防火墙针对一个方向规划的策略

最新推荐文章于 2023-03-14 19:30:37 发布
最新推荐文章于 2023-03-14 19:30:37 发布
阅读量617 收藏
点赞数
分类专栏: 网络学习笔记 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/120390535
版权

解释

之前学习的是从一个安全区域到另一个安全区域进方向或者出方向的的动作,比如,从trust到untrust域,允许(允许/拒绝就是这个动作)数据包进,或者允许数据包出。

本次学习,是对一个方向制定策略,例如,一个区域内有很多地址,只允许一个地址在这个方向里通信。(这是我自己的理解,错误之处,还请指正,多谢!)

根据实验学习
拓扑如如下
在这里插入图片描述
要求:
1、PC1可以访问 server1,但不能访问PC3
2、不添加trust到dmz的进方向包过滤,实现让dmz域访问10.0.0.1

前面的准备

首先配好每个接口的网关,根据拓扑图中的标注,把PC还要server1配置好

在这里插入图片描述
在这里插入图片描述

[SRG]interface GigabitEthernet 0/0/3
[SRG-GigabitEthernet0/0/3]ip address 10.0.0.254 24
[SRG]interface GigabitEthernet 0/0/1
[SRG-GigabitEthernet0/0/1]ip address 172.16.0.254 24

防火墙没有把接口分配到安全区域是,默认是不允许任何通信的,例如pingPC1的网关
在这里插入图片描述

然后把每个接口分配到安全区域里
[SRG]firewall zone trust
[SRG-zone-trust]d th
14:06:06  2021/09/20
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
[SRG-zone-trust]add interface GigabitEthernet 0/0/3
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface GigabitEthernet 0/0/1

把接口加入一个安全区域后,使用dis cu 查看默认的策略
在这里插入图片描述
可以看到,都是关于local的一些默认的数据包过滤,local到trust进出方向都是被允许的,也就是本实验中PC1和防火墙是可以互相访问,local和dmz区域的只能是local访问dmz,但是dmz不能访问local
如图:
PC1和防火墙的通信小测试
在这里插入图片描述
dmz域的与防火墙的通信
在这里插入图片描述

但是我们要的是trust和dmz之间的通信限制

以上默认中没有这两个域的策略,需要先允许他们之间的数据包过滤

firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outboun
d
1、PC1可以访问 server1,但不能访问PC3

添加完包过滤,在trust到dmz的访问都是可以的,就是说,PC1可以访问PC3和server1,如图:

在这里插入图片描述

但是我们的要求是不能访问PC3,所以要在trust到dmz的出方向上,拒绝IP地址为172.16.0.1的访问

[SRG]policy interzone trust dmz outbound
[SRG-policy-interzone-trust-dmz-outbound]policy 1
[SRG-policy-interzone-trust-dmz-outbound-1]action deny
[SRG-policy-interzone-trust-dmz-outbound-1]policy destination 172.16.0.1 0

如图,这样就达到了我们想要的效果
在这里插入图片描述

2、不添加trust到dmz的进方向包过滤,实现让dmz域访问10.0.0.1

数据包过滤如下,可以看到,没有trust到dmz的进方向包过滤的配置
在这里插入图片描述
实现配置如下

[SRG]policy interzone trust dmz inbound 
[SRG-policy-interzone-trust-dmz-inbound]policy 1
[SRG-policy-interzone-trust-dmz-inbound-1]policy destination 10.0.0.1 0
[SRG-policy-interzone-trust-dmz-inbound-1]action permit

