防火墙
二三层、华为。
ps:以前学习公司大佬的文章,可惜是内网,没法转载,只能靠我记忆和查资料还原一下了,顺便复习。
基础知识
会话表
防火墙通过匹配安全策略,建立会话表,流量通过session会话表转发,没有相应的会话表,流量会被丢弃。
五元组
会话表由源ip、目的ip、协议、源端口号、目的端口构成。
我ping了接口ip,可以看协议是icmp,源ip、端口号是10.1.1.2:54187,目的ip、端口号是10.1.1.1:2048
policy、acl
匹配工具,匹配五元组,构建会话表,可以配置域内策略、域间策略。
zone
FW有四个默认域,从高到低,local、trust、dmz、untrust,等级由高到低,100、85、50、5。此外还可以自定义安全域。值得重视的是local域,可以理解为防火墙本身,报文需要从防火墙出去,就得开放local和其他域的策略。
interzone
默认情况下,安全域间是互相不通的,需要配置policy、acl匹配流量,建立会话表,才能通信。
模式
防火墙有三种工作模式,分别是路由、透明、混合。
路由模式下,FW接口做网关,上述提到接口属于local域,对端一般是trust域,配置了local和trust策略,才能通信。
透明模式下,接口不设ip、不做三层转发,有点像交换机了,只有安全策略,对报文过滤,也不会修改五元组,在路由模式下是可以修改五元组的,参考防火墙和NAT。
混合模式下,一部分接口做接口ip,一部分不