防御第二天-防火墙演示实验

1.上课思维导图

防御第二天-防火墙演示实验_第1张图片

2.防火墙演示实验

防御第二天-防火墙演示实验_第2张图片

防火墙FW1:原用户名:admin      原密码:Admin@123 

防御第二天-防火墙演示实验_第3张图片

 配地址:sy

[USG6000V1]int g0/0/0

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.18.2 24

打开所有权限[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

配路由地址防御第二天-防火墙演示实验_第4张图片

 在浏览器进行打开192.168.18.2(我这里配的为192.168.18.2)

防御第二天-防火墙演示实验_第5张图片

 配置接口1/0/0以及1/0/1接口

防御第二天-防火墙演示实验_第6张图片

 自定义区域:安全区域-新建-名称

防御第二天-防火墙演示实验_第7张图片

 配置1/0/0以及1/01示例:防御第二天-防火墙演示实验_第8张图片

 路由:防御第二天-防火墙演示实验_第9张图片

做策略{PC1到PC2}

防御第二天-防火墙演示实验_第10张图片 查看互通性 

 3.问题回答

(1)什么是防火墙

防火墙 指的是一个由软件和硬件设备组合而成、在 内部网 和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它的本质就是控制和防护

(2)状态防火墙工作原理

数据包过滤:状态防火墙通过检查传入和传出网络数据包的源地址、目标地址、端口号和协议等信息,根据预先设定的策略来确定是否允许数据包通过。这个过程被称为数据包过滤,可以阻止不符合规定的数据包进入或离开网络。

状态跟踪:状态防火墙会跟踪网络连接的状态以及与之相关的数据包。当一个数据包通过防火墙时,它会被检查并建立一个相关的状态记录。随后的数据包会受到这个状态记录的约束,只有符合该连接状态的数据包才会被允许通过。

访问控制:状态防火墙允许管理员定义不同的访问策略,以确保网络只允许特定的数据包通过。管理员可以根据需要设置允许或禁止特定的IP地址、端口号、协议或应用程序等进行通信。

NAT(网络地址转换):某些状态防火墙还提供NAT功能,可以将私有网络内部的IP地址转换成公共IP地址,从而隐藏内部网络的结构和具体IP信息,提高网络安全性。

(3)防火墙如何处理双通道协议

双通道协议在网络通信中使用两个独立的通道进行传输,常见的双通道协议有FTP、SMTP、DNS等。防火墙在处理双通道协议时需要考虑以下几个方面:

状态跟踪:防火墙需要跟踪双通道协议的状态,包括建立连接、传输数据和关闭连接等过程。通过状态跟踪,防火墙可以知道哪些数据包是属于同一个连接的,并可根据事先定义的策略决定是否允许通过。

动态端口管理:双通道协议通常使用动态端口进行通信,其中一个通道使用固定的端口进行监听,而另一个通道则使用动态分配的端口。防火墙需要在安全策略中允许动态端口的临时开放,以确保双通道协议的正常通信。

协议解析:防火墙需要能够解析双通道协议的数据包,以获取协议特定的信息并执行相应的安全检查。例如,对于FTP协议,防火墙可能会检查文件传输命令以及相关的数据传输请求。对于SMTP协议,防火墙可能会检查邮件的发送和接收。

应用层代理:在某些情况下,防火墙可能需要充当应用层代理,对双通道协议进行深度分析和过滤。应用层代理可以检查协议中的各种参数和内容,并对其进行相应的处理和过滤,以保护网络安全。

你可能感兴趣的:(网络,服务器,linux)