防火墙的基本特征
- 逻辑区域过滤器
- 隐藏内网网络结构
- 自身安全保障
- 主动防御攻击
防火墙将每一个网络理解成一个逻辑区域,所以来链接该网络的结果口必须划分到一个安全区域,防火墙的接口必须划入安全区域,该接口无法工作,因为无法判断流量如何流动,
防火墙的接口可以配置service-manage命令实队icmp流量,http。https,telnet、ssh执行安全管理,默认情况下防火墙
进制接受处理以上所有流量
查看区域与接口的关系
dis zone
将接口添加进安全区域
firewall zone trust
add interface GigabitEthernet1/0/0
将1口所在的网络划分到了trust区域
ping不通,1.没有划分到区域,2.默认🈲ping
W1-GigabitEthernet1/0/0]service-manage ping permit /deny
[FW1-GigabitEthernet1/0/0]service-manage ?
all ALL service
enable Service manage switch on/off
http HTTP service
https HTTPS service
ping Ping service
snmp SNMP service
ssh SSH service
telnet Telnet service
提问:只开启了ping功能,没有划分安全区域可以实现ping通吗
回答:是不行的,最基础的就是划分到安全区域
防火墙的分类
硬件防火墙:包过滤防火墙,代理防火墙,状态检测防火墙
包过滤防火墙:基于数据流量的五元组{sip.,dip ,sport,dport,协议号}执行数据管控,都是手工配置,无法检查高层载荷(应用层啊什么的)
需要对包的去和回分别进行部署,导致部署大量的规则策略,不好管理,因为包过滤防火墙针对同一组业务流量无任何感知,认为i去包汇报都是独立个体
代理防火请:代理商需要针对客户的业务设计代理功能,面临开发周期强,部署时间长
状态检测防火墙:具备包过滤和代理特征,解决了包过滤防火墙的问题,可以队数据执行深度检查,内置了dpi动能,
解决了包过滤不关注报文前因后果的问题,他认为属于同一组业务报文必然存在联系
核心体现:一张状态化的表项(辊距数据流量生成,首包0),通过该表项,非首包只要命中该表项可以直接转发,不需要再执行安全规则检查,速度会快一些,
四大安全区域:
local:100,默认情况下,防火墙的所有的接口都在local区域,
trust:85.一般将内网的接口划入到该区域,信任区域
untrust:5一般将外网的接口划入到该区域,相当于不稳定不安全的网络划入该区域
dmz;50,一般将服务器所在的网络环境划入该区域
可以自己自定义一个安全区域,但是也必须手动配置优先级
firewall zone name aaa id 4
set priority 1
dis zone查看