在这里插入图片描述
本次学习结束

月亮归我了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙单向访问控制_防火墙TCP的单向控制
weixin_33302195的博客
12-23 2070
网络拓扑: 如上图所示,防火墙分为external/internal/dmz三个安全zone,其中10.133.1.100/32为dmz区的一台squid缓存服务器,10.158.1.10/32,10.158.1.20/32为两台internal内部的web服务器,在防火墙的external口上将10.133.1.100/32的80端口映射给10.10.1.50/32,则外部的客户端就可以通过10...
部署ISA防火墙策略的十六条守则
RENYUAN
01-24 724
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。 2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。 3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。 4、当需要使用拒绝时,显式拒绝是首要考虑的方式。 5、在不影
规则影响分析:防火墙策略规划的好帮手
weixin_33836874的博客
04-23 138
网络安全设备的强度取决于它的规则和策略防火墙可以对入站和出站信息都设立规则。入站规则旨在阻止恶意***,而出站规则则保护数据不会被发送到未经授权的远程位置。由于***不断地破坏网络规则,因而,确保你的防火墙足够“牢固”变得至关重要。许多企业面临的问题是,规则优化不是一次性的任务,而是需要不断的分析审查,此外,大多数企业网络都有成千上万条规则,这也使得手动执行分析任务变得异常困难。也就是说,安全管...
【CyberSecurityLearning 21】防火墙
_Co1a
02-23 3051
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙
防御区域之间简单策略实验
xiaooxiangg的博客
03-14 545
第一步先打开所有设备连接上设备后,给防火墙上做配置更改密码和G0/0/0接口ip地址的更改和自己换回IP一个网段,以便在浏览器上打开防火墙先配置untrust区先给R1配置再server2上配置在接口列表里面给GE1/0/0接口配置IP,启动访问管理选ping在防火墙GE1/0/0接口上写一条静态路由配置trust区先给交换机LSW1接口配置划分VLAN2和VLAN3vlan2 g0/0/1接口vlan3 g0/0/2接口PC1上防火墙上。
飞塔防火墙策略.pptx
11-13
4. 认证次数:认证的次数可以根据需要进行设置,默认情况下,例如 v3.0MR5+ ,认证是基于策略的:当一个用户已经在策略 1 中认证过,当他使用策略 2 时,需要重新认证。有一条命令可以改变以上情况,变为全局认证 –...
下一代防火墙设计方案V2.doc
12-25
传统的防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安 全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状 态来工作的。通过检查数据包头,...
基于Linux 的防火墙技术研究
11-24
代理服务功能,透明代理用一种完全透明的方式,将一个经过本防火墙的连接重定向到本地代理服务 器.客户端(用户和软件)完全不知道他们的连接被一个代理进程处理,他们认为自已在直接和指定的 服务器对话。 1.3 包伪装...
{安全生产管理}网络安全07防火墙.pdf
06-07
是一个安全策略的检查站 防火墙的不足 使用不便,有些人认为防火墙给人虚假的安全 感 对用户不完全透明,可能带来传输延迟瓶颈及 单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接,如...
电信通信网络安全策略.doc
最新发布
06-09
我国电信技术部门需要加强对网管网网络进行层次划分,并且对IP路由以及IP地址进行 规划,可以通过核心交换机实现信息的交互以及数据的交互,这样一来能够改变一个终 端连接一个网络系统的局限性。比方在原先网络...
SecPath防火墙通过ASPF实现单向访问的典型组网
09-05
SecPath防火墙通过ASPF实现单向访问的典型组网
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 9746
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1419
H3C的防火墙必须把接口加到域里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 域。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙的域(zone) 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
防火墙基础知识
热门推荐
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络,防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
防火墙按照访问控制方式分类
YT的博客
01-09 7649
包过滤防火墙 特点:包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 优点:设计简单,易于实现,价格便宜。 缺点: 随着ACL复杂度和长度的增加,其过滤性能呈指数下...
python android api_服务器python 安卓接口
weixin_39957461的博客
12-01 858
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":6,"count":6}]},"card":[{"des":"云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。",...
云计算为什么用python_阿里云python 云计算到底是什么
weixin_39760389的博客
11-30 424
阿里云python 云计算到底是什么云服务器(Elastic Compute Service,简称ECS)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务。云服务器ECS免去了您采购IT硬件的前期准备,让您像使用水、电、天然气等公共资源一样便捷、高效地使用服务器,实现计算资源的即开即用和弹性伸缩。阿里云ECS持续提供创新型...
防火墙安全策略
qq_44850340的博客
02-04 5096
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
无线网络如何规划防火墙策略
04-27
针对无线网络的防火墙策略,可以从以下几个方面进行规划: 1. 控制无线接入点的访问权限:可以通过在防火墙中配置规则,控制无线接入点的访问权限,只允许授权的无线接入点接入网络。 2. 控制无线客户端的访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值