【ensp】防⽕墙概述与命令总结防⽕墙概述与命令总结
0713 防⽕墙的基本概述:
防⽕墙分为:
框式防⽕墙
盒式防⽕墙
软件防⽕墙(公有云、私有云)
我们⽬前学习的是状态检测防⽕墙:
通过检查⾸包的五元组,来保证出⼊数据包的安全
隔离不同的⽹络区域
通常⽤于两个⽹络之间,有选择性针对性的隔离流量
阻断外⽹主动访问内⽹,但回包不算主动访问
安全区域(security zone):被简称为区域(zone),是防⽕墙的重要概念,缺省时有4个区域:
1. local:本地区域,所有IP都属于这个区域
2. trust:受信任的区域
3. DMZ:是介于管制和不管制区域之间的区域,⼀般放置服务器
4. untrust:⼀般连接Internet和不属于内⽹的部分
ps:每个接⼝都需要加⼊安全区域,不然防⽕墙会显⽰接⼝未激活,⽆法⼯作
firewall zone [区域名]//进⼊安全区域
add interface GigabitEthernet [接⼝号]//添加接⼝到此区域
display zone //查看区域划分情况
安全策略:
与ACL类似,动作只有两种:permit和deny
每⼀个想要通过防⽕墙的数据包都需要被安全策略检查,如果不写安全策略,ping都经过不了防⽕墙如何去写安全策略:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址][掩码]//此条可以略
destination-zone [区域名]
destination-address [源地址][掩码]//此条可以略
service [协议名]//需要放⾏的协议
action permit //此条策略的动作是放⾏
防⽕墙策略命中即转发
⼀些今天的名词:
ddos攻击防范:ddos攻击就是通过伪造⼤量不同的mac地址让交换机学习,让交换机⽆法正常处理其他事情
SPU:防⽕墙特有的,⽤于实现防⽕墙的安全功能
五元组:源/⽬地址、源/⽬端⼝号、协议
ASPF技术:应⽤包过滤技术,可以根据协议推出应⽤包内容,根据内容提前⽣成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理
ftp⽆论是主动模式还是被动模式都是client先主动向server发起控制通道连接
ftp的主动模式(port):server主动向client发起数据通道的连接
ftp被动模式(pasv):server等待client发起数据通道的连接
0714 防⽕墙的NAT策略:
NAT转换有两种转换:
源NAT:
no-pat //1对1转化,不节约公⽹地址,同⼀时间内只能有⼀个⼈上⽹
pat //指定⼀个或多个公⽹地址使PC机可以通过这个公⽹地址的不同端⼝进⾏访问
ease-ip //使⽤接⼝的IP作为NAT地址,使PC机可以通过这个公⽹地址的不同端⼝进⾏访问
⽬标NAT:
server nat //服务器映射
值得注意的是:
如果在防⽕墙上的是源NAT转换,则防⽕墙先匹配安全策略,再匹配NAT策略
如果在防⽕墙上的是⽬标NAT转换,则防⽕墙先匹配NAT策略,再匹配安全策略
实验总结概述:
如何做nat:
server nat:
nat server protocol [协议]global[公⽹地址][端⼝] inside [服务器地址][端⼝]
pat与no-pat做法:
nat address-group [地址组名]
mode pat
section [初始地址][结束地址]
nat-policy //进⼊nat策略,将前⼀步的地址池应⽤在nat策略中
cipher命令source-zone [区域名]
source-address [源地址][掩码]
destination-zone [区域名]
destination-address [源地址][掩码]//此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT //应⽤地址组
/
/之后就是看需要写安全策略
域内nat做法:
访问需要通过公⽹地址访问
第⼀步:将接⼝划分好所属区域,做好基础配置
第⼆步:创建⼀个nat地址池,将地址池的范围规划好,(默认为PAT)
nat server 0 protocol tcp global204.1.1.1 www inside 172.16.1.2 www
//此步为服务器映射
nat address-group NAT
mode pat
section 0205.1.1.1205.1.1.1
第三步:进⼊nat策略,将前⼀步的地址池应⽤在nat策略中
nat-policy
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
//此步规定什么样的地址允许做NAT转换
action source-nat address-group NAT
第四步:设置安全策略,允许地址通过,并说明区域
security-policy
default packet-filter intrazone enable
/
/设置防⽕墙区域间流量也检查
rule name NAT
source-zone dmz
destination-zone dmz
source-address 172.16.1.1 mask 255.255.255.255
destination-address 172.16.1.2 mask 255.255.255.255
service http
service tcp
action permit
友情提⽰:丢包时请看看⾃⼰的路由有没有写对
域间双向nat做法:
⼤致与域内双向NAT相同,只不过需要放⾏回访的流量,不过需要注意回访流量的源⽬地址
0715 防⽕墙的双机热备:
VGMP(VRRP的升级版):统⼀管理VRRP组的,华为私有协议
状态有:
active(主)
standby(从)
⼼跳线:同步会话表项,值得注意的是配置接⼝线缆必须⼀样,编号区域也要⼀样在防⽕墙上配置VGMP:
FW1:
interface GigabitEthernet1/0/1
ip address 10.1.1.253255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.254 active
interface GigabitEthernet1/0/0
ip address 20.1.1.253255.255.255.0
vrrp vrid 20 virtual-ip 20.1.1.254 active
interface GigabitEthernet1/0/6
ip address 12.1.1.1255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.2
hrp enable //注意做好了再打这条命令
FW2:
interface GigabitEthernet1/0/1
ip address 10.1.1.252255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.254 standby
interface GigabitEthernet1/0/0
ip address 20.1.1.252255.255.255.0
vrrp vrid 20 virtual-ip 20.1.1.254 standby
interface GigabitEthernet1/0/6
ip address 12.1.1.2255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1
hrp enable
实验拓扑:
0717 防⽕墙的GRE封装:
VPN(虚拟专⽤⽹络):廉价、专⽤、虚拟,基本原理:隧道技术 今天学习了GRE VPN(通⽤路由封装):
三要素:
乘客协议:IPV4、IPV6
封装协议:gre
运输协议:IPV4、IPV6
gre在防⽕墙上应⽤: