赞
踩
防火墙分为:
框式防火墙
盒式防火墙
软件防火墙(公有云、私有云)
我们目前学习的是状态检测防火墙:
通过检查首包的五元组,来保证出入数据包的安全
隔离不同的网络区域
通常用于两个网络之间,有选择性针对性的隔离流量
阻断外网主动访问内网,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防火墙的重要概念,缺省时有4个区域:
ps:每个接口都需要加入安全区域,不然防火墙会显示接口未激活,无法工作
firewall zone [区域名] //进入安全区域
add interface GigabitEthernet [接口号] //添加接口到此区域
display zone //查看区域划分情况
与ACL类似,动作只有两种:permit和deny
每一个想要通过防火墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防火墙
如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码] //此条可以略
destination-zone [区域名]
destination-address [源地址] [掩码] //此条可以略
service [协议名] //需要放行的协议
action permit //此条策略的动作是放行
防火墙策略命中即转发
一些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情
SPU:防火墙特有的,用于实现防火墙的安全功能
五元组:源/目地址、源/目端口号、协议
ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公网地址,同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址,使PC机可以通过这个公网地址的不同端口进行访问
目标NAT:
server nat //服务器映射
值得注意的是:
如果在防火墙上的是源NAT转换,则防火墙先匹配安全策略,再匹配NAT策略
如果在防火墙上的是目标NAT转换,则防火墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]
nat address-group [地址组名]
mode pat
section [初始地址] [结束地址]
nat-policy //进入nat策略,将前一步的地址池应用在nat策略中
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应用地址组
//之后就是看需要写安全策略
访问需要通过公网地址访问
第一步:将接口划分好所属区域,做好基础配置 第二步:创建一个nat地址池,将地址池的范围规划好,(默认为PAT) nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www //此步为服务器映射 nat address-group NAT mode pat section 0 205.1.1.1 205.1.1.1 第三步:进入nat策略,将前一步的地址池应用在nat策略中 nat-policy rule name NAT source-zone dmz destination-zone dmz source-address 172.16.1.1 mask 255.255.255.255 destination-address 172.16.1.2 mask 255.255.255.255 //此步规定什么样的地址允许做NAT转换 action source-nat address-group NAT 第四步:设置安全策略,允许地址通过,并说明区域 security-policy default packet-filter intrazone enable //设置防火墙区域间流量也检查 rule name NAT source-zone dmz destination-zone dmz source-address 172.16.1.1 mask 255.255.255.255 destination-address 172.16.1.2 mask 255.255.255.255 service http service tcp action permit
友情提示:丢包时请看看自己的路由有没有写对
域间双向nat做法:
大致与域内双向NAT相同,只不过需要放行回访的流量,不过需要注意回访流量的源目地址
VGMP(VRRP的升级版):统一管理VRRP组的,华为私有协议
状态有:
active(主)
standby(从)
心跳线:同步会话表项,值得注意的是配置接口线缆必须一样,编号区域也要一样
FW1: interface GigabitEthernet1/0/1 ip address 10.1.1.253 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.1.254 active interface GigabitEthernet1/0/0 ip address 20.1.1.253 255.255.255.0 vrrp vrid 20 virtual-ip 20.1.1.254 active interface GigabitEthernet1/0/6 ip address 12.1.1.1 255.255.255.0 hrp interface GigabitEthernet 1/0/6 remote 12.1.1.2 hrp enable //注意做好了再打这条命令 FW2: interface GigabitEthernet1/0/1 ip address 10.1.1.252 255.255.255.0 vrrp vrid 10 virtual-ip 10.1.1.254 standby interface GigabitEthernet1/0/0 ip address 20.1.1.252 255.255.255.0 vrrp vrid 20 virtual-ip 20.1.1.254 standby interface GigabitEthernet1/0/6 ip address 12.1.1.2 255.255.255.0 hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1 hrp enable
实验拓扑:
VPN(虚拟专用网络):廉价、专用、虚拟,基本原理:隧道技术 今天学习了GRE VPN(通用路由封
装):
三要素:
乘客协议:IPV4、IPV6
封装协议:gre
运输协议:IPV4、IPV6
