1、什么是防火墙
防火墙是一种网络安全系统,它根据预先确定的安全规则监视和控制传入和传出的网络流量。其主要目的是阻止对计算机或网络的未经授权的访问,同时允许合法通信通过。
防火墙可以在硬件、软件或两者的组合中实现,并且可以配置为根据各种条件(如 IP 地址、端口号和协议类型)过滤流量。防火墙还可以提供其他安全功能,例如入侵检测和防御、虚拟专用网络 (VPN) 支持和内容过滤。
总体而言,防火墙充当计算机或网络与互联网之间的屏障,允许组织和个人控制哪些信息流入和流出其网络,并防止潜在的安全威胁。
2、状态防火墙工作原理?
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以
进行合法的通信。
安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的
数据流进行检验,符合安全策略的合法数据流才能通过防火墙。
DMZ
DMZ是英文“Demilitarized Zone”的缩写,意思是“隔离区”,也称“非军事化区”,作用是把WEB,
e-mail,ftp等允许外部访问的服务器单独接在该区端口。该区域特点是内外网都可以同时访问,但是DMZ区域的设备都不可以主动访问内外网,从而实现内外网隔离,有效保护内部网络不受外网攻击。
DMZ 区域在 Internet 和内部网络之间提供缓冲。DMZ 由安全网关(例如防火墙)隔离,该网关过滤 DMZ 和 LAN 之间的流量。默认 DMZ 主机由另一个安全网关保护,该网关过滤来自外部网络的流量。
实验内容
实验拓扑图
区域与地址划分如上
实验命令
Cloud1
添加本地回环卡和UDP,添加端口映射,一个1,一个2
PS:FW的G0/0/0要与回环卡的ip在同一网段
防火墙FW
默认账号:admin
默认密码:Admin@123
修改后密码:Admin@1234
访问图形界面的网址:193.168.1.1
[FW1]int g 0/0/0
[FW1-GigabitEthernet0/0/0]ip add 193.168.1.1 24
[FW1-GigabitEthernet0/0/0]service-manage all permit
WEB图形界面
在网络里对各个接口的路由和区域做划分
G1/0/0 untrust:
G1/0/1 trust:
G1/0/2 和 G1/0/3 DMZ:
接口汇聚:
G1/0/4 G1/0/5 接口对:
sw1
[sw1]vlan 2
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1]int vlan 2
[Huawei-Vlanif2]ip address 10.1.255.1 24
[sw1]int vlan 3
[sw1-Vlanif3]ip add 10.1.3.1 24
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 3
[sw1]ip route-static 0.0.0.0 0 10.1.255.2
sw2
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]port link-type trunk
[DMZ-GigabitEthernet0/0/4]port link-type access
[DMZ-GigabitEthernet0/0/4]port default vlan 10
[DMZ-GigabitEthernet0/0/3]port link-type access
[DMZ-GigabitEthernet0/0/3]port default vlan 11
路由器R1
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[R1-GigabitEthernet0/0/0]int g 0/0/1
[R1-GigabitEthernet0/0/1]ip ad 200.1.1.1 24
[R1]ip route-static 0.0.0.0 0 100.1.1.1
策略
地址组
地址
trust-to-untrust
trust-to-DMZ
untrust-to-DMZ
测试