防火墙的原理和配置

“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

11.1防火墙概述

11.1.1 防火墙发展历程

纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。

防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:

  1. 访问控制越来越精细
  2. 防护能力越来越强
  3. 性能越来越高

防火墙的发展历程如图11-1所示。

                             图11-1:防火墙的发展历程

11.1.2 防火墙基本概念

1、默认安全区域

防火墙的默认安全区域如图11-2所示。

                          表11-1:防火墙的默认安全区域

区域名称

默认安全优先级

Untrust

5

Dmz

50

Trunst

85

Local

100

2、安全区域的特性

  • 默认的安全区域不能删除,也不允许修改安全优先级。
  • 每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。
  • 用户可根据自己的需求创建自定义的Zone。

11.2 实验1:防火墙的配置

  1. 实验目的:
  1. 熟悉防火墙的应用场景
  2. 掌握防火墙的配置方法
  1. 实验拓扑:

实验拓扑如图11-2所示。

                              图11-2:防火墙的配置

【技术要点】

某公司网络使用防火墙作为出口路由器,要求将公网设置为untrust区域,对外http服务器所在区域设置为dmz区域,内网的其他pc所在区域设置为trust区域。最终实现外网设备client1能够通过nat server访问server1,内网PC1能够通过nat访问公网ISP。

  1. 实验步骤:
  1. 登录防火墙(防火墙使用usg6000v,登录的默认账户为admin、密码为Admin@123,登录后需要修改密码)

Username:admin

Password: Admin@123

The password needs to be changed. Change now? [Y/N]: y

Please enter old password: Admin@123

Please enter new password: Huawei@123

Please confirm new password: Huawei@123

 Info: Your password has been changed. Save the change to survive a reboot.

*************************************************************************

*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *

*                           All rights reserved.                        *

*               Without the owner's prior written consent,              *

*        no decompiling or reverse-engineering shall be allowed.        *

*************************************************************************

<USG6000V1>

  1. 配置防火墙和路由器的接口ip地址

FW1的配置

[USG6000V1]sysname FW1

[FW1]interface  g1/0/2

[FW1-GigabitEthernet1/0/2]ip address 172.16.2.1 24

[FW1]interface  g1/0/0

[FW1-GigabitEthernet1/0/0]ip address 172.16.2.1 24

[FW1]interface  g1/0/1

[FW1-GigabitEthernet1/0/1]ip address  200.1.1.1 24

ISP的配置

[Huawei]sysname ISP

[ISP]interface  g0/0/0

[ISP-GigabitEthernet0/0/0]ip address  200.1.1.2 2

[ISP]interface  g0/0/1

[ISP-GigabitEthernet0/0/1]ip address  100.1.1.1 24

  1. 将对应的接口后的网络划分到防火墙的安全区域

[FW1]firewall zone  trust //进入trust区域视图

[FW1-zone-trust]add interface g1/0/2 //将G1/0/2接口划分到trust区域

[FW1]firewall zone  untrust //进入untrust区域视图

[FW1-zone-untrust]add interface g1/0/1//将G1/0/1接口划分到untrust区域

[FW1]firewall zone dmz //进入dmz区域视图

[FW1-zone-dmz]add  interface  g1/0/0 //将G1/0/0接口划分到dmz区域

  1. 配置默认路由指向ISP

[FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

  1. 配置nat、nat server以及防火墙区域间策略
  1. 配置nat,让pc1能够访问isp网络

[FW1]nat-policy //进入nat策略视图

[FW1-policy-nat]rule name 1 //创建nat策略,命名为1

[FW1-policy-nat-rule-1]source-zone trust //源安全区域为trust

[FW1-policy-nat-rule-1]destination-zone untrust //目标安全区域为untrust

[FW1-policy-nat-rule-1]source-address 172.16.2.0 24  //定义源ip地址为172.16.2.0/24

[FW1-policy-nat-rule-1]action  source-nat easy-ip //匹配以上调整则执行esay-ip动作

  1. 配置PC访问isp网络的防火墙区域间策略

[FW1]security-policy   //进入安全策略视图模式

[FW1-policy-security]rule name trusttountrust //策略名字为trusttountrust

[FW1-policy-security-rule-trusttountrust]source-zone trust //源安全区域为trust

[FW1-policy-security-rule-trusttountrust]destination-zone untrust //目标安全区域为untrust

[FW1-policy-security-rule-trusttountrust]source-address 172.16.2.0 24 //定义源ip地址为172.16.2.0/24

