穿越流量,终结流量,防火墙发起流量多厂商讨论

已于 2023-12-28 11:03:19 修改
阅读量947 收藏 19
点赞数 18
分类专栏: 防火墙 文章标签: 网络 服务器 信息与通信 运维
于 2023-12-15 11:46:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74338624/article/details/135011917
版权
本文比较了思科、华为和华三在穿越、终结和防火墙发起流量时的安全策略和通信规则。穿越流量中,除思科高到低外,其他厂商均需安全策略;终结流量中,思科默认放行,华为和华三需配置接口接受协议;防火墙发起流量,华为与思科略有不同,华为接口默认不接受控制协议。
摘要由CSDN通过智能技术生成

引言

        穿越流量,及穿过防火墙的流量。

        终结流量,及发往防火墙的流量。

        防火墙发起的流量顾名思义即从防火墙发出的流量。

以上三则由于在web界面上的不同,以及华三华为独自存在的local安全区域存在细小的差别,在此做实验讨论如下

思科

穿越流量

    安全级别高到低

        思科高到低默认允许通过

   安全级别低到高                 

        理所应当,要一定的安全策略才能实现通信

终结流量

   高安全级别到防洪墙

在安全策略上关闭了trust区域发来的所有报文,由第一个ping包可以验证安全策略关闭,但是仍然可以ping通防洪墙,终结流量可以发送

    低安全级别到防火墙

        在关闭所有安全策略在outside进接口方向的时候发现,仍然可以ping通

防火墙发起流量

        由于在配置里面安全策略我都配置的是接口进方向,所以所在这里也不会匹配上任何安全策略

        但是都ping通了,所以说与安全策略策略也没有关系

华三

穿越流量

    安全级别高到低

        虽然是高到低

        没配置安全策略还是ping不通的

        在配置安全策略之后

        才能实现ping通

    安全级别低到高

        安全策略理所应当了噻,毕竟高到低都需要

终结流量

   高安全级别到防火墙

        在没有配置安全策略或则在接口上接受控制协议是ping不通的

        配置上安全策略后仍然通不了

        最后在接口上打开接受协议

        实现通信

   高安全级别到防火墙

        在没有配置安全策略或则在接口上接受控制协议是ping不通的

        配置上安全策略以后仍然通不了

        最后在接口上打开接受协议

        实现通信

防火墙发起的流量

       从防火墙发起的报文,我先什么都没有打开(既没有配置安全策略也没有配置接口上打开协议)

       但是ping通不了,即使local安全级别是100

       但是当我建立安全策略的时候

       都可以实现通信

       反之关闭安全策略

       在接口上打开接口处发出ping协议

       也都可以实现ping通

华为

穿越流量

        省略,和华三一致

终结流量

        啥也没有不行,配置了安全策略也不行,只有在接口上打开了才行,和华三一致

防洪墙发起流量

        啥也没有不行,配置了安全策略就行了,接口上的控制安全协议只默认进方向,所以开了也不行,所以说只有安全策略可以

总结

        思科与华为华三不同之处在于由于local区域

        在穿越流量上,除了思科高到低不需要安全策略以外,其他三者保持一致不管安全级别高到低还是低到高,都要安全策略来放行流量

        在终结流量上,思科默认放行所有,华为华三安全策略配置不能匹配,只能在接口上放行控制协议

        在防火墙发起流量上,思科默认放行所有,华为华三有一小不同为华为web界面接口上无法放行控制协议,只能接受,所以说俩则都能通过安全策略放行流量,除此之外华三可以在接口上放行控制协议

