3,防火墙分类
软件防火墙 、 硬件防火墙 (查询 软件、硬件防火墙都有哪些 (软件名称、厂商名称))
盒式防火墙、 框式防火墙
4,防火墙与交换机、路由器功能对比
以园区网为例,
交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。路由器作用是路由的分发、寻址和转发,构建外部连接网络。防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
5,应用场景
6,发展历程
本章节主要介绍防火墙的基本概念、应用场景和发展历史:防火墙是一种安全设备,有灵活的设备形态包括框式、盒式、桌面型和软件防火墙。防火墙可被用于但不仅限于企业边界防护、内网管控与安全隔离、数据中心边界防护和数据中心安全联动。防火墙技术不断的发展,从早期的包过滤防火墙发展到当前的AI防火墙。
7,安全区域
安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。
8,默认安全区域
9,安全策略
10,华为防火墙基本实验-WEB界面登录
配置网云:
使用的 943M 的防火墙 ,设置密码 ADMIN@123
通过 命令行 : 本地console 线 -连接console口
使用网线 -Telnet 、ssh 远程登录
通过WEB 界面: 使用网线 —用浏览器登录
华为防火墙默认登录:https:// 192.168.0.1:8443
用户名: admin
默认密码:Admin@123
修改: ADMIN@123
命令行进入到防火墙,修改管理接口G0/0/0 的IP 地址 和 物理机VM1 网卡同网段即可。
[USG6000V1]INT G0/0/0
[USG6000V1-GigabitEthernet0/0/0]DIS TH
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
return
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.20.200 24
[USG6000V1-GigabitEthernet0/0/0]
物理上测试连通性: ping 192.168.20.200
11,华为防火墙的实验配置—安全区域、安全策略、NAT策略
在图形化界面操作防火墙:
物理机—打开浏览器—输入网址https://192.168.20.200:8443
输入用户名admin 默认密码Admin@123 然后修改密码为 ADMIN@123
接下来 用 admin 和 ADMIN@123 登录 防火墙WEB界面
先在网络视图,配置防火墙接口地址,并将接口加入安全区域:
在防火墙接口视图下:
要想实现不同安全区域互相通信,需要配置安全策略,默认策略为 deny所有。
新建安全策略: 实现源安全区域trust到达目的安全区域untrust的通信配置
测试: trust 区域的主机 能够 访问 untrust区域的服务器
虽然通过配置安全策略 ,实现两个安全区域之间通信,但是内网区域是私有地址 ,想和外网通信,需要做NAT策略
配置NAT策略—easyip
点击确定之后,在防火墙的外网接口,抓取数据包 ,查看转换结果,发现数据包的源地址私有地址 转换成了出接口的公有地址