《防火墙学习笔记》由会员分享,可在线阅读,更多相关《防火墙学习笔记(11页珍藏版)》请在金锄头文库上搜索。
1、5防火墙一、防火墙基本防火墙一般位于两个信任限度不同的网路间(如:公司内部和inent之间),可以对两个网络之间的通信进行控制,从而保护内部网络的安全。防火墙特性:1、 逻辑区域过滤器2、 使用NT技术可以隐藏内部的网络构造3、 自身的安全是有保障的4、 可以积极防御袭击防火墙的构成:硬件+软件+控制方略控制方略分为两种:1、 宽松的控制方略:除非明确严禁,否则就容许2、 限制的控制方略:除非明确容许,否则就严禁按形态分类:硬件防火墙、软件防火墙按保护对象分类:单机防火墙、网络防火墙按防火墙的实现方式,分为三类:1、 包过滤防火墙:只检测数据的报头,缺陷是:a、 无法关联数据包之间的关系b、
2、无法适应多通道合同(例如:VPN)c、 不检测应用层的数据2、 代理型防火墙:所有的数据包都要通过防火墙才干访问到serv,访问速度很慢3、 状态检测防火墙:目前运用的防火墙重要都是状态检测防火墙华为防火墙的工作模式:1、 路由模式:所有接口均有I2、 透明模式:所有接口均无I3、 混合模式:有的接口有IP,有的接口没有防火墙的局限性:1、 防外不防内2、 不能防御所有的安全威胁,特别是新产生的危险3、 在提供深度监测功能和解决转发性能之间需要做平衡4、 当使用端到端的加密时,防火墙不能对加密的隧道进行解决5、 防火墙自身会存在某些瓶颈,如抗袭击能力,会话限制等防火墙的区域和优先级:1、 lo
3、cal区域,优先级002、 rust区域,优先级53、 DZ区域,优先级504、 untrs区域,优先级5这些防火墙内设区域的优先级和名字都是无法变化的,优先级低的区域不能访问优先级高的区域(思科),华为设备如果防火墙方略容许可以突破区域访问限制。防火墙上的所有接口自身都属于oca区域,如果把一种接口划分到了st区域,是指该接口下的设备属于trus区域,接口自身永远属于local区域。nbound与Outbound定义:高优先级的访问低优先级:ubond,反之则是:nboun安全区域与接口的关系:1、 防火墙不容许存在两个具有完全相似安全级别(既优先级相似)的安全区域2、 防火墙不容许同一物理
4、接口分属于两个不同的安全区域3、 防火墙的不同接口可以属于同一种安全区域防火墙支持的功能:路由器、互换机支持的功能,防火墙都支持衡量防火墙好坏的指标:1、 吞吐量:防火墙能同步解决的最大数据量有效吞吐量:除掉因TCP的丢包和超时重发的数据,实际每秒传播的有效速率2、 延时:数据包的最后一种比特进入防火墙到第一种比特输出防火墙的时间间隔,是用来衡量防火墙解决数据的速度的抱负指标3、 每秒新建连接数:指每秒可以通过防火墙建立起来的完整的T链接数4、 并发连接数:指防火墙可以同步容纳的最大连接数目,一种连接就是一种TCP/UDP的访问防火墙实验拓扑图后来章节所讲的内容都基于此图:二、防火墙的基本配备
5、默认的状况下,防火墙是有某些配备的:G0/0/0接口的IP地址为:192.68.0.1/2,配备了基于接口的DHC,且00/0默认属于trust区域。在连接该端口的PC自动获取到IP后,就可以在浏览器中输入19.168.对防火墙进行图形化的配备。但模拟器是不支持图形化配备的。一旦对G/0接口配备了其她IP地址,本来的默认配备将被覆盖,DHCP服务也将被删除。dily urret-configuraio 显示目前设备的所有配备(互换机、路由器、防火墙通用)划分防火墙的安全区域:Firewall zne us 进入到trus区域dd interfae g/0/ 将g0/0/接口加入到trut区域i
6、ralzo dmz 进入到M区域Add nerface g00/ 将g0/0/2接口加入到Z区域iewal zoneunst 进入到utut区域Adnerface g0/0/3 将/0/3接口加入到untrut区域安全区域间的过滤规则:1、 默认cal到任何区域都是可以访问的2、 同一区域内的访问是容许的3、 其她区域间的访问要看区域间的过滤规则Displa iealpackiltr dalt l 显示防火墙区域间的过滤规则Permit:容许 den:严禁实验需求:trust中的设备可以访问MZ,而D中的设备不能访问trust(ireall packe-filter defaut pmt al
7、 全放行,将使防火墙失去过滤功能)Firew pce-filtedfultpermit nterzne rust dmz direction utbod y 容许trst和dmz之间的outbnd访问,效果是:trust区域能访问DMZ区域防火墙的会话表:会话表中存在的项目,防火墙是不检测,直接放行的Dspafirewall essio tabe 查看防火墙的会话表项临时会话表项:当被容许的访问发生时,防火墙会产生临时的会话表项,使反向的数据包可以回来,以保证会话的正常进行。临时会话表项是有时效的,根据不同的合同临时会话表项的有效时间是不同的,例如MP合同的有效时间只有12秒,因此过滤规则容许