FW1: 第一步:指向Tunnel转换源目地址,此时协议为ICMP,所以封装icmp rule name Trust-Gre source-zone trust destination-zone Gre source-address 1.1.1.1 mask 255.255.255.255 destination-address 2.2.2.2 mask 255.255.255.255 service icmp action permit 第二步:(可省略) rule name Local-untrust source-zone local destination-zone untrust source-address 202.103.1.1 mask 255.255.255.255 destination-address 202.103.2.1 mask 255.255.255.255 service gre action permit 第三步:对方回包时,从untrust到local (因为此时源地址为防火墙接口地址,接口地址皆属于local区域) 此时源为gre封装过后的源目地址,协议为gre, 此动作意为接收到源为fw2的目标为fw1的gre协议的包拆封 rule name Untrust-local source-zone untrust destination-zone local source-address 202.103.2.1 mask 255.255.255.255 destination-address 202.103.1.1 mask 255.255.255.255 service gre action permit 第四步:当第三步动作后,解封的数据包还属于Gre区域(即Tunnel区域), 数据包的目的地址为trust区域,此包是个icmp流量的协议, 放行后1.1.1.1就收到了经过重重策略的数据包... rule name gre-trust source-zone Gre destination-zone trust source-address 2.2.2.2 mask 255.255.255.255 destination-address 1.1.1.1 mask 255.255.255.255 service icmp action permit FW2的配置与FW1大致相同
那如何双向封装的?此时有一个实验拓扑:
配置其实和上图差不多
FW1: nat address-group NAT mode pat section 0 202.1.1.10 202.1.1.10 nat-p rule name NAT source-zone Gre source-zone trust destination-zone untrust //规定从哪些地方来的流量做转换 source-address 172.16.1.1 mask 255.255.255.255 source-address 172.16.2.1 mask 255.255.255.255 source-address 192.168.1.1 mask 255.255.255.255 destination-address 100.1.1.1 mask 255.255.255.255 action source-nat address-group NAT security-policy rule name Trust_Gre //因为首先如果想隧道传输,你首先需要从trust区域到gre区域 source-zone trust destination-zone Gre source-address 192.168.1.1 mask 255.255.255.255 destination-address 172.16.1.1 mask 255.255.255.255 destination-address 172.16.2.1 mask 255.255.255.255 service icmp action permit rule name Untrust_local //此处写剥掉gre封装的策略 source-zone untrust //为什么是到local是因为我们访问(gre封装)的是防火墙的ip destination-zone local //防火墙的全部ip都属于local区域 source-address 202.1.2.1 mask 255.255.255.255 source-address 202.1.3.1 mask 255.255.255.255 destination-address 202.1.1.1 mask 255.255.255.255 service gre action permit rule name Gre_trust //剥掉gre封装之后它属于隧道(tunnel)所属的区域,此处为Gre source-zone Gre //但如果目标不是gre区域的,我们就需要写一个到目标区域的策略 destination-zone trust source-address 172.16.1.1 mask 255.255.255.255 source-address 172.16.2.1 mask 255.255.255.255 destination-address 192.168.1.1 mask 255.255.255.255 service icmp //剥掉了gre协议,我们使用ping来访问目标,所以此处开放的是icmp action permit rule name T_un //此处是规定什么样的流量可以使用nat策略访问100.1.1.1 source-zone Gre source-zone trust destination-zone untrust source-address 172.16.1.1 mask 255.255.255.255 source-address 172.16.2.1 mask 255.255.255.255 source-address 192.168.1.1 mask 255.255.255.255 destination-address 100.1.1.1 mask 255.255.255.255 service icmp action permit
此处仅有FW1的配置
telnet enable //打开telnet功能
aaa //进入aaa视图
manager-user [用户名] //创建管理用户[ ]
password cipher [密码] //它的密码为[ ]
service-type telnet //它的服务类型为telnet
level [权限等级] //权限为[ ]
user-int vty 0 4
authentiction-mode aaa
user privilege [权限等级]
protocol inbound telnet //允许登进的协议为telnet
stelnet enable //打开stelnet功能
ssh user cake
ssh user cake service-type stelnet
ssh user cake authentication-type password //创建ssh用户
aaa //进入aaa视图
manager-user [用户名] //创建管理用户[ ]
password cipher [密码] //它的密码为[ ]
service-type telnet //它的服务类型为telnet
level [权限等级] //权限为[ ]
user-int vty 0 4
authentiction-mode aaa
user privilege [权限等级]
protocol inbound telnet //允许登进的协议为telnet
rsa local....[ 后面全靠问,忘记命令了] //ssh密钥
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。