华为HCNA-Security(防火墙)视频教程(笔记)
华为HCNA-Security(防火墙)视频教程(笔记)
dis zone; 显示安全区域
inbound---从低到高
outbound---从高到低
5防火墙设备管理
6防火墙基本配置
系统视图 3A
创建新区域方法:
firewall zone name test;创建
quit
firewall zone test ;进入相关区域
set priority 77 ;设置优先级
三层接口加入zone:
vlan 2
int vlanif2
firewall zone test
add int vlanif2
7状态检测防火墙原理
包过滤防火墙缺点:每条匹配,性能低下,过虑不灵活
状态检测防火墙(只检查首包):只检查包头(第一次握手),只要第一次出方向出去了,回来时会话表匹配,能正常通过,不做过滤;
安全策略分类:域间,域内
七原组:源IP,源端口,目的IP,目的端口,协议, 用户,应用(下一代防火墙)
查看会话表内容:dis firewall session table + verbose (详细)
8防火墙安全策略的基本使用
4代:UTM
5代:下一代防火墙
dis policy all ;显示所有策略
dis policy interzone trust outside outbound ; 显示某区域策略
policy interzone trust outside outbound ;进入相关“出”区域
设置简单内外网规则:
policy 1
policy source 192.168.0.0 mask 255.255.255.0 ;定义源
policy destination any ;定义目的
action permit ;定义“通过”
packet-filter default deny interzone trust outside;定义缺省区域的通行状况
PS:接口加入相关区域后,同一区域PC直接Ping不通“加入的接口”解决办法:
1. service-manage telnet permit
2. firewall packet-filter default permit interzone local outside direction inb
ound ;直连outside接口
telnet 192.168.1.150
display firewall session table ;显示会话表
设置外网到内网ping规则:
policy 1
policy source 192.168.1.150 0 ;定义源 0代表1台主机
policy destination 192.168.0.150 0 ;同上
action permit ;定义“通过”
11.NAT技术简介及源NAT基本配置
基于源IP的NAT:
1.设置安全策略:内网可以访问外网;
2.nat address-group 0 nat-add-1 1.1.1.100 1.1.1.120 ;定义外网地址池
3.nat-policy interzone trust untrust outbound;进入相关域
policy 1
action source-nat ;做基于源NAT
policy source 10.1.1.0 mask 255.255.255.0 ;源地址范围
address-group nat-add-1 ;目的地址池
4.telnet 会话后,目的路由上dis user:可以看到访问地址为已转换后的IP
最后结果:
telnet VPN:public –> public 10.1.1.1:49630[1.1.1.111:2050]–>1.1.1.2:23
基于Easy IP 方式:
上面: undo address-group
easy-ip gi0/0/1 ;目的接口
13no pat及nat server
dis cur | include ; 查看包含相关
dis ip int brief ;查看所有接口IP地址
no pat :
nat address-group 0 nat-add-1 1.1.1.3 1.1.1.3
进入相关区域
policy 1
action source-nat
address-group 0 no-pat
结果:
telnet VPN:public –> public 10.1.1.1:50767[1.1.1.3:50767]–>1.1.1.2:23
dis firewall server-map ;查看server-map
nat server
nat server global 1.1.1.200 inside 10.1.1.101 ;200不是接口地址
nat server 1 protocol tcp global 1.1.1.200 80 inside 10.1.1.101 80 ;端口映射