您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

防火墙基础与配置

时间:2021-02-07 12:12:44  来源:  作者:

1、防火墙的产品USG 5000 6000 9000 分别是低端、中端、高端产品。

2、四个区域:(local100、trust85、untrust5、DMZ50)

3、安全策略:高安全等级区域到低安全等级区域是outbound,反之inbound,但是在配置安全策略方向时候,dmz不能访问UNtrust、UNtrust不能访问trust

防火墙基础与配置

trust-untrust

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage ping permit        //在接口下开启ping功能
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1    //接口加入相应的区域
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
security-policy              //安全策略
 rule name policy_sec_1  //名称
  source-zone trust          //源区域
  destination-zone untrust  //目的区域
  source-address 10.1.1.0 24 //源地址
  action permit  
防火墙基础与配置

测试


防火墙基础与配置

session表

USG6000密码是Admin@123service-manage ping permit //防火墙接口下开启ping,使用默认的trust区域下接口ping失败,所以使用了g1/0/1 g1/0/2作为新成员加入了区域中,防火墙是执行默认的缺省策略的,即所有都拒绝,所以需要安全策略来指定流量通过

在上述实验中只是配置了一条安全策略,为什么可以实现终端ping通server呢?

因为在创建了安全策略后呢,终端发来请求的数据包,防火墙收到后呢,创建session表,里面有五元组,即源IP地址源端口号、目的IP地址,目的端口号、协议,回报到了防火墙后,会查看session表,即可通过。但是session表有老化时间,不同的协议,老化时间是不一样的,能承载会话表的容量也是防火墙的性能之一

传统UTM检查分步骤检查:入侵检测、反病毒、URL过滤;下一代防火墙:一体化检测,检查的速度加快,即进行一次检查和处理即可完成所有的安全功能;NGFW安全策略构成:条件、动作、配置文件;配置逻辑,按顺序匹配

多通道协议:比如ftpserver 有两个端口21 20 如果需要分别与客户端进行连接,就需要多通道了,当遇到使用随机端口协商的协议时,单纯的包过滤方法无法进行数据流的定义;多通道协议,以ftp-server为例,21是控制端口,建了TCP连接后呢,传输数据是20号端口,这时客户端会发送一个port command报文,告知server使用20端口传输数据,会在防火墙上创建一个server-map表,当服务器端建立连接到客户端,防火墙收到回来的信息,会创建session表关于20号端口,之前配置了安全策略创建了关于21端口的session表, ASPF相当于动态的安全策略,自动获取相关信息并创建相应的会话表项,保证这些应用的正常通信,这个叫做ASPF,所创建的会话表项叫做server-map(外网UNtrust访问dmz区域)

源nat的两种转换方式:nat no-pat ,只转换IP地址,不转换端口,一对一,比较浪费公网地址,不常用

1、安全区域的配置 2、安全策略的配置 3、缺省路由,是路由顺利达到Internet 4、路由黑洞公网地址组的下一条为null0;5、公网的静态路由(不需要考虑)

napt,同时对IP地址和端口进行转换,比较节约公网地址。

1、安全区域 2、安全策略 3、公网地址池 4、nat策略 5、缺省路由 6、黑洞路由

防火墙基础与配置

napt

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
//防止路由黑洞,因为配置了默认路由,所以当有回包时目的地址的下一跳又回到了1.1.1.254
//所以需要配置这两个公网地址的下一跳为 null0
nat address-group address-group1 0
 mode pat
 section 0 1.1.1.10 1.1.1.11
//策略、策略名、区域、IP地址、应用
security-policy
 rule name policy_sec_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action permit
//策略、策略名、区域、IP地址、应用
nat-policy    //nat 策略
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action nat address-group address-group1
#
防火墙基础与配置

测试


防火墙基础与配置

session表

nat server (外部网络访问内部的dmz区域的server)

1、安全区域 2、安全策略 3、配置server映射 4、配置默认路由 5、配置黑洞路由

防火墙基础与配置

nat-server

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.2.0.1 255.255.255.0
 service-manage ping permit
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
#
security-policy
 rule name policy_sec_1
  source-zone untrust
  destination-zone dmz
  destination-address 10.2.0.0 24
  action permit
#
nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
ww no-reverse
//配置no-reverse是单向的,如果没有配置默认是双向的
防火墙基础与配置

server-map


防火墙基础与配置

测试


防火墙基础与配置

server访问后生成的session表

//配置了nat server的命令后会自动生成server-map表项,然后等到server对客户端进行反馈后
//首先查找server-map表项然后将报文的目的地址和端口转换为10.2.0.7 8080,据此判断报文流动方向
//通过域间安全策略检查后呢,建立session会话表,将报文转发到私网


Tags:防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Tags: 防火墙  点击:(30)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Tags: 防火墙  点击:(38)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  Tags: 防火墙  点击:(52)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  Tags: 防火墙  点击:(56)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  Tags: 防火墙  点击:(109)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  Tags: 防火墙  点击:(225)  评论:(0)  加入收藏
防火墙是网络和万维网之间的关系,位于网络的入口和出口。它评估网络流量,只允许某些流量进出。防火墙分析网络数据包头,包括关于进出网络流量的信息。然后,根据防火墙配置的策略...【详细内容】
2021-06-22  Tags: 防火墙  点击:(101)  评论:(0)  加入收藏
Windows防火墙是Windows操作系统的组成部分,它管理流经计算机网络端口的流量,以确保未被注意的数据包不会进入计算机并确保其安全。它还负责打开和关闭或侦听网络端口。Window...【详细内容】
2021-04-30  Tags: 防火墙  点击:(215)  评论:(0)  加入收藏
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  Tags: 防火墙  点击:(246)  评论:(0)  加入收藏
为什么要关闭防火墙防火墙对电脑的安全起着重要的保护作用,为什么这一节小课堂会教你如何关闭防火墙呢?因为防火墙在电脑与其他电脑通信的时候会起到保护作用,但是在我们进行一...【详细内容】
2021-03-19  Tags: 防火墙  点击:(199)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条