12-21 1345
这是我们防火墙的详细配置:********************************************************** All rights reserved (1997-2004) ** Without the owner's prior written consent, **no decompiling ...
思科实验4.2.2.12-Packet Tracer - 配置扩展 ACL - 场景 3
Max的博客
04-09 6908
Packet Tracer - 配置扩展 ACL - 场景 3 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 RT1 G0/0 172.31.1.126 255.255.255.224 不适用 S0/0/0 209.165.1.2 255.255.255.252 不适用 PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126 PC2...
防火墙数据包过滤规则
最新发布
05-10
防火墙数据包过滤规则用于控制网络流量,以保护网络安全。其基本原则是对进出网络的数据包进行检查,并根据一定的规则进行过滤和处理。 防火墙数据包过滤规则主要包括以下几个方面: 1. 源IP地址和目的IP地址:设置可以通过防火墙的网络端口进行通信的源IP地址和目的IP地址。 2. 协议:设置可以通过防火墙的网络端口进行通信的协议类型,如TCP、UDP、ICMP等。 3. 端口:设置可以通过防火墙的网络端口进行通信的端口号。 4. 动作:设置对于符合过滤规则的数据包防火墙需要采取的动作,如允许、禁止或丢弃等。 5. 时间:设置可以进行通信的时间段,可以限制某些特定时间段内的网络通信。 6. 用户:设置可以通过防火墙进行通信的用户账号或IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值