防火墙基础

已于 2023-07-14 07:58:16 修改
阅读量190 收藏
点赞数 1
文章标签: 网络 服务器 linux
于 2023-06-19 17:15:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xianranruyi/article/details/131291754
版权

防火墙的基本特征

  • 逻辑区域过滤器
  • 隐藏内网网络结构
  • 自身安全保障
  • 主动防御攻击

防火墙将每一个网络理解成一个逻辑区域,所以来链接该网络的结果口必须划分到一个安全区域,防火墙的接口必须划入安全区域,该接口无法工作,因为无法判断流量如何流动,

防火墙的接口可以配置service-manage命令实队icmp流量,http。https,telnet、ssh执行安全管理,默认情况下防火墙

进制接受处理以上所有流量

查看区域与接口的关系

dis zone

将接口添加进安全区域

firewall zone trust

 add interface GigabitEthernet1/0/0
 将1口所在的网络划分到了trust区域

ping不通,1.没有划分到区域,2.默认🈲ping

W1-GigabitEthernet1/0/0]service-manage ping permit /deny

[FW1-GigabitEthernet1/0/0]service-manage ?
  all     ALL  service 
  enable  Service manage switch on/off 
  http    HTTP service 
  https   HTTPS service 
  ping    Ping service 
  snmp    SNMP service 
  ssh     SSH service 
  telnet  Telnet service

提问:只开启了ping功能,没有划分安全区域可以实现ping通吗

回答:是不行的,最基础的就是划分到安全区域

防火墙的分类

硬件防火墙:包过滤防火墙,代理防火墙,状态检测防火墙

包过滤防火墙:基于数据流量的五元组{sip.,dip ,sport,dport,协议号}执行数据管控,都是手工配置,无法检查高层载荷(应用层啊什么的)

        需要对包的去和回分别进行部署,导致部署大量的规则策略,不好管理,因为包过滤防火墙针对同一组业务流量无任何感知,认为i去包汇报都是独立个体

代理防火请:代理商需要针对客户的业务设计代理功能,面临开发周期强,部署时间长

状态检测防火墙:具备包过滤和代理特征,解决了包过滤防火墙的问题,可以队数据执行深度检查,内置了dpi动能,

解决了包过滤不关注报文前因后果的问题,他认为属于同一组业务报文必然存在联系

核心体现:一张状态化的表项(辊距数据流量生成,首包0),通过该表项,非首包只要命中该表项可以直接转发,不需要再执行安全规则检查,速度会快一些,

四大安全区域:

local:100,默认情况下,防火墙的所有的接口都在local区域,

trust:85.一般将内网的接口划入到该区域,信任区域

untrust:5一般将外网的接口划入到该区域,相当于不稳定不安全的网络划入该区域

dmz;50,一般将服务器所在的网络环境划入该区域

可以自己自定义一个安全区域,但是也必须手动配置优先级

firewall zone name aaa id 4
 set priority 1

  dis zone查看

仙染如意
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙基础知识
m0_46270507的博客
07-19 2613
防火墙基础知识
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、...
防火墙接口配置三步骤
qq_47529104的博客
03-03 1840
1、为接口配置IP 2、将接口配置进安全区域 3、如果是同区域不需要设置安全区域,当然也可以配置,默认是放行流量的 其他 默认情况下防火墙是不允许其他人访问,也不允许自己主动访问其他人。但是如果你在接口上配置service-manage ping permit,或是其他管理流量的允许,那么别人可以使用相关的协议去访问防火墙,但是防火墙自身依然不能主动地去访问其他人。 ...
【内网安全-防火墙防火墙、协议、策略
12-14 3109
【内网安全-防火墙防火墙、协议、策略
防火墙技术之安全区域
热门推荐
大河之犬的博客
09-12 1万+
我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的。安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域
(2)防火墙的基本配置---1安全域和端口
lzlz70707的专栏
02-23 9451
拿到这个防火墙先观(端)察(详)一下,面板上一共12个千兆电口,两个光口跟GE0 GE1形成Combo。反正这项目也不用光口,暂且放下。还一个HDD扩展口,用于插扩展硬盘。还两个USB,暂时不知道有啥用。最后还一个Console口,熟悉的套路这玩意是接串口的。 起初以为GE3~GE11这些个端口是交换机作用,于是接两个计算机互相PING,结果不通。 先将计算机上的串口通过专用转接线(买防火墙
防火墙基础配置
m0_52333150的博客
03-12 3656
防火墙基础配置
linux防火墙基础操作
qq_58778850的博客
05-24 134
开启服务器后,我们还没开放任何端口,这个服务器有我的一个demo,访问其地址发现无法访问。提示FirewallD is not running ,我还没开启过防火墙。firwall-cmd:是Linux提供的操作firewall的一个工具;返回yes则放行成功,no为没放行,检查是否输错端口或者防火墙没有重启。我们需要为其开放一个端口,我的demo端口为8081。有一天我要查看当前服务器防火墙规则,输入一下指令。–permanent:表示设置为持久;–add-port:标识添加的端口;
防火墙基础技术
ChenD的学习笔记
11-16 4907
防火墙的定义和分类防火墙的主要功能和技术防火墙设备管理的方法防火墙可以实现逻辑隔离但不能物理隔离防火墙的功能是通过安全策略实现的防火墙可以防病毒、防入侵、防木马、防攻击,但就是不防火。
Firewalld防火墙基础
m0_73464307的博客
11-07 1927
在Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?就需要总所周知的防火墙,那什么是防火墙?本文将展示centos系统中的防火墙--netfilter和iptables,与 firewalld。以及防火墙包含的表、 链结构 和数据包匹配的基本流程学会编写 iptables 规则firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
防火墙基础.pdf
11-07
防火墙基础.pdf
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
SpringBoot整合SSE,实现后端主动推送DEMO
最新发布
zjy660358的专栏
07-17 245
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 404
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 684
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 748
下一代防火墙基础入门:历史、功能与架构
"QCCP-PS-NGFW-01-防火墙基础知识.pdf"文档详细探讨了下一代防火墙(NGFW)的基础知识。该文档分为多个部分,旨在帮助读者深入理解防火墙的核心概念和技术。 首先,文档从防火墙的产生背景出发,讲述了它应运而生的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值