防火墙功能(锐捷安全篇)

        大家好,我是小杜,目前暂时不用出现场了,公司的小伙伴们很多也都“羊”了,目前在家学习,还是学习使我快乐,在家学习的效果也是一样的,因为我有后援(人工),所以在家的学习和公司学习没什么两样。

        今天就学习下S、M、X、E、Z系列防火墙的相关功能,介绍。防火墙的型号很多,看下各有什么功能。

一、端口映射

1、介绍

当我们内部网络有一台服务器有部分端口需要对外提供服务时,而且拥有可用的公网IP资源,这个时候就可以用到端口映射。端口映射是NAT的一种(即DNAT),功能是把在公网的地址转翻译转换成私有地址,当外网的用户去访问公网映射出来的端口时,网关设备便会将匹配的相关数据转换成内网地址和服务端口,发给提供服务的设备,达到从公共网络访问内部局域网资源的目的。

相关原理可参考:端口映射原理

2、配置

(1)全新Z系列防火墙端口映射功能配置

目的地址转换

(2)全新(S/M/X系列)防火墙端口映射功能配置

①5.0版本:【服务端口映射】、【一对一IP全映射】、【一对多端口映射 】、【外网多线路端口映射 】、【端口映射不成功——排查介绍 】

②5.4版本:【一对一IP全映射 】、【一对多端口映射】、【外网多线路端口映射】

③6.0版本:【一对一IP全映射 】 、【一对多端口映射】、【外网多线路端口映射 】、【端口映射不成功——点我】

(3)全新模块化E系列防火墙端口映射功能配置

【端口映射】、【多线路端口映射 】

二、安全防护

1、介绍

随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果。我们可以在NGFW设备上开启应用层过滤功能(包括:入侵防护、病毒防护、DNS过滤等)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。

还有一种防护为DDOS,DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。 NGFW的防SYN Flood攻击采用了syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。

2、常用安全防护配置

(1)Z系列防火墙安全防护功能配置

【DDOS功能 】、【入侵防御(IPS)】、【本机防护 】、【病毒防护】

(2)全新(S/M/X系列)防火墙安全防护功能配置

6.0版本:【DDOS功能 】、【 入侵防御(IPS)】、【DNS过滤:静态域名过滤、动态黑域名过滤】、【 病毒防护】

5.4版本:【DDOS功能 】、【入侵防御(IPS)】、【病毒防护】

5.0版本:【DDOS功能 】、【入侵防御(IPS)】、【 病毒防护】

(3)全新模块化E系列防火墙安全防护功能配置

【入侵防御 】、【DDOS】、【病毒防护】

三、VPN功能介绍

1、介绍

VPN(虚拟专用网),在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。目前仅S、M、X、E系列防火墙支持VPN功能,Z系列的VPN功能在不久之后就会和大家见面了,敬请期待哦。

2、配置

(1)全新(S/M/X系列)防火墙VPN功能配置

6.0版本:

①IPsecVPN

点到点VPN:【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】

【ADVPN配置】【锐捷-H3C互连实例】【锐捷-CISCO PIX互连实例】

拨号VPN:【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】

②SSLVPN【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】

③L2TP-PPTP:【L2TP-PPTP】

④L2TP-IPSEC:【L2TP-IPSEC】

⑤GRE:【GRE】

5.4版本

①IPsecVPN

点到点VPN:【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】

【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】

拨号VPN:【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】

②SSLVPN【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】

③L2TP-PPTP:【L2TP-PPTP】

④L2TP-IPSEC:【L2TP-IPSEC】

⑤GRE:【GRE】

5.0版本

①IPsecVPN

点到点VPN:【接口模式】、【 策略模式】、【PKI证书认证】、【子网重叠部署IPsec】

【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】

拨号VPN【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】

②SSLVPN:【ssl-client模式】、【ssl代理模式】、【高校图书馆ssl配置案例】

③L2TP-PPTP:【L2TP-PPTP】

④L2TP-IPSEC:【L2TP-IPSEC】

⑤GRE:【GRE】、【GRE over IPsec VPN】

四、流控功能介绍

1、介绍

流控(流量控制),针对内网不同使用者进行流量管理,可实现功能有限速、阻断上网。通过规定内网流量使用者的流量,可以避免核心业务或者核心使用人员的用网拥堵,合理的流量规范可以使得网络更加健康,适用性更高。目前S、M、X、E系列防火墙支持流控功能,Z系列的流控功能在不久之后就会和大家见面了,敬请期待哦。

2、配置

全新(S/M/X系列)防火墙流控功能配置

6.0版本:【 ①基于IP的流量控制】、【②基于应用的流量控制】

5.4版本:【 ①基于IP的流量控制】、【②基于应用的流量控制】

5.0版本:【流量限速】

五、HA高可用性功能介绍

1、介绍

HA高可用技术,从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行状态。整个失效保护到过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备到接口或链路出现故障,集群内会更新链路状态数据库,重新选举新的主设备。目前仅S、M、X、E系列防火墙支持HA功能,Z系列的HA功能在不久之后就会和大家见面了,敬请期待哦。

2、配置

(1)全新(S/M/X系列)防火墙

6.0版本:【 HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA环境下的链路健康检查】、【 HA集群带外管理】、【HA配置命令集】、【虚拟集群场景】、【HA单机配置同步、会话同步配置】

5.4版本:【HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】

5.0版本:【HA工作模式和配置要求】、【HA选取主设备方】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】

(2)全新模块化防火墙配置HA功能

HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【 HA单机配置同步配置】、【HA的IP探测功能配置】、【HA集群带外管理】、【HA配置命令集】

六、虚拟防火墙功能介绍(VDOM)

1、介绍

虚拟防火墙,是一种将一个RG-WALL设备分为两个或两个以上虚拟防火墙设备的技术,它能起到多个设备独立的作用,如全新防火墙VDOM功能,混合模式(vdom):指设备同时工作于是路由模式和透明模式,将一个设备分成两个vdom域,一个vdom是透明模式,一个vdom是路由模式,将多个接口划入不同的vdom实现混合模式。目前仅S、M、X、E系列防火墙支持虚拟防火墙功能,Z系列的虚拟防火墙功能在不久之后就会和大家见面了,敬请期待哦。

2、配置

(1)全新防火墙(S/M/X)配置

6.0版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】

5.4版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】

5.0版本:【开启VDOM(混合模式部署)】、【混合模式VDOM】、【VDOM-link】

(2)全新模块化防火墙E系列虚拟防火墙功能配置

虚系统如何配置】、【虚系统混合模式】

哇哦,防火墙原因有这么多的功能点可以使用,学习使我强大,加油,进击的少年!今天就分享到这了哈。

你可能感兴趣的:(服务器,网络,运维,网络协议,安全)