网络安全-防火墙安全策略初认识

已于 2024-08-22 15:14:27 修改
阅读量778 收藏 5
点赞数 19
分类专栏: 网络安全 文章标签: 网络 安全
于 2024-08-21 22:14:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57370131/article/details/141403425
版权

文章目录

前言

who:本文主要写给入门防火墙的技术爱好者。

what:本文介绍安全策略的基本概念和关键术语、防火墙状态监测、实战、总结等。

when:文档创建时间-2024年8月21日

where:作者-Evelynne Alpha 版本-v1

why:期望读者从文档中获得理论知识,并体验实验。




理论介绍

1. 安全策略

1.1 定义:

防火墙安全策略是在防火墙中定义的一组规则,用于控制进出网络的数据包流动。这些策略基于各种条件来决定数据包是否被允许通过防火墙,从而达到保护网络免受未授权访问和潜在威胁的目的。

img



1.2 关键术语:

1.规则匹配条件:安全策略包含一系列匹配条件,例如源安全区域和目的安全区域、源和目标IP地址、端口号、协议类型、应用类型、用户身份和时间范围。数据包必须满足所有指定的条件才能与策略匹配。


2.策略动作:一旦数据包与某条安全策略匹配,防火墙将执行该策略定义的动作,通常是允许(permit)或拒绝(deny)。允许意味着数据包将被转发,而拒绝则意味着数据包会被丢弃。


3.安全配置文件:网络安全设备或软件中用于定义和实施特定安全策略的设置集合。这些配置文件可以帮助组织控制网络流量、保护数据、防止恶意软件传播以及遵守法规要求。

在这里插入图片描述





2. 防火墙状态监测

防火墙会话表(Session Table)是网络防火墙用来跟踪和控制通过网络接口的数据流的机制。每个通过防火墙的连接或会话都会被记录在会话表中,这有助于防火墙执行其安全策略。

防火墙的基础知识(会话表)-CSDN博客






实战

步骤1:实验环境搭建

实验环境:华为eNSP网络模拟器

  1. 添加设备,搭建拓扑

    • 添加一台防火墙、两台交换机、一台Client1、一台Server1。

    • Client1连接 Trust 区域,Server1连接 Untrust 区域。

      在这里插入图片描述

  2. 实验目的

    • 理解防火墙默认安全策略。

    • 理解防火墙安全策略的流量管控。

    • 理解防火墙监测状态会话表。

步骤2:配置实现

  1. PC配置

    • PC1配置IP地址:192.168.1.1/24
    • 设置默认网关为防火墙相应的接口地址。

  2. 交换机配置

    • 禁用生成树协议STP。
    stp disable

  3. 防火墙配置

    • 登录防火墙设备。默认用户名admin,默认密码Admin@123
    • 配置接口IP地址:
    system-view
sysname FW2
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
quit

interface GigabitEthernet 1/0/2
ip address 192.168.2.254 24
quit
    • 配置安全区域。
    firewall zone trust
add interface GigabitEthernet1/0/1
quit

firewall zone untrust
add interface GigabitEthernet1/0/2
quit
    • 配置安全策略
    interface GigabitEthernet1/0/1
service-manage all permit
quit

interface GigabitEthernet1/0/2
service-manage ping permit
quit

    security-policy
rule name t_2_unt
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
quit

    4.Server1配置

    • Server配置IP地址:192.168.2.1/24
    • 设置默认网关为防火墙相应的接口地址。
    • 开启http服务。

    5.网络测试

    • Client1客户端 访问Server1服务器的http服务。
    • 查看FW2防火墙的会话状态表。
    • 用Wireshark抓包。





总结

1. 默认安全策略

华为防火墙默认安全策略是拒绝所有流量。

display security-policy rule all

在这里插入图片描述

但是,可以修改。这个可以用于业务没上线之前,没做安全策略之前,测试网络互通。 通俗的说,这个时候防火墙相当于路由器的功能了。

security-policy
default action permit

在这里插入图片描述

2. 自定义安全策略

在FW2防火墙上做如下配置

security-policy
rule name t_2_unt
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
quit

在这里插入图片描述

3. 防火墙状态会话表

Server1服务器不能主动访问Client1客户端。在这里插入图片描述

client1客户端访问Server1服务器的http服务,然后立马回到FW2防火墙上查看状态会话表。

display firewall session table

在这里插入图片描述

抓包结果:
在这里插入图片描述

SYN, ACK, FIN: 这些是TCP控制位,表示不同的TCP连接状态:

  • SYN: 同步序列编号,用于建立连接。
  • ACK: 确认应答,表示接收到的数据包已被确认。
  • FIN: 结束连接,用于关闭连接。

Client1->Server1: 创建会话表

在这里插入图片描述

Server1->Client1: 命中会话表

在这里插入图片描述

注意:防火墙会话表中的条目会在一定时间内自动过期。目的是为了控制流量,有效地管理和保护网络通信。

在本文中做的安全策略配置可以使untrust安全区域主动访问trust安全区域不会建立会话表,但当trust安全区域主动访问untrust安全区域的时候,才会建立会话表。