[FW1-policy-security-rule-trusttountrust]action permit //执行动作为允许

  1. 测试PC1是否能够访问ISP

PC1的配置如图11-3所示。

                      图11-3:在PC1上访问200.1.1.2

  1. 查看防火墙的会话表项

[FW1]display  firewall session table  verbose

2022-11-01 03:24:06.270

 Current Total Sessions : 5

 icmp  VPN: public --> public  ID: c387fcfe6a60878ca46360918c

 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:17

 Recv Interface: GigabitEthernet1/0/2

 Interface: GigabitEthernet1/0/1  NextHop: 200.1.1.2  MAC: 00e0-fc83-073e

 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60

 172.16.2.2:63377[200.1.1.1:2064] --> 200.1.1.2:2048 PolicyName: trusttountrust

可以看到会话的安全区域放行为trust到untrust区域,该会话的老化时间(TTL)为20s,接收到报文的接口为G1/0/2,发送报文的接口为G1/0/1。可以看到该会话匹配的安全策略规则名称为:trusttountrust。

  1. 配置nat server,让clinet1能访问内部服务器server1

[FW1]nat server http protocol tcp global 200.1.1.1 www inside 172.16.1.2 www //配置nat server,将公网地址200.1.1.1的80端口映射到私网地址172.16.1.2的80端口

  1. 配置外网untrust区域访问dmz区域的区域间策略

[FW1]security-policy

[FW1-policy-security]rule name untrusttodmz

[FW1-policy-security-rule-untrusttodmz]source-zone untrust

[FW1-policy-security-rule-untrusttodmz]destination-zone dmz

[FW1-policy-security-rule-untrusttodmz]destination-address 172.16.1.2 24

[FW1-policy-security-rule-untrusttodmz]service http

[FW1-policy-security-rule-untrusttodmz]action permit

  1. 测试client1是否能够访问server1

第一步:在Server1开启http服务,配置如图11-4所示。

                          图11-4:在在Server1开启http服务

第二步:在Client 1测试,配置如图11-5所示。

                          图11-5:在Client 1上访问200.1.1.1

结果表明,外网设备能够通过nat server访问服务器。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/764560.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Set A Light 3D Studio中文--- 打造专业级3D照明效果

Set A Light 3D Studio是一款专业的灯光模拟软件&#xff0c;专为摄影师和电影制片人打造。它允许用户在计算机上模拟并预览各种布光效果&#xff0c;助力拍摄出真实、精准且具有艺术感的作品。软件提供了丰富的灯光和场景模型&#xff0c;用户可以灵活调整光源参数&#xff0c…

(附源码)基于Spring Boot与Vue的宠物用品销售系统设计与实现

前言 &#x1f497;博主介绍&#xff1a;✌专注于Java、小程序技术领域和毕业项目实战✌&#x1f497; &#x1f447;&#x1f3fb; 精彩专栏 推荐订阅&#x1f447;&#x1f3fb; 2024年Java精品实战案例《100套》 &#x1f345;文末获取源码联系&#x1f345; &#x1f31…

2024年3月22蚂蚁新村今日答案:以下哪一项是陕西省的非遗美食?

2024年3月22日蚂蚁新村今日问题的正确答案如下&#xff1a; 问题&#xff1a;以下哪一项是陕西省的非遗美食&#xff1f; 选项&#xff1a;驴肉火烧 水盆羊肉 答案&#xff1a;水盆羊肉 解析&#xff1a;水盆羊肉是陕西省的非遗美食。水盆羊肉是陕西省的一道传统著名饭食&a…

蓝桥杯第二天刷真题

public class Main {public static void main(String [] args) { //存大数方法String s"202320232023"; // 定义一个字符串&#xff0c;它将被转换为结束循环的数值long end Long.parseLong(s);long sum 0;long primarynumber 1;for(int i 1; i<end; i) {long …

mac 同步安卓手机屏幕

工具 scrcpy 1. 安装scrcpy brew install scrcpy2. 确保有adb命令 adb --version #查看版本号 brew install --cask android-platform-tools #安装adb环境安装后找不到adb&#xff0c;重启终端 3. scrcpy scrcpy #默认设备### 存在多个设备会失败 scrcpy 2.4 <https://…

需求:JSON数据显示null值或者不显示null值

使用hutool的工具类 import cn.hutool.json.JSON; import cn.hutool.json.JSONConfig; import cn.hutool.json.JSONUtil;public class Main {public static void main(String[] args) {String sss "{\"1\":\"a\",\"2\":null}";// 不…

手撕LRU 最近最少使用缓存淘汰策略 + LinkedHashMap

LRU 最近最少使用缓存淘汰策略 1 LRU 算法就是一种缓存淘汰策略2 手撕LRU3 LinkedHashMap 常见面试题 1 LRU 算法就是一种缓存淘汰策略 计算机的缓存容量有限&#xff0c;如果缓存满了就要删除一些内容&#xff0c;给新内容腾位置。但问题是&#xff0c;删除哪些内容呢&#x…

react 祖孙关系传递

1. utils下的context.js import React ,{ createContext} from "react" //createContext 是创建一个上下文对象 export const dateContext createContext({}) // 创建了一个上下文对象 export const {Provider,Consumer} dateContext 2.爷爷组件 import {Provi…

