ensp防火墙概述与命令总结
云归959
原创
关注
4点赞·6380人阅读
防火墙概述与命令总结
0713 防火墙的基本概述:
安全策略:
0714 防火墙的NAT策略:
server nat:
pat与no-pat做法:
域内nat做法:
0715 防火墙的双机热备:
在防火墙上配置VGMP:
0717 防火墙的GRE封装:
gre在防火墙上应用:
防火墙中的telnet配置:
防火墙中ssh配置:
0713 防火墙的基本概述:
防火墙分为:
框式防火墙
盒式防火墙
软件防火墙(公有云、私有云)
我们目前学习的是状态检测防火墙:
通过检查首包的五元组,来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间,有选择性针对性的隔离流量
阻断外网主动访问内网,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:
local:本地区域,所有IP都属于这个区域
trust:受信任的区域
DMZ:是介于管制和不管制区域之间的区域,一般放置服务器
untrust:一般连接Internet和不属于内网的部分
ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
复制
安全策略:
与ACL类似,动作只有两种:permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙
如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
复制
防火墙策略命中即转发
一些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情
SPU:防火墙特有的,用于实现防火墙的安全功能
五元组:源/目地址、源/目端口号、协议
ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
0714 防火墙的NAT策略:
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问
目标NAT:
server nat //服务器映射
值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
server nat:
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
复制
pat与no-pat做法:
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
复制
域内nat做法:
访问需要通过公网地址访问
第一步:将接口划分好所属区域,做好基础配置
第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global 204111 >需求:以其中一台linux主机作为服务器,对其他主机提供路由转发功能,实现网络共享。
实现:由于本次学习是在虚拟机中实现,共有两台linux主机,其中作为服务器的linux主机先称作vm1,要共享网络的linux主机称作vm2,vm2为在vm1中建立的虚拟机
环境:redhalt 65
vm2配置:
由于是模拟网络共享的客户机,在vm设置里将网络模式改为host-only(仅主机模式),并记录下vm2的网段。实际需求中只需配置服务器vm1即可
1
2点击确定保存后,可以看到此时的vm2已无法访问网络。
3在虚拟机菜单栏点击 编辑>>>虚拟网络编辑器,可在此查看或编辑你的vm2网段信息。
vm1配置(服务器):
1修改/etc/sysctlconf文件,将配置文件中netipv4ip_forward = 0值改为= 1,开启数据包的转发
[root@localhost ~]# sysctl -p -----使配置文件生效
也可直接输入命令:echo 1 > /proc/sys/net/ipv4/ip_forward 重启会失效
2启动防火墙:/etc/initd/iptables start
3依次输入下列两条命令:
[root@localhost ~]# iptables -S 查看红帽防火墙默认的规则链
[root@localhost ~]# iptables -D FORWARD 1 删除FORWARD里序号为1的规则
4开启地址转换:
[root@localhost ~]# iptables -t nat -I POSTROUTING -s 1921681480/24 -j MASQUERADE ----其中的ip段为vm2配置第三步中的ip段,可自定义
5至此已搭建完成,只需将vm2设置为该ip段下任一ip即可成功实现访问网络。也可直接通过另外一台设备连接vm1,将ip设置到该网段下即可,vm1并不能自动分配
[root@oracledb ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
IPADDR=
NETMASK=
GATEWAY=
概念补充:
路由表,指的是路由器或者其他互联网网络设备上存储的表,该表中存有到达特定网络终端的路径,在某些情况下,还有一些与这些路径相关的度量。
查看服务器到目标网址经过的ip:traceroute >转载于:>云防火墙访问控制功能对南北向的访问控制策略进行自定义配置,从而实现对访问流量的精准控制、保护您的网络安全。
登录Web应用防火墙控制台,在左侧导航栏中,单击配置中心>基础安全,进入基础安全页面。在基础安全页面,左上角选择需要防护的域名,单击访问控制,进入访问控制页面。在访问控制页面,单击添加规则,进入添加自定义防护规则页面。
配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深。EIP开启防护后,访问控制策略默认状态为放行,如您希望仅放行几条EIP,建议您添加一条优先级最低的阻断全部流量的防护规则。
gateway-list 意思是:指定网关。
华为防火墙配置命令:
建立DHCP地址池0[Quidway] dhcp server ip-pool 0;
配置DHCP网段 [Quidway-dhcp0] network 19216880 mask 2552552550 ;
配置DNS序列 [Quidway-dhcp0] dns-list ip-address1 [ ip-address2 ip-address8 ];
配置默认网关序列 [Quidway-dhcp0] gateway-list ip-address1 [ ip-address2 ip-address8 ];
设置DHCP租用时间为1天2小时3分钟[Quidway-dhcp0] expired 1 2 3。
扩展资料:
华为防火墙的双机热备包含以下两种模式:
热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作。
负载均衡模式:同一时间内,多台防火墙同时转发数据,并且互为备份,每个防火墙既是主设备,也是备用设备。防火墙之间同步会话表及server-map表。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)