第十八天 防火墙-CSDN博客

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6

防火墙

防火墙原理与基础

防火墙的默认用户名和密码
用户名admin
密码Admin@123
在这里插入图片描述

防火墙与交换机、路由器对比

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 非军事化区域DEM对外提供服务但是对内不能主动发动请求

为什么需要安全区域

在这里插入图片描述
在这里插入图片描述

  • 一个端口只能有一个区域一个区域可以有多个端口

默认安全区域Trust、DMZ和Untrust

在这里插入图片描述

  • 防火墙本身的区域叫做local区域

local区域

在这里插入图片描述

防火墙各区域的默认信任度

在这里插入图片描述

  • Untrust一般用到网络的出口
  • Trust一般用到内网主机
  • DMZ一般用到服务器
进入区域
[NGFW]firewall zone local  //默认区域表示防火墙本地

firewall zone trust  //默认信任区域
 set priority 85
 add interface GigabitEthernet0/0/0  //该接口默认属于trust用于设备管理
 add interface GigabitEthernet1/0/0  //G1/0/0划入trust区域
#
firewall zone untrust
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/1

区域间的关系

在这里插入图片描述

  • 从高优先级往低优先级走的流量为 outbound 反之 inbound

安全区域配置案例

在这里插入图片描述

//允许ping  进入接口视图下配置
[NGFW-GigabitEthernet1/0/1]service-manage ping permit 

区域间策略

[NGFW]security-policy  //配置安全策略
[NGFW-policy-security]rule name P1   //定义策略P1
[NGFW-policy-security-rule-P1]source-zone local  //源区域为local
[NGFW-policy-security-rule-P1]action permit   //执行动作 允许


security-policy  //基于状态检测的安全策略
 rule name P2                             
  source-zone trust
  destination-zone dmz
  destination-zone untrust
  source-address 192.168.2.10 mask 255.255.255.255
  action permit
//当流量经过防火墙时命中该策略执行permit动作的同时产生会话
//策略按照从上往下的顺序逐条匹配。匹配成功则执行action所有都不匹配则deny

[NGFW]dis firewall session table //查看当前会话列表
2023-09-02 06:56:01.260 
 Current Total Sessions : 1
 icmp  VPN: public --> public  192.168.2.10:256 --> 192.168.3.10:2048
//记录协议、源IP、目的IP、当返回的流量可以匹配该会话时直接允许通过
//主动发起方的后续流量也能匹配上会话直接转发而无需查策略

NGFW安全策略构成

在这里插入图片描述

多通道协议

在这里插入图片描述

[NGFW]dis firewall server-map 
2023-09-02 07:00:06.810 
 Current Total Server-map : 1
 Type: ASPF,  192.168.3.10 -> 192.168.2.10:2055,  Zone:---
 Protocol: tcp(Appro: ftp-data),  Left-Time:00:00:13
 Vpn: public -> public


//全局开启FTP多通道检测功能
[NGFW]firewall detect ftp 

//进入区域间的视图 开启FTP多通道检测功能
 [NGFW]firewall interzone trust dmz 
[NGFW-interzone-trust-dmz]detect ftp

ASPF与Server-map表

在这里插入图片描述

防火墙-NAT

源NAT的两种转换方式

在这里插入图片描述

NAT No-PAT

在这里插入图片描述

NAPT

在这里插入图片描述

NAPT配置案例

在这里插入图片描述

写一个nat的地址池
[USG6000V1]nat address-group trust
规划这个地址池中的IP地址从公网购买的IP地址
用地址池进行动态转换
[USG6000V1-address-group-trust]section 1.1.1.10 1.1.1.11 

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name NAT1
[USG6000V1-policy-nat-rule-NAT1]source-address 192.168.2.0 mask 255.255.255.0
[USG6000V1-policy-nat-rule-NAT1]action source-nat address-group trust

防火墙上需要写这么一条null0的路由用于防环
Nat转换的映射表是优于这条路由的
[USG6000V1]ip route-static 1.1.1.12 32 NULL 0


配置nat的公网和私网一对一的转换
[USG6000V1]nat server global 1.1.1.12 inside 192.168.3.10

可以让服务器多配置几个公网地址一个私网对应多个公网
同时可以保证只有公网访问私网的时候才进行转换私网访问公网的时候不转换
[USG6000V1]nat server global 1.1.1.12 inside 192.168.3.10 no-reverse 

一对一的端口转换
[USG6000V1]nat server FTP protocol tcp global 1.1.1.12 ftp inside 192.168.3.10 ftp

查看会话
[USG6000V1]dis firewall session table
[USG6000V1]dis firewall session table source-zone dmz source inside 192.168.3.10

查看防火墙的多通道
[USG6000V1]dis firewall server-map

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 排错思路
  • 如果ping得通就找OSI模型中 网路层上面得故障
  • 如果ping不通 就要找OSI模型中 网络层下面得故障
阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6
返回列表

上一篇:17.复制字符串 ,包括\0-CSDN博客

下一篇:【ChatGPT】ChatGPT的自定义指令-CSDN博客

“第十八天 防火墙-CSDN博客” 的相关文章

Rust基本数据类型1年前 (2023-02-02)
【音频】WAV 格式详解_wav文件格式详解1年前 (2023-02-02)
Nexus私有maven库部署和使用1年前 (2023-02-02)
SAS 日期处理(一)1年前 (2023-02-02)
react项目配置Eslint1年前 (2023-02-02)
学习笔记——Spring底层IOC实现;Spring依赖注入数值问题;Spring依赖注入方式1年前 (2023-02-02)
【Linux】权限管理1年前 (2023-02-02)
缓冲区溢出攻击1年前 (2023-02-02)
【前沿技术RPA】 一文了解UiPath 文件与文件夹自动化功能_uipath 获取下载的文件1年前 (2023-02-02)
Keras深度学习实战(39)——音乐音频分类_keras音频分类1年前 (2023-02-02)

阿里云国际版