DATACOM-防火墙-复习-实验

防火墙

概述

  • 与路由器对比
路由器 防火墙
功能 寻址、流量转发、路由 流量控制、安全区域隔离防护
硬件 - 相较于路由器,多了SPU,用于DDoS攻击防范/匹配会话/状态检测/认证策略/安全策略/NAT 策略/内容安全带宽策略等
  • 发展
  • 安全区域

防火墙转发流量的形式,是从一个安全区域到另一个安全区域

安全区域security zone 默认安全优先级 详情
非受信区域(untrust) 低安全级别区域,优先级为5。 通常定义internet等不安全的网络
非军事化区域(dmz) 中等安全级别区域,优先级为50。 通常定义内网服务器,经常被外网访问,不允许主动访问外网
受信区域(trust) 较高安全级别区域,优先级为85。 通常定义内网终端用户
本地区域(local) Local区域定义的是设备本身,例 如设备的接口。Local区域是最高 安全级别区域,优先级为100。 定义设备本身,local区域特殊,很多应用需要开放local与其他区域之间的安全策略
  • 安全策略

  • 会话表

首包到达防火墙,匹配成功,会建立session表项,后续流量会根据session表项转发

  • 多通道协议问题

防火墙针对固定端口协议可控,但对于多通道的随机端口协议无法匹配,因为随机端口不可预测,无法建立会话表

比如FTP,服务器向客户端传输数据,使用的随机端口
ASPF针对应用层的包过滤功能,可以生产server-map,server-map中的应用层信息可以成功创建会话表

在防火墙配置了ASPF、NAT Server和No-PAT方式的源NAT时,都会生成相应的Server-map表项。

配置

bash 复制代码
# 接口配置
interface [interface]
server-manage [protocal] [permit|deny] # 配置接口允许通过的协议
bash 复制代码
# 安全区域
firewall zone name [name] # 创建安全区域,进入安全区域视图
set priority [1-100] # 优先级
add interface # 接口添加进安全区域
bash 复制代码
# 安全策略
security-policy # 进入安全策略视图
rule name [name] # 创建规则,进入规则视图
source-zone # 匹配源安全区域
destination-zone # 匹配目的安全区域
source-address # 匹配源ip
destination-address # 匹配目的ip
server # 匹配协议服务
action [permit|deny] # 动作 

实验

以前做过相关实验,可以参考一下
https://editor.csdn.net/md/?articleId=126262051

参考

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100343281&id=ZH-CN_XTASK_0178932958

相关推荐
灯琰17 小时前
STM32F4+W5500 移植与开发常见问题
网络
qyr67899 小时前
全球新能源汽车电机驱动器市场深度调研报告
大数据·网络·人工智能·自动化·汽车
Hiyajo pray9 小时前
SDN 访问控制性能调优方法
服务器·网络·网络安全
初晴融雪-快雪时晴9 小时前
网络硬件全景梳理:从光纤到手机,一张网是如何连接的?
网络·智能手机·智能路由器
辣椒思密达10 小时前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
huainingning11 小时前
交换机通过ftp下载文件或者传输文件到ftp服务器
运维·服务器·网络
qq_5896660512 小时前
如何避免用户手速过快多次点击触发 api 多次调用
java·前端·网络
花生了什么事o13 小时前
DNS:把域名翻译成 IP 的层级查询机制
网络·网络协议·tcp/ip
海域云-罗鹏14 小时前
多云连接策略实战指南:企业如何打破云孤岛,构建跨公有云、私有云与混合云的高效网络
网络
其实防守也摸鱼14 小时前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析