【HCIP】18.防火墙

区域隔离,以防火墙的接口为中心定义区域,在防火墙中不同区域互访使用策略来进行控制

NGFW,下一代防火墙,除了是否对他通过进行判断,也可以对安全进行判断(例如是否是病毒,DDOS攻击),有了模块还需要买授权才可以使用,既能保证流量的通过,也要保证不安全的流量不能通过

【HCIP】18.防火墙_第1张图片

防火墙的区域可以自己定义,与广播域、VLAN这类区域没有任何关系

安全诉求:外部网络安全隔离,内部网络安全管控,内容安全过滤,入侵防御,防病毒

为什么病毒越来越少了?因为360开始免费,之前的病毒一般是杀毒软件公司制作的,然后自己的杀毒软件可以杀掉,因此来赚取利益

普通电脑入侵的价值:灰产,家用电脑可以抓肉鸡,首先往电脑里装某个公司的软件,赚取公司的利益,或者卖给DDOS攻击的用户

防火墙根据设备形态分为:框式防火墙,盒式防火墙,软件防火墙,云计算防火墙(防火墙过少,使用软件防火墙,设备先将流量甩给防火墙,防火墙过滤后再给主机)

路由器的功能:IP编制寻址、异类网络的连接,路由表通过计算生成的,需要用到CPU

交换机:实现快速转发,三层交换机也是一次路由,多次转发,需要用到转发芯片

防火墙:NAT,可以流量控制和安全防护,区分和隔离不同的区域,多了一个SPU(安全的服务单元)

【HCIP】18.防火墙_第2张图片

防火墙的发展历程

【HCIP】18.防火墙_第3张图片

最早基于访问控制:ACL,每过来一个包就需要查一下

基于状态监测:基于五元组,看一下第一个包五元组,后面的包就不用监测

基于ASIC:提高了芯片转发

UTM统一威胁管理:来了数据包,一个模块一个模块的检测

多核+分布式架构:可以做集群

NGFW:下一代防火墙,把包拆掉过完所有模块检测功能,然后再合,一次解封,多次检查

AI防火墙:之前的防火墙是基于特征库进行检查,AI防火墙是AI检查(例如正常情况下是点击进入的网页,而黑客是直接输入了URL进入的网页)

防火墙的分类

包过滤防火墙:基于五元组对每个数据表进行检测(源地址,目的地址,端口号,协议,动作)

状态检测防火墙:考虑报文前后的关联性

AI防火墙:探针,把攻击报文交给CIS系统,也有蜜罐诱补系统,也有专门的沙箱负责运行不确定的程序,策略也不需要人为配置,CIS系统会自动下发

【HCIP】18.防火墙_第4张图片

区域定义

防火墙默认有四个区域:Trust(信任区域)、untrust(非信任区)、DMZ(军事停火区域)、Local(本地区域)

防火墙的接口能够正常工作,接口必须要配置区域,任何情况下防火墙不配置区域是无法工作的

防火墙的所有接口永远属于Local区域

一个接口配置了DMZ区域,指的是这个接口连接了DMZ区域

安全区域,简称为Zone,防火墙大部分的安全策略都基于安全区域实施

【HCIP】18.防火墙_第5张图片

对于Cisco的设备,流量从高优先级区域往低优先级区域走是不需要策略,直接放行。

对于Huawei设备,流量从任何区域到任何区域都需要策略

安全策略,是控制防火墙流量转发以及对流量进行内容安全一体化检测的策略

会话表的产生

会话表是有老化时间的,修改老化时间非常长的话称为长连接

ASPF,应用层包过滤功能,放行策略的时候,可以判断出是一个FTP协议,会触发ASPF的功能,会去读ABCDEF的信息,读完之后,就可以知道要开哪个随机端口要和对方的哪个端口进行连接,这个时候会生成一个Server-map的表项,设备会根据这个表项直接生成会话

1.登录
username:admin
password:Admin@123
连线的时候不能连接防火墙的G0/0/0口,这个口用于管理防火墙

2.区域添加接口
firewall zone trust	进入到trust区域
add interface g1/0/0 将g1/0/0添加到区域

3.新建区域
firewall zone name dalong  新建一个dalong的区域
set priority 25    给区域配置优先级
add interface g1/0/1    添加接口,策略表的最后一条是拒绝所有

4.配置策略
security-policy			配置策略,使用五元组定义
rule name t2dalong 
source-zone trust
destination-zone dalong
source-address 1.1.1.100 32
destination-zone 2.2.2.100 32
service icmp 
access-autication permit  放行

5.会话列表
发出去的报文做记录,回来的话也放行
dis firewall session table
dis firewall server-map

6.web界面
int g0/0/0
ip add 1.1.1.1 32
service-manage all

你可能感兴趣的:(HCIE,网络工程师)