8、的ping命令结束后,不久产生的临时会话表项就从会话表中消失了。防火墙的基本管理:启动防火墙的eln功能:Uer-ntefce vty 启动04的虚拟链路以容许台终端可以Teln到防火墙Authenticationmodepaswodcier 123 以密码访问方式启动Teln功能(密码为:123)Authenticaton-modeaa 以aaa认证方式启动Tlt功能aaa认证的 默认账号为:admi 默认密码:Adin123 (为大写)如何使用特定的顾客账号了Tenet登陆防火墙:aaa 进入3alocal-ser ei pasworche 123 在a中创立一种顾客账号:les 密码为:
9、123顾客的权限问题:级别范畴:-10:参观级别 新建顾客的默认级别1:监控级别:配备级别315:管理级别提高顾客权限的三种措施:1、针对具体的账户来提高权限aaa进入3aLocal-ser lewiev3 将顾客lwis 的账号级别提高到管理级别Udo lcal-slwis level取消对lewis账号的权限更改,恢复默认、针对局部账号来提高权限Super passwor evel 3ciphr di56 设定sper的秘密为:Adm456(per密码:必须涉及大小写英文符号+数字)Ser 3 密码 终端用super指令并输入密码,临时提高已登陆的账号权限级别到3级3、设立虚拟链路的顾客权
10、限Uer-ntece vty 4 进入04的虚拟链路serrivileg lvel 设立虚拟链路的顾客权限为级别3,设立后使用04虚拟链路登陆的任何账号都具有级别3的权限Display use 查看有哪些顾客登录了防火墙Dila srinrface 查看有哪些虚拟链路登录了防火墙三、防火墙的过滤方略区域内流量过滤:实验规定:p不能访问pc2可以采用C来做,但这里使用过滤方略来做Polcyzone trust 进入trst区域的方略设立Policy 1 创立并进入方略1oicy ouc 101.1 0.0.0. (可简略写成:plicysouce 101. )反掩码精确匹配源地址为:10.1.1
11、1Poi estint .1 0 反掩码精确匹配目的地址为:10.2.Acion deny 严禁通过(源地址为101.1且目的地址为01.2.1的访问被严禁)区域间流量过滤:实验规定:防火墙MZ和untust区域间默认过滤innd eny,路由器AR1保持默认配备(untrut区域模拟外网条件),配备网络使utrust区的cien1可以ping通DMZ区的Sr1服务器,并能访问服务器上的W和FTP资源。第一步 创立服务集rviest terver pe ojec 创立一种名为“toeer”的服务器,类型为ojectserice0 protool icm ping所使用的ICMP合同相应sevi
12、ce0serve1 protool tcp stition-pot 0 ww所使用的tcp合同的80端口相应servce1sie 2 protoltcp destination-ort 21 tp所使用的tcp合同的21端口相应sre 2第二步 启动方略Polic ntenedmzunrs ibound进入dmz和untrus区域间inoun方向的方略设立oicy10 创立序号为10的方略Plcy seric sevice-settrer 把服务集toserer中的服务设立为目前方略的源olcy deinaion 0.13.10 0 设立目前方略的目的cion rt 容许满足方略条件(源、目的
13、条件都满足)的数据包通过第三步 启动防火墙的A(应用层的安全检查)技术(针对FTP的特殊解决)Fewll interzoe dmzunrut 进入防火墙的dz和utrut区域间设立Det ftp 使用APF技术,检测到是ft使用的就放行通过第四步 运用静态一对一技术映射服务器1.1.3.10为外网IP 02.1.Nat server globa 22.1.13insde 1.1.3.10 四、防火墙的NAT技术数据包在传播的过程中,可以变化源或目的地址静态NAT转换 (NAT超载)Nat address-rou1 021.1.2 202.1.2 创立T地址转换组Nat-pli interzone trust untrus ubond 进入trust和untrust区域间的outond方向的AT方略设立Policy 若目前没有编号为1的方略,则创立方略,并进入设立Action source-nat 设立目前方略的动作为:源地址转换
