防火墙安全策略

目录

一、防火墙种类

二、防火墙流量控制手段

1、包过滤技术(传统)

2、状态检测技术

(1)、状态检测机制

三、安全实验

1、拓扑

2、需求

3、配置思路

4、关键配置截图

5、验证


一、防火墙种类

对于防火墙来说就是针对哪个方向的某些流量禁掉。

防火墙种类:本身还是基于ACL对流量进行分类识别

1、包过滤防火墙

2、代理防火墙

3、状态检测防火墙

二、防火墙流量控制手段

1、包过滤技术(传统)

包过滤技术(传统):对于转发的数据包,先获取包头信息(网络层【源IP、目的IP】和传输层【源端口、目的端口】头部),然后和设定的规则进行比较(和本地ACL进行比较是否匹配),根据比较的结果对数据包进行转发或丢弃。

ICMP不具备传输层协议,直接封装在网络层上,没有源目端口,但是网络层IP有一个协议字段标识上层使用协议。

一个协议之上,有不同的应用,传统ACL不能精细化上层应用,包过滤的问题:

(1)、不能精细化识别上层应用,只能粗略检测匹配协议。

2、状态检测技术

状态检测技术:除了基础的ACL,还支持多维度的条件精细策略(安全策略),安全策略就是按一定的规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略,规则的本质是包过滤。

ACL是基于五元组(源目IP、源目端口、协议号)

安全策略是基于五元组,匹配流量有:

(1)、条件:源目IP、源目端口、协议号、service服务、流量区域、应用、用户、时间段

(2)、动作:允许、禁止

<USG6000V1>system-view 从用户视图进入系统视图

[USG6000V1]sysname AF 改名

接口配置IP:

[AF]interface GigabitEthernet 0/0/0

[AF-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[AF]interface GigabitEthernet 1/0/0

[AF-GigabitEthernet1/0/0]ip address 192.168.1.254 24

配置区域,接入加入区域:

[AF]firewall zone trust 进入区域

[AF-zone-trust]add interface GigabitEthernet 0/0/0 接入加入区域

[AF]firewall zone untrust

[AF-zone-untrust]add interface GigabitEthernet 1/0/0

这个时间PC1去ping PC2,不通,原因是防火墙默认不同区域间是禁止访问的。

进入安全视图

[AF]security-policy

[AF-policy-security]default action permit 配置默认动作允许通过

放通策略后:

如果出现业务有影响,现网情况允许,放通所有策略来排查是否有策略影响。

配置策略

[AF-policy-security]rule name PC1-to-PC2

[AF-policy-security-rule-PC1-to-PC2]source-zone trust

[AF-policy-security-rule-PC1-to-PC2]destination-zone untrust

[AF-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 mask 255.255.255.0

[AF-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 24

[AF-policy-security-rule-PC1-to-PC2]service icmp

[AF-policy-security-rule-PC1-to-PC2]action deny

拒绝PC1到PC2的icmp协议后,ping失效

(1)、状态检测机制

状态检测机制:流量首包过来有安全策略允许通过,那么防火墙会创建一条会话表项,同时把流量转发,源目IP镜像流量也属于同一条流,五元组相同,五元组不同就会创建不同会话。

ICMP应用进程端口号,和TCP、UDP不太一样。

[AF]display firewall session table 看防火墙会话表项

2023-08-13 00:16:08.350

Current Total Sessions : 5

icmp VPN: public --> public 10.1.1.1:49184 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49952 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49696 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50464 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50208 --> 192.168.1.1:2048

三、安全实验

1、拓扑

2、需求

(1)、AR2属于ISP1(pri 40)区域

(2)、AR3属于ISP2(pri 45)区域

(3)、AR1可以访问ISP1和ISP2区域所有的主机

(4)、禁止AR1去telnet AR3

3、配置思路

(1)、IP地址(路由->防火墙)

(2)、防火墙接口加区域

(3)、路由器上的网关(默认路由)

(4)、安全策略

4、关键配置截图

这个策略两个条件,相同条件满足其中一个就可以(或的关系),不同条件至少满足其中一个(与的关系)

security-policy

rule name AR1-to-ISP1

source-zone trust

destination-zone ISP1

destination-zone ISP2

source-address 10.1.1.0 mask 255.255.255.0

destination-address 172.16.1.0 mask 255.255.255.0

destination-address 192.168.1.0 mask 255.255.255.0

action permit

5、验证

AR1可以访问ISP1和ISP2

telnet策略:

没有拦截,安全策略从上往下匹配,命中其中一条,就会执行当前动作,不会往下。

把拒绝策略上移动到放通策略之前:把。。。移到before。。。之前

[FW1-policy-security]rule move AR1-NOto-AR3 before AR1-to-ISP1

无法telnet,拒绝策略匹配成功

除了telnet其他没有问题:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/237944.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

选型前必看,CRM系统在线演示为什么重要?

