防火墻學習筆記

防火墻學習筆記一、防火墻基礎(chǔ)防火墻通常位于兩個信任程度不同的網(wǎng)路間（如：企業(yè)內(nèi)部和internet之間），可以對兩個網(wǎng)絡(luò)之間的通信進行控制，從而保護內(nèi)部網(wǎng)絡(luò)的安全。防火墻特征：邏輯區(qū)域過濾器使用NAT技術(shù)可以隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)自身的安全是有保障的可以主動防御攻擊防火墻的組成：硬件+軟件+控制策略控制策略分為兩種：寬松的控制策略：除非明確禁止，否則就允許限制的控制策略：除非明確允許，否則就禁止按形態(tài)分類：硬件防火墻、軟件防火墻按保護對象分類：單機防火墻、網(wǎng)絡(luò)防火墻按防火墻的實現(xiàn)方式，分為三類：包過濾防火墻：只檢測數(shù)據(jù)的報頭，缺點是：無法關(guān)聯(lián)數(shù)據(jù)包之間的關(guān)系無法適應(yīng)多通道協(xié)議（比如：VPN）不檢測應(yīng)用層的數(shù)據(jù)代理型防火墻：所有的數(shù)據(jù)包都要經(jīng)過防火墻才能訪問到server，訪問速度很慢狀態(tài)檢測防火墻：現(xiàn)在運用的防火墻主要都是狀態(tài)檢測防火墻華為防火墻的工作模式：路由模式：所有接口均有IP透明模式：所有接口均無IP混合模式：有的接口有IP，有的接口沒有IP防火墻的局限性：防外不防內(nèi)不能防御全部的安全威脅，特別是新產(chǎn)生的危險在提供深度監(jiān)測功能和處理轉(zhuǎn)發(fā)性能之間需要做平衡當使用端到端的加密時，防火墻不能對加密的隧道進行處理防火墻本身會存在一些瓶頸，如抗攻擊能力，會話限制等防火墻的基本管理：開啟防火墻的Telnet功能：User-interfacevty04開啟0~4的虛擬鏈路以允許5臺終端可以Telnet到防火墻Authentication-modepasswordcipher123以密碼訪問方式開啟Telnet功能（密碼為：123）Authentication-modeaaa以aaa認證方式開啟Telnet功能aaa認證的默認賬號為：admin默認密碼：Admin@123(A為大寫)如何使用特定的用戶賬號了Telnent登陸防火墻：aaa進入3alocal-userlewispasswordcipher123在3a中創(chuàng)建一個用戶賬號：lewis密碼為：123用戶的權(quán)限問題：級別范圍：0-150：參觀級別新建用戶的默認級別1：監(jiān)控級別2：配置級別3-15：管理級別提升用戶權(quán)限的三種方法：1、針對具體的賬戶來提升權(quán)限aaa進入3aLocal-userlewislevel3將用戶lewis的賬號級別提升到管理級別Undolocal-userlewislevel取消對lewis賬號的權(quán)限更改，恢復默認2、針對局部賬號來提升權(quán)限Superpasswordlevel3cipherAdmin@456設(shè)定super的秘密為：Admin@456（super密碼：必須包含大小寫英文+符號+數(shù)字）Super3[密碼]終端用super指令并輸入密碼，臨時提升已登陸的賬號權(quán)限等級到3級3、設(shè)置虛擬鏈路的用戶權(quán)限User-interfacevty04進入0~4的虛擬鏈路Userprivilegelevel3設(shè)置虛擬鏈路的用戶權(quán)限為等級3，設(shè)置后使用0~4虛擬鏈路登陸的任何賬號都具有等級3的權(quán)限D(zhuǎn)isplayuser查看有哪些用戶登錄了防火墻Displayuser-interface查看有哪些虛擬鏈路登錄了防火墻

三、防火墻的過濾策略區(qū)域內(nèi)流量過濾：實驗要求：pc1不能訪問pc2可以采用ACL來做，但這里使用過濾策略來做Policyzonetrust進入trust區(qū)域的策略設(shè)置Policy1創(chuàng)建并進入策略1Policysource（可簡略寫成：policysource0）反掩碼精確匹配源地址為：Policydestination0反掩碼精確匹配目標地址為：Actiondeny禁止通過（源地址為且目標地址為的訪問被禁止）區(qū)域間流量過濾：實驗要求：防火墻DMZ和untrust區(qū)域間默認過濾inbounddeny，路由器AR1保持默認配置（untrust區(qū)域模擬外網(wǎng)條件），配置網(wǎng)絡(luò)使untrust區(qū)的client1能夠ping通DMZ區(qū)的Server1服務(wù)器，并能訪問服務(wù)器上的WEB和FTP資源。第一步創(chuàng)建服務(wù)集ipservice-settoservertypeobject創(chuàng)建一個名為“toserver”的服務(wù)器，類型為objectservice0protocolicmpping所使用的ICMP協(xié)議對應(yīng)service0service1protocoltcpdestination-port80www所使用的tcp協(xié)議的80端口對應(yīng)service1service2protocoltcpdestination-port21ftp所使用的tcp協(xié)議的21端口對應(yīng)service2第二步開啟策略Policyinterzonedmzuntrustinbound進入dmz和untrust區(qū)域間inbound方向的策略設(shè)置Policy10創(chuàng)建序號為10的策略Policyserviceservice-settoserver把服務(wù)集toserver中的服務(wù)設(shè)置為當前策略的源Policydestination00設(shè)置當前策略的目標IPActionpermit允許滿足策略條件（源、目的條件都滿足）的數(shù)據(jù)包通過第三步開啟防火墻的ASPF（應(yīng)用層的安全檢查）技術(shù)（針對FTP的特殊處理）Firewallinterzonedmzuntrust進入防火墻的dmz和untrust區(qū)域間設(shè)置Detectftp使用ASPF技術(shù)，檢測到是ftp使用的就放行通過第四步運用靜態(tài)一對一技術(shù)映射服務(wù)器0為外網(wǎng)IPNatserverglobalinside0

四、防火墻的NAT技術(shù)數(shù)據(jù)包在傳輸?shù)倪^程中，可以改變源或目的地址靜態(tài)NAT轉(zhuǎn)換PAT（NAT超載）Nataddress-group1創(chuàng)建NAT地址轉(zhuǎn)換組Nat-policyinterzonetrustuntrustoutbound進入trust和untrust區(qū)域間的outbound方向的NAT策略設(shè)置Policy1若當前沒有編號為1的策略，則創(chuàng)建策略1，并進入設(shè)置Actionsource-nat設(shè)置當前策略的動作為：源地址轉(zhuǎn)換Policysourcemask24設(shè)置地址轉(zhuǎn)換針對的源地址范圍Address-group1設(shè)置轉(zhuǎn)換成哪個NAT地址組Easy-ip技術(shù)Nat-policyinterzonetrustuntrustoutbound進入trust和untrust區(qū)域間的outbound方向的NAT策略設(shè)置Policy2若當前沒有編號為2的策略，則創(chuàng)建策略2，并進入設(shè)置Actionsource-nat設(shè)置當前策略的動作為：源地址轉(zhuǎn)換Policysourcemask24設(shè)置地址轉(zhuǎn)換針對的源地址范圍Easy-ipg0/0/3使用Easy-ip技術(shù)進行源地址轉(zhuǎn)換，將內(nèi)網(wǎng)IP轉(zhuǎn)