防火墙的概念
什么是防火墙
防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
防火墙 指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
状态防火墙的工作原理
状态防火墙使用的是会话追踪技术,作用于三层与四层(网络层和传输层)
通过跟踪网络连接的过程,以流量为单位,确定连接是否可靠。
在包过滤(ACL表)的基础上增加了一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
- 首包机制
- 细颗粒度
- 速度快
包来了先寻找会话表,未匹配到会话表,看策略是否通过,通过后创建一个会话表,该流量的后续包可查看会话表匹配通信。
防御之间的策略配置
区域内互通
配置untrust区
R1上的配置
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip add 200.1.1.1 24
防火墙接口配置
创建静态路由
server3的配置
配置trust区
交换机配置
[Huawei]vlan 2
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei]int Vlan 2
[Huawei-Vlanif2]ip add 10.1.255.1 24
PC端
[Huawei]vlan 3
[Huawei]int vlan 3
[Huawei-Vlanif3]ip add 10.1.3.1 24
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 3
防火墙接口配置
PC
写一条到达10.1.3.0/24的静态路由
PCping防火墙接口
配置DMZ区
接口聚合
区域选择DMZ
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]trunkport g0/0/1
[DMZ-Eth-Trunk1]trunkport g0/0/2
[DMZ-Eth-Trunk1]port link-type trunk
[DMZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
划分VLAN区域
[DMZ]vlan 10
[DMZ]int g0/0/4
[DMZ-GigabitEthernet0/0/4]port link-type access
[DMZ-GigabitEthernet0/0/4]port default vlan 10
[DMZ]vlan 11
[DMZ]int g0/0/3
[DMZ-GigabitEthernet0/0/3]port link-type access
[DMZ-GigabitEthernet0/0/3]port default vlan 11
配置VLAN接口
区域间互通
trust到untrust的策略配置
[ISP]ip route-static 0.0.0.0 0 100.1.1.1
[Huawei]ip route-static 0.0.0.0 0 10.1.255.2
trust到DMZ的策略配置
untrust到DMZ的策略配置
复现实验
三层配置
拓扑图
云的配置
防火墙的配置
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.100 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
客户端和服务端的配置
验证是否可以通信
二层配置
配置接口对
8552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
