安全防御第一天作业

一、结合以下问题对当天内容进行总结 1. 什么是防火墙？ 2. 状态防火墙工作原理？ 二、复现上课俩个演示实验

1.什么是防火墙？

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护网络有害流量或数据包）的设备

隔离不同的安全区域  

防火墙允许授权的数据通过，而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统，允许人们在内部网和开放的Internet之间通信。

2.状态防火墙的工作原理

在包过滤（ ACL 表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。

会话表可以用 hash 来处理形成定长值，使用 CAM 芯片处理，达到交换机的处理速度。

防火墙的接口及模式设置

1.图像化配置

2.接口模式配置

3.接口对

 

 

 

 

 

 

 

 

untrust区域

G1/0/0 安全区域untrust 取消启用访问管理 配置IP地址

 

 AR1

 静态路由

 trust区域

LSW1

Huawei]vlan 2
[Huawei-vlan2]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]q
[Huawei]int vlan 2
[Huawei-Vlanif2]ip add 10.1.255.1 24
[Huawei-Vlanif2]q
[Huawei]vlan 3
[Huawei-vlan3]q
[Huawei]int vlan 3
[Huawei-Vlanif3]ip add 10.1.3.1 24
[Huawei-Vlanif3]int g0/0/2	
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default vlan 3

 

添加回包路由 

 

ping测试 

 

 DMZ区域

23口做聚合

 

 LSW2

[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]trunkport g0/0/1
[DMZ-Eth-Trunk1]trunkport g0/0/2
[DMZ-Eth-Trunk1]q
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]port link-type trunk 
[DMZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[DMZ-Eth-Trunk1]q
[DMZ]int g0/0/4
[DMZ-GigabitEthernet0/0/4]port link-type access 
[DMZ-GigabitEthernet0/0/4]port default vlan 10

[DMZ]vlan 11
[DMZ-vlan11]vlan 10
[DMZ-vlan10]q
[DMZ] int g0/0/3
[DMZ-GigabitEthernet0/0/3]port link-type access 
[DMZ-GigabitEthernet0/0/3]port default vlan 11

 g1/0/4 g1/0/5成接口对

 

 

实验一

安全策略

内网访问外网

  

[SW1]ip route-static 0.0.0.0 0 10.1.255.2

 trust到DMZ

 

 

 untust访问DMZ

 

 ping测试

 实验二

 三层

 

 

二层

 

 

 

 接口对