华为防火墙的学习

        防火墙 - 含义和定义

什么是防火墙?

防火墙的工作原理

防火墙的区域:

包过滤防火墙----访问控制列表技术---三层技术

代理防火墙----中间人技术---应用层

状态防火墙---会话追踪技术---三层、四层

UTM---深度包检查技术----应用层

下一代防火墙

防火墙的区域

实验拓扑

 1.划分IP地址

2.通过web登录防火墙配置

配置untrust区域

1路由器配置ip,然后进行ping测试。注意ping时打开防火墙ping服务

 配置trust区域

记得配置回包路由

PC ping测试

 配置DMZ区域聚合配置

 第二台交换机接口聚合配置

防火墙配置

 测试dmz区域的pc测试

 区域间的配置

1.内网到达外网

2.内网到DMZ配置

3.untrust到DMZ


防火墙 - 含义和定义

防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。

此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。

什么是防火墙?

防火墙可以被视为门控边界或网关,用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念,即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理,通常旨在减缓 Web 威胁的传播。

防火墙创建“阻塞点”来限制输送 Web 流量,然后根据一组编程参数对这些流量进行审查并据此采取相应的行动。有些防火墙还在审计日志中跟踪流量和连接,以便用户了解被允许或被阻止的内容。

防火墙通常用于在专用网络或其主机设备的边界设置门控。因此,防火墙属于更广泛的用户访问控制类的一种安全工具。这些屏障通常设置在两个位置上——网络上的专用计算机(即用户计算机)和其他端点本身(主机)。

防火墙的工作原理

防火墙会判定允许哪些网络流量通过以及哪些流量存在危险。从本质上看,其工作原理是过滤掉异常或不受信任的流量,允许正常或受信任的流量通过。但是在我们深入探讨之前,先了解一下基于 Web 的网络结构。

防火墙旨在保护专用网络和其中的端点设备,称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们负责内部网络之间的数据收发,以及数据在外部网络之间的出站和进站。

计算机和其他端点设备使用网络来访问互联网和相互访问。然而出于安全和隐私的考虑,互联网被分割成子网。基本子网段如下:

  1. 外部公共网络通常是指公共/全球互联网或各种外部网。
  2. 内部专用网络定义为家庭网络、公司内部网和其他“封闭”网络。
  3. 边界网络堡垒主机组成,堡垒主机是安全性经过强化的计算机主机,可以有效抵御外部攻击。作为内部网络和外部网络之间的安全缓冲区,边界网络也可用于容纳内部网络提供的任何面向外部的服务(即用于 Web、邮件、FTP、VoIP 等的服务器)。这些边界网络的安全性高于外部网络,但不及内部网络。它们不只是用于家庭网络等较简单网络,也可能经常用于组织或国家内部网。

屏蔽路由器是放置在网络上以对其进行分段的专用网关计算机。它们被称为网络级别防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙:

  • 屏蔽主机防火墙在外部网络和内部网络之间使用单个屏蔽路由器。这些网络是该模型的两个子网。
  • 屏蔽子网防火墙使用两个屏蔽路由器——一个称为外部网络和边界网络之间的接入路由器,另一个称为边界网络和内部网络之间的阻塞路由器。这会分别创建出三个子网。

网络边界和主机本身都可以容纳防火墙。为此,防火墙被置于单台计算机及其与专用网络的连接之间。

  • 网络防火墙涉及在外部网络和内部专用网络之间应用一个或多个防火墙。这些防火墙会调节进站和出站网络流量,将外部公共网络(如全球互联网)与内部网络(如家庭 Wi-Fi 网络、企业内部网或国家内部网)分隔开。网络防火墙可能是下列任何类型的设备形式:专用硬件、软件和虚拟设备。
  • 主机防火墙(即“软件防火墙”)涉及在单个用户设备和其他专用网络端点上使用防火墙作为网络内设备之间的屏障。这些设备/主机会接收进出特定计算机应用的自定义调节流量。主机防火墙可以作为操作系统服务或端点安全应用在本地设备上运行。主机防火墙还可以更深入地分析 Web 流量,基于 HTTP 和其他网络协议进行过滤,对到达机器的内容进行管理,而不仅仅是监控这些流量来自哪里。

网络防火墙需要针对广泛的连接进行配置,而主机防火墙可以根据每台机器的需要进行定制。然而,主机防火墙需要进行更多的自定义操作,这意味着基于网络的防火墙是全面控制解决方案的理想之选。但同时在两个位置使用两个防火墙对于构建多层安全系统来说是理想之选。

通过防火墙过滤流量的方法利用预先设置或动态学习的规则来允许和拒绝尝试建立的连接。这些规则定义了防火墙如何调节通过专用网络和专用计算机设备的 Web 流量。任何类型的防火墙都可以通过下列各项的组合进行过滤:

  • 源:尝试建立的连接来自哪里。
  • 目标:尝试建立的连接到哪里。
  • 内容:尝试建立的连接想要发送的内容。
  • 数据包协议:尝试建立的连接正在使用什么“语言”来传输消息。在主机用来相互“对话”的网络协议中,TCP/IP 协议主要用于在互联网中以及内部网/子网络内进行通信。
  • 应用协议:常用协议包括 HTTP、Telnet、FTP、DNS 和 SSH。

源和目标通过互联网协议 (IP) 地址和端口进行通信。IP 地址about:blank是每个主机的唯一设备名称。端口是任何给定源和目标主机设备的子级,类似于较大建筑内的办公室。端口通常被指定特定用途,因此可以注意使用不常见端口或禁用端口的某些协议和 IP 地址。

通过使用这些标识符,防火墙可以决定是丢弃尝试连接的数据包(静默丢弃或者将错误返回给发送者)还是进行转发。

路由交换终归结底是连通性设备。
网络在远古时期没有防火墙大家都是联通的, any to any
防御对象:
授权用户
非授权用户
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。

防火墙的区域:

区域的划分,根据安全等级来划分

包过滤防火墙----访问控制列表技术---三层技术

简单、速度快
检查的颗粒度粗

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
代理技术只能针对特定的应用来实现,应用间不能通用。
技术复杂,速度慢
能防御应用层威胁,内容威胁

状态防火墙---会话追踪技术---三层、四层

在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
首包机制
细颗粒度
速度快
华为防火墙的学习_第1张图片

UTM---深度包检查技术----应用层

把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
把原来分散的设备进行统一管理,有利于节约资金和学习成本
统一有利于各设备之间协作。
设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
华为防火墙的学习_第2张图片

下一代防火墙

2008 Palo Alto Networks 公司发布了下一代防火墙( Next-Generation Firewall ),解决了多个功能
同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。 2009
Gartner (一家 IT 咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。
Gartner NGFW 看做不同信任级别的网络之间的一个线速( wire-speed )实时防护设备,能够对流量
执行深度检测,并阻断攻击。 Gartner 认为, NGFW 必须具备以下能力:
1. 传统防火墙的功能
NGFW 是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
态检测、 NAT VPN 等。
2. IPS 与防火墙的深度集成 NGFW 要支持 IPS 功能,且实现与防火墙功能的深度融合,实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防
火墙的 集成 而不仅仅是 联动 。例如,防火墙应根据 IPS 检测到的恶意流量自动更新下发安全策略,而
不需要管理员的介入。换言之,集成 IPS 的防火墙将更加智能。 Gartner 发现, NGFW 产品和独立 IPS 产品
的市场正在融合,尤其是在企业边界的部署场景下, NGFW 正在吸收独立 IPS 产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是 NGFW
进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。 NGFW 能对
七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他 IT 系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全
策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下, IP 地址变化
带来的管控难题。
华为防火墙的学习_第3张图片

 

 华为防火墙的学习_第4张图片

防火墙的区域

 华为防火墙的学习_第5张图片

实验拓扑

 华为防火墙的学习_第6张图片

 1.划分IP地址

2.通过web登录防火墙配置

 华为防火墙的学习_第7张图片

配置untrust区域

1路由器配置ip,然后进行ping测试。注意ping时打开防火墙ping服务

华为防火墙的学习_第8张图片

 配置trust区域

(换分vlan,分别将接口换分vlan2 vlan3,配置ip)

华为防火墙的学习_第9张图片

记得配置回包路由

PC ping测试

华为防火墙的学习_第10张图片

 

 配置DMZ区域聚合配置

华为防火墙的学习_第11张图片

 第二台交换机接口聚合配置

华为防火墙的学习_第12张图片

华为防火墙的学习_第13张图片 

防火墙配置

华为防火墙的学习_第14张图片 

华为防火墙的学习_第15张图片 

 

 测试dmz区域的pc测试

华为防火墙的学习_第16张图片

 华为防火墙的学习_第17张图片

 区域间的配置

1.内网到达外网

策略

华为防火墙的学习_第18张图片

 路由

华为防火墙的学习_第19张图片

华为防火墙的学习_第20张图片

测试

华为防火墙的学习_第21张图片

2.内网到DMZ配置

策略

华为防火墙的学习_第22张图片

 

测试

华为防火墙的学习_第23张图片

3.untrust到DMZ

策略

华为防火墙的学习_第24张图片

 测试

华为防火墙的学习_第25张图片

 华为防火墙的学习_第26张图片

 测试成功

你可能感兴趣的:(网络防御,华为,学习)