在CRM挑选环节中&#xff0c;假如企业需要深入了解CRM管理系统的功能和功能&#xff0c;就需要CRM厂商提供在线演示。简单的说&#xff0c;就是按照企业的需要&#xff0c;检测怎样通过CRM进行。如今我们来谈谈CRM在线演示的作用。 在线演示 1、了解CRM情况 熟悉系统功能&…

阿里云oss存储器图片上传功能

controller层 RestController RequestMapping("/upload") public class FileUploadController {PostMappingpublic Result upload(MultipartFile file) throws IOException {String orgFilename file.getOriginalFilename();//名字组合String filename UUID.rand…

姿态识别、目标检测和跟踪的综合应用

引言&#xff1a; 近年来&#xff0c;随着人工智能技术的不断发展&#xff0c;姿态识别、目标检测和跟踪成为了计算机视觉领域的热门研究方向。这三个技术的综合应用为各个行业带来了巨大的变革和机遇。本文将分别介绍姿态识别、目标检测和跟踪的基本概念和算法&#xff0c;并探…

如何添加jar包到本地Maven项目中

在 Maven 中添加一个外部 JAR 包的依赖&#xff0c;你需要使用 Maven 的 <dependency> 元素来指定该 JAR 包的坐标信息。以下是具体的步骤&#xff1a; 将 JAR 包手动添加到 Maven 本地仓库&#xff1a; 首先&#xff0c;确保将外部 JAR 包手动添加到 Maven 本地仓库。可…

基于Java开发的微信约拍小程序

一、系统架构 前端&#xff1a;vue | element-ui 后端&#xff1a;springboot | mybatis 环境&#xff1a;jdk8 | mysql8 | maven | mysql 二、代码及数据库 三、功能说明 01. 首页 02. 授权登录 03. 我的 04. 我的-编辑个人资料 05. 我的-我的联系方式 06. …

Java——PriorityQueue用法(实现最大堆)

Java——PriorityQueue用法 PriorityQueue 是 Java 中基于优先级堆实现的一个队列&#xff0c;可以用来存储一组元素&#xff0c;并按照一定的优先级顺序访问这些元素。其中&#xff0c;优先级高的元素会被先访问。 PriorityQueue 类位于 java.util 包中&#xff0c;是一个泛…

等待队列头实现阻塞 IO(BIO)

文章目录 等待队列头实现阻塞 IO(BIO)模型等待队列头init_waitqueue_headDECLARE_WAIT_QUEUE_HEAD 等待队列项使用方法驱动程序应用程序模块使用参考 等待队列头实现阻塞 IO(BIO) 等待队列是内核实现阻塞和唤醒的内核机制。 等待队列以循环链表为基础结构&#xff0c;链表头和…

苹果如何从iCloud恢复备份?正确方法看这里!

iCloud为所有苹果用户免费提供5G内存空间&#xff0c;用户可以将照片、短信、联系人、备忘录等重要信息备份到iCloud云端&#xff0c;这样可以方便在不同设备之间同步和共享。 同时&#xff0c;iCloud保证这些数据在所有苹果设备上及时自动更新。当遇到手机数据丢失时&#xf…

构建搜索引擎,而非向量数据库(Vector DB) [译]

原文&#xff1a;Build a search engine, not a vector DB 作者&#xff1a; Panda Smith 在过去 12 个月中&#xff0c;我们见证了向量数据库&#xff08;Vector DB&#xff09;创业公司的迅猛增长。我此刻并不打算深入探讨它们各自的设计取舍。相反&#xff0c;我更想探讨和…

做外贸多想一步,多走一步

最近在网上给小儿买了一个液晶画画板&#xff0c;自从告诉小儿已经购物需要耐心等待之后&#xff0c;几乎每天小儿要询问几遍&#xff0c;快递到哪里了&#xff1f; 好不容易盼到了&#xff0c;结果打开一看却是个坏的&#xff0c;虽然外包装是好的&#xff0c;但是明显这个快…

数据库客户案例:每个物种都需要一个数据库!

