防火墙功能(锐捷安全篇)
大家好,我是小杜,目前暂时不用出现场了,公司的小伙伴们很多也都“羊”了,目前在家学习,还是学习使我快乐,在家学习的效果也是一样的,因为我有后援(人工),所以在家的学习和公司学习没什么两样。
今天就学习下S、M、X、E、Z系列防火墙的相关功能,介绍。防火墙的型号很多,看下各有什么功能。
一、端口映射
1、介绍
当我们内部网络有一台服务器有部分端口需要对外提供服务时,而且拥有可用的公网IP资源,这个时候就可以用到端口映射。端口映射是NAT的一种(即DNAT),功能是把在公网的地址转翻译转换成私有地址,当外网的用户去访问公网映射出来的端口时,网关设备便会将匹配的相关数据转换成内网地址和服务端口,发给提供服务的设备,达到从公共网络访问内部局域网资源的目的。
相关原理可参考:端口映射原理
2、配置
(1)全新Z系列防火墙端口映射功能配置
目的地址转换
(2)全新(S/M/X系列)防火墙端口映射功能配置
①5.0版本:【服务端口映射】、【一对一IP全映射】、【一对多端口映射 】、【外网多线路端口映射 】、【端口映射不成功——排查介绍 】
②5.4版本:【一对一IP全映射 】、【一对多端口映射】、【外网多线路端口映射】
③6.0版本:【一对一IP全映射 】 、【一对多端口映射】、【外网多线路端口映射 】、【端口映射不成功——点我】
(3)全新模块化E系列防火墙端口映射功能配置
【端口映射】、【多线路端口映射 】
二、安全防护
1、介绍
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果。我们可以在NGFW设备上开启应用层过滤功能(包括:入侵防护、病毒防护、DNS过滤等)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
还有一种防护为DDOS,DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。 NGFW的防SYN Flood攻击采用了syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
2、常用安全防护配置
(1)Z系列防火墙安全防护功能配置
【DDOS功能 】、【入侵防御(IPS)】、【本机防护 】、【病毒防护】
(2)全新(S/M/X系列)防火墙安全防护功能配置
6.0版本:【DDOS功能 】、【 入侵防御(IPS)】、【DNS过滤:静态域名过滤、动态黑域名过滤】、【 病毒防护】
5.4版本:【DDOS功能 】、【入侵防御(IPS)】、【病毒防护】
5.0版本:【DDOS功能 】、【入侵防御(IPS)】、【 病毒防护】
(3)全新模块化E系列防火墙安全防护功能配置
【入侵防御 】、【DDOS】、【病毒防护】
三、VPN功能介绍
1、介绍
VPN(虚拟专用网),在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。目前仅S、M、X、E系列防火墙支持VPN功能,Z系列的VPN功能在不久之后就会和大家见面了,敬请期待哦。
2、配置
(1)全新(S/M/X系列)防火墙VPN功能配置
6.0版本:
①IPsecVPN
点到点VPN:【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】
【ADVPN配置】【锐捷-H3C互连实例】【锐捷-CISCO PIX互连实例】
拨号VPN:【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】
②SSLVPN【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】
③L2TP-PPTP:【L2TP-PPTP】
④L2TP-IPSEC:【L2TP-IPSEC】
⑤GRE:【GRE】
5.4版本
①IPsecVPN
点到点VPN:【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】
【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】
拨号VPN:【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】
②SSLVPN【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】
③L2TP-PPTP:【L2TP-PPTP】
④L2TP-IPSEC:【L2TP-IPSEC】
⑤GRE:【GRE】
5.0版本
①IPsecVPN
点到点VPN:【接口模式】、【 策略模式】、【PKI证书认证】、【子网重叠部署IPsec】
【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】
拨号VPN【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】
②SSLVPN:【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】
③L2TP-PPTP:【L2TP-PPTP】
④L2TP-IPSEC:【L2TP-IPSEC】
⑤GRE:【GRE】、【GRE over IPsec VPN】
四、流控功能介绍
1、介绍
流控(流量控制),针对内网不同使用者进行流量管理,可实现功能有限速、阻断上网。通过规定内网流量使用者的流量,可以避免核心业务或者核心使用人员的用网拥堵,合理的流量规范可以使得网络更加健康,适用性更高。目前S、M、X、E系列防火墙支持流控功能,Z系列的流控功能在不久之后就会和大家见面了,敬请期待哦。
2、配置
全新(S/M/X系列)防火墙流控功能配置
6.0版本:【 ①基于IP的流量控制】、【②基于应用的流量控制】
5.4版本:【 ①基于IP的流量控制】、【②基于应用的流量控制】
5.0版本:【流量限速】
五、HA高可用性功能介绍
1、介绍
HA高可用技术,从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行状态。整个失效保护到过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备到接口或链路出现故障,集群内会更新链路状态数据库,重新选举新的主设备。目前仅S、M、X、E系列防火墙支持HA功能,Z系列的HA功能在不久之后就会和大家见面了,敬请期待哦。
2、配置
(1)全新(S/M/X系列)防火墙
6.0版本:【 HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA环境下的链路健康检查】、【 HA集群带外管理】、【HA配置命令集】、【虚拟集群场景】、【HA单机配置同步、会话同步配置】
5.4版本:【HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】
5.0版本:【HA工作模式和配置要求】、【HA选取主设备方】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】
(2)全新模块化防火墙配置HA功能
【HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【 HA单机配置同步配置】、【HA的IP探测功能配置】、【HA集群带外管理】、【HA配置命令集】
六、虚拟防火墙功能介绍(VDOM)
1、介绍
虚拟防火墙,是一种将一个RG-WALL设备分为两个或两个以上虚拟防火墙设备的技术,它能起到多个设备独立的作用,如全新防火墙VDOM功能,混合模式(vdom):指设备同时工作于是路由模式和透明模式,将一个设备分成两个vdom域,一个vdom是透明模式,一个vdom是路由模式,将多个接口划入不同的vdom实现混合模式。目前仅S、M、X、E系列防火墙支持虚拟防火墙功能,Z系列的虚拟防火墙功能在不久之后就会和大家见面了,敬请期待哦。
2、配置
(1)全新防火墙(S/M/X)配置
6.0版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】
5.4版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】
5.0版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】
(2)全新模块化防火墙E系列虚拟防火墙功能配置
【虚系统如何配置】、【虚系统混合模式】
哇哦,防火墙原因有这么多的功能点可以使用,学习使我强大,加油,进击的少年!今天就分享到这了哈。