1.什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
2.防火墙的工作原理:
二、防火墙的防御对象
授权用户
非授权用户
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
三、防火墙的区域
(1)Trust: 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
(2)Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
(3)DMZ(Demilitarized非军事区): 该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
四、防火墙类型
1、包过滤防火墙----访问控制列表技术---三层技术
简单、速度快
检查的颗粒度粗
2、代理防火墙----中间人技术---应用层
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
代理技术只能针对特定的应用来实现,应用间不能通用。
技术复杂,速度慢
能防御应用层威胁,内容威胁
3、状态防火墙---会话追踪技术---三层、四层
在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
首包机制
细颗粒度
速度快
练习:
添加端口
配置ip并允许所有
进入图形化界面配置ip及区域
设置策略,写一条策略untrust到trust允许通过
给PC配IP
测试
交换配置,将sever和PC改为同一网段并将网络类型改为交换
测试
接口对配置,网络模式选择接口对
新建一个接口对,将接口加入进去
测试
练习2
要求
1、内网可以通外网
2、内网可以通内网服务器
3.外网只能访问内网服务器的vlan10
步骤:
配置三个区域
trust
untrust
DMZ
测试连通性
在防火墙上写策略
内网通外网即允许trust访问untrust,内网可以通内网服务器即允许trust访问DMZ
测试
9596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