【JavaScript 漫游】【041】File 对象、FileList 对象、FileReader 对象

文章简介 本篇文章为【JavaScript 漫游】专栏的第 041 篇文章&#xff0c;主要对浏览器模型中 File 对象、FileList 对象和 FileReader 对象的知识点进行了简记。 File 对象 File 对象代表一个文件&#xff0c;用来读写文件信息。它继承了 Blob 对象&#xff0c;或者说是一种…

适用于vue3的vant4组件 没有日期时间选择器

项目中需要用到日期和时间一同选择的场景 本来想用 如下代码 van-datetime-picker 发现咋整也不好使 刚开始还以为是引入的问题 后来发现是vant4根本就没这玩应了… <van-datetime-pickerv-model"currentDate"type"datetime"title"选择完整时间&q…

什么是Webhook 和 HTTP Endpoint?

Webhook 和 HTTP Endpoint 都是基于HTTP协议的网络通信概念&#xff0c;但它们在使用场景和目的上有所不同。 Webhook Webhook 是一种允许一个应用程序提供实时信息给其他应用程序的方法&#xff0c;这种通信是基于HTTP的“回调”或“钩子”。Webhook 通常被用来在一种服务上…

24届互联网秋招后端开发面经【Java\C++】(阿里、美团、快手等)

目录 写在前面阿里阿里数据库美团快手百度科大讯飞一面 字节一面 快手一面二面三面 滴滴1-3面部分米哈游一面 京东二面 美团二面三面 腾讯一面二面三面 高德一面二面三面 大文娱一面 蚂蚁二面 写在前面 博主24届985硕士非科班&#xff0c;秋招面了挺多大厂&#xff0c;拿了阿里…

如何通过Python脚本实现对远程物联网设备的监控和维护

通过Python脚本监控和维护远程物联网设备通常涉及以下几个步骤&#xff1a; 设备接入互联网&#xff1a;确保物联网设备能够连接到互联网&#xff0c;并有一个稳定的IP地址或者使用域名进行访问。选择通信协议&#xff1a;根据需求选择适合物联网设备的通信协议&#xff0c;如…

ETL的全量和增量模式

在当今信息爆炸的时代&#xff0c;数据管理已经成为各行各业必不可少的一环。而在数据管理中&#xff0c;全量与增量模式作为两种主要的策略&#xff0c;各自具有独特的优势和适用场景&#xff0c;巧妙地灵活运用二者不仅能提升数据处理效率&#xff0c;更能保障数据的准确性。…

JavaWeb -- HTTP -- WEB服务器TOMCAT

一.HTTP介绍: HTTP(Hyper Text Protocol) 实际上是一种超文本传输的协议,规定了浏览器跟服务器之间的一些数据传输的规则 例如B/S 对于浏览器的请求,以及相应服务器的响应,都必须依靠这种协议,规范,才能够彼此之间相互 理解 HTTP的协议特点: 1.基于TCP协议: 面向连接 更加安全…

一些常用的用法

Python的一些我没见过的用法&#xff0c;写一篇博客记录一下。 字典 kwargs 在 Python 中&#xff0c;kwargs 是一个通常用于表示关键字参数的字典。它通常在函数定义中用于接收传递给函数的任意数量的关键字参数。 当在函数调用时&#xff0c;使用关键字参数传递参数给函数…

golang kafka sarama 源码解析

消费者组重平衡 github.com/!shopify/saramav1.27.2/consumer_group.go func (c *consumerGroup) newSession(ctx context.Context, topics []string, handler ConsumerGroupHandler, retries int) (*consumerGroupSession, error) {// 获取broker组协调器coordinator, err :…

爱普生EPSON全新传感技术方案亮相高交会,创造新时代“精智生活”

2023年中国国际高新技术成果交易会在深圳福田会展中心盛大举行&#xff0c;是目前中国规模最大、最具影响力的科技类展会之一。爱普生作为始终坚持“科技本地化”战略的技术创新前沿企业参与此次展会&#xff0c;为中国用户带来爱普生电子元器件三款创新技术与四大成熟传感器解…

Python 将HTML转为PDF、图片、XML、XPS格式

网页内容是信息传播的主要形式之一。在Web开发中&#xff0c;有时候我们需要将HTML文件以不同的格式保存或分享&#xff0c;比如PDF、图片&#xff08;如PNG或JPEG&#xff09;、XML或XPS等。这些格式各有优势&#xff0c;适合不同的用途。在这篇文章中&#xff0c;我们将介绍如…

51单片机入门:定时器

定时器的介绍 定时器&#xff1a;51单片机的定时器属于单片机的内部资源&#xff0c;其电路的设计连接和运转均在单片机内部完成。根据单片机内部的时钟或者外部的脉冲信号对寄存器中的数据加1&#xff0c;定时器实质就是加1计数器。因为又可以定时又可以计数&#xff0c;又称…