一、防火墙的概念
1、防火墙作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在的入侵发生。防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。
防火墙一般分为以下两类:
分组过滤路由是一种具有分组过滤功能的路由器。它根据过滤规则对进出内部网络的分组执行转发或丢弃。分组过滤可以是无状态的,即独立的处理每一个分组,也可以是有状态的,即要跟踪每一个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。分组过滤路由器的优点:简单高效,且对于用户是透明的,但不能对高层数据进行过滤。
应用网关也称为代理服务器,它在应用层通信中扮演报文中继的角色。一种网络应用需要的一个应用网关。所有进出网络的应用程序报文都必须通过应用网关。应用网关的缺点:每一种应用都需要不同的应用网关。其次,在应用层转发和处理报文,处理负担较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。
二、防火墙功能和应用实例
1、路由模式(三层) 物理口可以直接配IP,类似路由器
2、交换模式(二层) 物理口不能直接配IP,类似交换机,可以配vlan trunk
1、防火墙的安全策略,没有允许这个PC出去
防火墙做两件事
第一件事:把接口加入安全域
防火墙有这几个安全域
信任区域:内网
非信任区域:外网
dmz区域:中间区域,服务器区,内网主机,外网用户均可以访问。
firewall zone trust //进入信任区域
add int g0/0/0 //添加信任区域的接口,g0/0/0是连内网的口
firewall zone untrust //进入非信任区域
add int g0/0/1 //添加非信任区域的接口
第二件事:做放行策略
从信任区域,访问非信任,允许主机上网
security-policy //进入安全策略
rule name shangwang
source-zone trust
destination-zone untrust
action permit
2、网络主机是私网IP,私网IP不能访问外网
用NAT网络地址转换,把私网IP,转换成公网IP
nat-policy //进入nat配置
rule name shangwang //新建一个nat,名字叫内网
source-zone trust
destination-zone untrust
action source-nat easy-ip //做地址转换,转成出口IP, easy-ip,做地址转换的时候,自动转换为设备的出接口
3、回程路由,数据包如何回来
ip route-static 192.168.1.1 24 6.6.6.6 24