目录
一.什么是防火墙?
防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
目前使用的防火墙就是一种防护设备,路由器和交换机在整个网络系统中主要是一个连通作用,属于连通性设备,防火墙属于防护性设备。
防火墙主要用来隔离授权用户和非授权用户,并过滤掉对受保护网络有害的流量或者数据包。
防火墙会根据安全等级划分不同的区域,在华为设备中安全区域分为turst区,untrust区,dmz区(安全区域也可自己在设备上创建)。
目前使用的防火墙叫“下一代防火墙”是“状态防火墙”和“UTM---深度包检测技术”,“IPS---入侵检测”等技术的结合体,检查的范围已经触及到网络层,传输层和应用层,检查的颗粒度已经大大降低,防护效果更好,实现了“1+1>2的效果”。
二.状态防火墙的工作原理?
状态防火墙----会话追踪技术,主要检查的是三层和四层的数据流量。
在ACL的基础上增加"session表",数据包需要查看会话表来匹配(仅首包需要查看策略表)。
会话表:会话表使用hash算法来处理定长值,使用类似于交换机的处理芯片“CAM”处理,处理速度与交换机的处理速度相差不大。
优点:
- 首包机制
- 细颗粒度
- 速度快
状态防火墙的工作过程:
当一台主机去访问服务器的时候,第一个数据包文来到防火墙后,防火墙会先检查session表(由于是第一个报文还没有建立会话表),所以直接去匹配策略表,当命中某条策略后,会直接建立会话表。当后面所有数据报文来到防火墙之后,都不再查看策略表,而是匹配会话表直接转发。----------会话表中匹配本次会话的所有数据报文,并非只匹配一个报文。
整个过程又叫 首包机制,期间共有两张表----策略表,会话表
三.防火墙实验
实验1:接口模式
拓扑图
1.路由
2.交换----将两台设备IP修改在同一网段
3.接口对------转发速度较交换机快,因为不需要查MAC地址表
实验2:安全策略
实验拓扑如上:
实验步骤:
- 通过Cloud设备将USG6000V防火墙与真实物理机相连通
- 通过浏览器登录防火墙
- 在防火墙上创建安全区域,将对应接口划入安全区域(根据要求选择接口的工作状态---路由,交换,旁路,接口对)
- 配置安全策略和路由
- 测试
防火墙配置:
1.通过浏览器登录USG6000V
2.创建安全区域
3.接口划入安全区域
由于右侧所连接的交换机需要做接口聚合
4.配置安全策略
5.配置路由
查看路由表
6.测试
381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