1、GERDH——花卉多组学数据库 项目名称&#xff1a;GERDH&#xff1a;花卉多组学数据库 链接地址&#xff1a;https://dphdatabase.com 项目描述&#xff1a;GERDH包含了来自150多种园艺花卉植物种质的 12961个观赏植物。将不同花卉植物转录组学、表观组学等数据进行比较&am…

读《文明之光》第四册总结

今天来给大家分享一下【吴军】老师的《文明之光》&#xff0c;该书全套共四册&#xff0c;今天给大家分享的是第四册。 人总是要有些理想和信仰。初读这本书&#xff0c;就被本书的第一句话说感动过。 当人们问起我的理想时&#xff0c;我就给他们讲…

Linux | 数据结构之内核链表

Linux | 数据结构之内核链表 时间:2023年12月20日15:42:45 文章目录 Linux | 数据结构之内核链表1.参考2.内核链表2-1.源码2-2.节点类型2-3.内核链表相关算法2-3-1.初始化`2-3-1-1`.宏的实现2-3-1-2.内联函数的实现2-3-2.插入`2-3-2-1`.将new指向的结点插入到head指向的结点后…

Patreon怎么订阅付款?Patreon会员订阅付款保姆级教程,用虚拟VISA卡订阅Patreon作者艺术家

Patreon 是目前世界上最受欢迎的会员平台之一。 内容创作者和艺术家通常很难让粉丝在经济上支持他们。 通过使用像 Patreon 这样的平台&#xff0c;创作者和艺术家可以很容易地从他们的作品中获得报酬。粉丝也能更方便的支持他们&#xff0c;今天就教大家如何订阅Patreon 首先我…

MySQL 5.6较上一版本的关键升级

MySQL 5.6是一个主要的版本发布&#xff0c;它在性能、可伸缩性、可靠性和可用性方面引入了多项重要改进和新特性。它在2013年发布&#xff0c;相比于它的前身MySQL 5.5&#xff0c;MySQL 5.6带来了以下关键升级&#xff1a; 优化的InnoDB存储引擎&#xff1a;MySQL 5.6中的Inn…

8.点云获取和数据处理(python)

点云数据获取和处理的代码如下&#xff1a; 一、用DBSCAN聚类的方法处理点云数据 通过设置点云坐标的最大聚类对点云坐标进行归类&#xff0c;再将相同类的坐标求均值&#xff08;中心点坐标&#xff09;&#xff0c;这些均值坐标通过手眼标定的转换矩阵转换为二维的相机坐标&…

k8s中Chart的命名模板

Chart的命名模板 命名模板有时候也被称为部分或子模板。 相对于 deployment.yaml 这种主模板&#xff0c;命名模板只是定义部分通用内容&#xff0c;然后在各个主模板中调用。 templates目录下有个_helpers.tpl文件。公共的命名模板都放在这个文件里。 命名模板使用 define…

Python中最常用的10个内置函数!

Python作为一种多用途编程语言&#xff0c;拥有丰富的内置函数库&#xff0c;这些函数可以极大地提高开发效率。本文将介绍Python中最常用的10个内置函数&#xff0c;它们的功能各有不同&#xff0c;但在实际编程中经常派上用场。我们将深入了解每个函数&#xff0c;并提供示例…

解锁高效工作!5款优秀工时管理软件推荐

工时管理&#xff0c;一直是让许多企业和团队头疼的问题。传统的纸质工时表、复杂的电子表格&#xff0c;不仅操作繁琐&#xff0c;还容易出错。幸好&#xff0c;随着科技的进步&#xff0c;我们迎来了工时管理软件的春天。今天&#xff0c;就让我们一起走进这个新时代&#xf…

2016年第五届数学建模国际赛小美赛B题直达地铁线路解题全过程文档及程序

2016年第五届数学建模国际赛小美赛 B题 直达地铁线路 原题再现&#xff1a; 在目前的大都市地铁网络中&#xff0c;在两个相距遥远的车站之间运送乘客通常需要很长时间。我们可以建议在两个长途车站之间设置直达班车&#xff0c;以节省长途乘客的时间。   第一部分&#xf…