尾言

        本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

肥灯儿哥哥
关注
专栏目录
我的Android进阶之旅------>Android中编解码学习笔记
字节卷动
09-26 8867
编解码学习笔记(一):基本概念 媒体业务是网络的主要业务之间。尤其移动互联网业务的兴起,在运营商和应用开发商中,媒体业务份量极重,其中媒体的编解码服务涉及需求分析、应用开发、释放license收费等等。最近因为项目的关系,需要理清媒体的codec,比较搞的是,在豆丁网上看运营商的规范 标准,同一运营商同样的业务在不同文档中不同的要求,而且有些要求就我看来应当是历史的延续,也就是现在已经很少采
SDN实现虚拟化网络功能
悦分享
01-21 213
SDN与NFV是两种完全独立的创新技术,只不过SDN的很多目标都与NFV一致,因而两者能够相互促进并协同应用。对于供应商提供的传统网络设备来说,控制平面、数据平面和硬件平面都紧密集成在一起,如下图所示。无法独立扩展这些平面,因而该体系架构无法灵活部署新型服务,也难以灵活更改其功能。从图中可以看出,SDN和NFV在两个不同的维度发挥作用。SDN的重点是实现控制平面与转发平面的分离,并通过独立的控制平面来管理、控制和监控转发平面。
CVE-2021-41773-Apache HTTP Server 2.4.49路径穿越流量特征
12306小哥
10-10 670
0x1 简介 Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响: 版本等于2.4.49 穿越的目录允许被访问,比如配置了Require all granted。(默认情况下是不允许的) 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 0x2 漏洞详情 使用如
视频会议流量穿越 Cisco ASA
net527的专栏
08-30 2108
<br />视频会议流量 穿越ASA 问题 [EVE兄分享经验 - established命令]<br /> ==========================================================<br /> 问题描述:<br />配置说明<br /> 用户总部有视频会议server,中间连有ASA,ASA的outside接口连接7206,然后7206通过SDH连接到其他分部,ASA跑路由模式, 版本7.0(6),默认inspect H323和rtsp是打开的,in
Cisco IP Phone 流量研究(穿越防火墙处理方法)
weixin_33851604的博客
11-07 321
Cisco IP Phone 初始化过程抓包分析: 1.初始初期的一些二层流量 (PVSTP EAP CDP) 2.DHCP流量 3.TFTP流量: 4.SCCP (Skinny流量) 5.通话阶段的RTP: 穿越ASA防火墙处理(由低到高): ************************普通IP Phone...
华为二层交换机与防火墙配置实例
专研计算机网络,数据通信,网络安全,系统集成
12-22 1097
二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。二层交换机一般部署在接入层,不能作为用户的网关。
防火墙命令行放行
vx XIxi_AL
12-08 2958
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的 准备工作: 所有设备修改名称 配置IP地址 防火墙默认阻挡所有流量通过 配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port ...
基于5G SA网络IPv6单栈的研究与实践
最新发布
fzq0625的博客
08-02 67
防火墙在收到终端发出的首个数据包时,会执行将源地址和目的地址的IPv6、IPv4之间的转换,从资源池中动态选取IPv4地址端口号,将源IPv6地址变换为IPv4地址+端口号的对应关系,利用该端口号在NAT64中建立和维护TCP和UDP的会话映射关系,在使用完毕后释放IPv4端口号,为目的地址剥离Pref64前缀,转换成目的IPv4地址。在IPv6单栈网络中,终端在完成5GC认证授权后,从网络侧只获得IPv6地址,但终端上可能存在支持IPv6的应用系统,也可能存在只支持IPv4的应用系统。
SIP Handbook: Services, Technologies, and Security of Session Initiation Protocol
11-15
- **防火墙配置**:讨论合理的防火墙策略,以阻止未经授权的访问尝试。 - **DoS/DDoS防御**:提出有效的措施来抵御分布式拒绝服务攻击,确保系统的稳定运行。 总之,《SIP手册:服务、技术与会话启动协议的安全性》...
HCIA第五天的笔记整理
balanceone的博客
07-26 825
没有讲交换之前,默认一台交换机属于一个广播域 Vlan 虚拟局域网 路由器和交换机协同工作,之后将原来的一个广播域逻辑的切分为多个; 配置思路: 1、交换机上创建vlan 2、交换机上各个接口划分到对应的vlan中 3、TRUNK干道----中继干道 SW-SW SW-ROUTER 4、Vlan间路由-----单臂路由(子接口)、多层交换机 基本原理 传统的以太网交换机在转发数据时,采用源地址学习的方式,自动学习各个端口连接的主机的MAC地址,形成MAC地址表,然后依据此表进行以太网帧的转发。整个转
华为视讯呼叫控制和公私网穿越服务器SwitchCenter(SC)21.0 彩页_X86.pdf
09-23
华为视讯呼叫控制和公私网穿越服务器SwitchCenter(SC)21.0 彩页_X86.pdf
ACL
weixin_34344677的博客
11-11 107
ACL允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时,所有的数据包都会在网络上传输流量:1、穿越流量2、管理流量ACL控制这两种流量穿越流量穿越路由器的流量管理流量:Telnet管理路由器数据包:应用层(数据)传输层(源PORT,目的PORT)网络层(协议,源IP,目的IP)数据链路层(目的MAC,源MAC,类型)ACL只能控制应用层下的三层...
理论+实操华为防火墙
Lfwthotpt的博客
02-10 5521
华为防火墙 文章目录一:华为防火墙产品介绍二:防火墙的工作原理2.1 防火墙的工作模式2.2 华为防火墙安全区域划分2.3 防火墙Inbound和Outbound2.4 状态化信息2.5 安全策略三:设备管理方式3.1 AAA(Authentication Authorization Accounting)认证3.2 常见的管理方式四:实操4.1 首先先测试telnet4.2 ssh4.3 接下来...
防火墙简单介绍
lovelhg的博客
03-14 833
防火墙基础
详解USG5500防火墙基础配置
qq_45637985的博客
11-28 7471
1、本实验中的防火墙为USG5500系列防火墙;2、 防火墙三个接口的IP地址按照上图所示进行配置;将这三个接口划入相应的安全域;3、配置防火墙的域间包过滤策略,使得PC1能够主动访问PC2,但是PC2无法主动访问PC1;PC2能够主动访问WebServer的WEB服务。
华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-10 6049
一、SSL配置请参考本案例: https://support.huawei.com/hedex/hdx.do?lib=EDOC1100084128AZI0523X&docid=EDOC1100084128&lang=zh&v=06&tocLib=EDOC1100084128AZI0523X&tocV=06&id=ZH-CN_TASK_0198965574&tocURL=resources%2525252Fsecoclient%2525252Fsecoc
华为防火墙配置(防火墙基础)
热门推荐
1风天云月的博客
11-30 1万+
前言 防火墙属于网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵,这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙 一、防火墙概述 1、防火墙介绍 防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入 2、防火墙作用 网络中的防火墙有以下作用 防止因特网的危险传播到
华为防火墙URL放行
A soul tortured by desire
09-07 3481
1、URL分类里新建“自定义分类” 2、安全配置文件——URL过滤 新建 3、安全策略新建 4、结果,微信不能访问,微信开放平台可访问
华为防火墙产品介绍及工作原理
cheng198956的专栏
08-03 580
博文大纲 华为防火墙产品介绍 防火墙的工作原理1、防火墙的工作模式2、华为防火墙的安全区域划分3、防火墙的Inbound和Outbound是什么?4、状态化信息的含义5、安全策略的相关概念 华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值