Evelynne Alpha
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全绝地求生-面试之战
08-30
网络安全是信息技术领域中至关重要的一个方面,特别是在当前数字化社会中,数据安全和个人隐私保护成为公众关注的焦点。"网络安全绝地求生-面试之战"这个主题聚焦于网络安全专业人士在求职面试时可能面临的挑战,...
网络安全学习资料大全.rar
06-20
安全意识培训:提高用户对网络安全威胁的认识,教育他们如何防范网络欺诈和个人信息泄露。 安全审计和监控:定期审查安全措施的有效性,并通过实时监控发现并及时处理潜在威胁。 网络安全面临的挑战包括不断演变的...
网络安全-防火墙认识
weixin_57370131的博客
08-19 1286
防火墙是什么?防火墙的工作原理是什么?防火墙的分类有那些?实战
防火墙安全策略
ChenD的学习笔记
11-16 3229
防火墙安全策略、会话表、首包流程、UDP、安全策略配置、转发原理
防火墙配置不当,导致安全策略失效
图幻未来的博客
06-19 935
防火墙配置不当导致安全策略失效是网络安全领域中的一大难题。通过将AI技术与防火墙安全防护相结合,可以有效地提升网络安全防护能力。在未来的发展中,随着技术的不断进步和应用场景的日益丰富,相信AI技术将在网络安全领域发挥更大的作用,为人类社会的信息化进程保驾护航。AI赋能 创造无限可能基于网络安全攻防业务数据,采用生成式大模型技术,将传统人工对抗转变为机器与人对抗,提升网络安全智能分析和运营水平。
网络/Network - TCP/IP协议栈 - 网络安全 - 防火墙/Firewall - 学习/实践
"代码"的日常搬运
04-01 4857
主要用于学习防火墙的种类,应用场景,如何使用防火墙网络提供保护。
网络安全产品之认识WEB应用防火墙
学而思(xiejava的blog)
01-15 1145
随着B/S架构的广泛应用,Web应用的功能越来越丰富,蕴含着越来越有价值的信息,应用程序漏洞被恶意利用的可能性越来越大,因此成为了黑客主要的攻击目标。传统防火墙无法解析HTTP应用层的细节,对规则的过滤过于死板,无法为Web应用提供足够的防护。为了解决上述问题,WAF应运而生。它通过执行一系列针对HTTP、HTTPS的安全策略,专门对Web应用提供保护。
网络安全产品之认识防火墙
学而思(xiejava的blog)
01-12 1273
防火墙是一种网络安全产品,它设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络安全保护。
[网络工程师]-防火墙-入侵防护系统IPS
m0_58983558的博客
10-28 3051
讲述了防火墙入侵防护系统IPS的原理和分类,并分析了优点和不足。
计算机网络安全--期末
余的日常学习
05-09 1647
计算机网络安全--期末--附带了一点java代码的实现
网络安全-网络安全及其防护措施12
LS_Ai的博客
07-19 1268
软件定义网络(SDN)是一种网络架构,它通过将网络的控制平面(Control Plane)从数据转发平面(Data Plane)中分离出来,并集中在一个控制器中进行管理和配置。SDN通过集中化的控制和灵活的编程接口,提供对网络的动态管理和自动化能力。软件定义广域网(SD-WAN)是一种基于软件定义网络(SDN)技术的广域网解决方案,通过集中控制和智能路由功能,优化多地点分支机构之间的网络连接。SD-WAN通过虚拟化网络功能,简化了广域网的部署和管理,提高了网络性能和应用体验。
船舶网络安全风险及应对策略.pdf
09-19
为提升网络安全意识、认识船舶网络风险、加强网络安全技术的应用、加强网络安全教育培训等方面,提出船东、船员及船舶交通服务主管机关应对船舶网络安全风险的策略。 一、船舶网络安全风险分析 船舶网络系统由各大...
网络安全精品】BlackBerry Presentation Deck-FINAL.rar
04-23
它提醒读者要加强员工的安全意识培训,提高他们对网络安全认识和防范能力。只有将技术手段和人为因素相结合,才能最大程度地降低网络安全风险。总之,BlackBerry Presentation Deck_FINAL.rar是一份非常有价值的...
通信网络安全---教学大纲.docx
06-10
通过本课程,学生可以对网络安全理论和实现方法有较清楚的认识,给后续的专业学习打下良好的基础。 三、课程的基本要求 通信网络安全详细介绍了网络安全的基本概念、基本方法和基本应用,既注重基础理论,又面向实际...
【Linux网络】NAT技术
2301_79181030的博客
08-18 2369
当内部网络中的设备需要访问外部网络时,NAT设备会从公共IP地址池中分配一个公共IP地址给该设备,并建立映射关系。当内部网络中的设备需要访问外部网络时,NAT设备会将该设备的私有IP地址和端口号转换为一个公共IP地址和端口号,并将转换后的数据包发送至外部网络。外部网络返回的数据包经过NAT设备时,会被还原为原始的内部网络设备的私有IP地址和端口号,然后转发给内部网络设备。企业路由器通过NAT技术,将内部网络的私有IP地址转换为公共IP地址,以便员工能够远程访问企业内部资源。
《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 07数据中心的边缘
最新发布
梆子井欢喜坨的博客
08-21 338
本章将帮助你回答以下问题。
Modbus-TCP——Libmodbus安装和使用(Ubuntu22.04)
计算机硕士的博客
08-21 182
Modbus-TCP——Libmodbus安装和使用。
迈威通信Wi-Fi无线交换机:让工业网络打破线缆束缚
Maiwe的博客
08-16 664
为了满足日益增长的无线通信需求,迈威通信专门设计了一款MISCOM7209W-3N25系列二层网管型全千兆双频Wi-Fi卡轨式工业无线PoE交换机,旗下有4款产品,为智能制造和工业互联网的深度融合提供了坚实的网络基石。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值