防火墻學(xué)習(xí)筆記

防火墻學(xué)習(xí)筆記一、防火墻基礎(chǔ)防火墻通常位于兩個(gè)信任程度不同的網(wǎng)路間（如：企業(yè)內(nèi)部和internet之間），可以對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。防火墻特征：邏輯區(qū)域過(guò)濾器使用NAT技術(shù)可以隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)自身的安全是有保障的可以主動(dòng)防御攻擊防火墻的組成：硬件+軟件+控制策略控制策略分為兩種：寬松的控制策略：除非明確禁止，否則就允許限制的控制策略：除非明確允許，否則就禁止按形態(tài)分類：硬件防火墻、軟件防火墻按保護(hù)對(duì)象分類：?jiǎn)螜C(jī)防火墻、網(wǎng)絡(luò)防火墻按防火墻的實(shí)現(xiàn)方式，分為三類：包過(guò)濾防火墻：只檢測(cè)數(shù)據(jù)的報(bào)頭，缺點(diǎn)是：無(wú)法關(guān)聯(lián)數(shù)據(jù)包之間的關(guān)系無(wú)法適應(yīng)多通道協(xié)議（比如：VPN）不檢測(cè)應(yīng)用層的數(shù)據(jù)代理型防火墻：所有的數(shù)據(jù)包都要經(jīng)過(guò)防火墻才能訪問(wèn)到server，訪問(wèn)速度很慢狀態(tài)檢測(cè)防火墻：現(xiàn)在運(yùn)用的防火墻主要都是狀態(tài)檢測(cè)防火墻華為防火墻的工作模式：路由模式：所有接口均有IP透明模式：所有接口均無(wú)IP混合模式：有的接口有IP，有的接口沒(méi)有IP防火墻的局限性：防外不防內(nèi)不能防御全部的安全威脅，特別是新產(chǎn)生的危險(xiǎn)在提供深度監(jiān)測(cè)功能和處理轉(zhuǎn)發(fā)性能之間需要做平衡當(dāng)使用端到端的加密時(shí)，防火墻不能對(duì)加密的隧道進(jìn)行處理防火墻本身會(huì)存在一些瓶頸，如抗攻擊能力，會(huì)話限制等防火墻的基本管理：開(kāi)啟防火墻的Telnet功能：User-interfacevty04開(kāi)啟0~4的虛擬鏈路以允許5臺(tái)終端可以Telnet到防火墻Authentication-modepasswordcipher123以密碼訪問(wèn)方式開(kāi)啟Telnet功能（密碼為：123）Authentication-modeaaa以aaa認(rèn)證方式開(kāi)啟Telnet功能aaa認(rèn)證的默認(rèn)賬號(hào)為：admin默認(rèn)密碼：Admin@123(A為大寫(xiě))如何使用特定的用戶賬號(hào)了Telnent登陸防火墻：aaa進(jìn)入3alocal-userlewispasswordcipher123在3a中創(chuàng)建一個(gè)用戶賬號(hào)：lewis密碼為：123用戶的權(quán)限問(wèn)題：級(jí)別范圍：0-150：參觀級(jí)別新建用戶的默認(rèn)級(jí)別1：監(jiān)控級(jí)別2：配置級(jí)別3-15：管理級(jí)別提升用戶權(quán)限的三種方法：1、針對(duì)具體的賬戶來(lái)提升權(quán)限aaa進(jìn)入3aLocal-userlewislevel3將用戶lewis的賬號(hào)級(jí)別提升到管理級(jí)別Undolocal-userlewislevel取消對(duì)lewis賬號(hào)的權(quán)限更改，恢復(fù)默認(rèn)2、針對(duì)局部賬號(hào)來(lái)提升權(quán)限Superpasswordlevel3cipherAdmin@456設(shè)定super的秘密為：Admin@456（super密碼：必須包含大小寫(xiě)英文+符號(hào)+數(shù)字）Super3[密碼]終端用super指令并輸入密碼，臨時(shí)提升已登陸的賬號(hào)權(quán)限等級(jí)到3級(jí)3、設(shè)置虛擬鏈路的用戶權(quán)限User-interfacevty04進(jìn)入0~4的虛擬鏈路Userprivilegelevel3設(shè)置虛擬鏈路的用戶權(quán)限為等級(jí)3，設(shè)置后使用0~4虛擬鏈路登陸的任何賬號(hào)都具有等級(jí)3的權(quán)限D(zhuǎn)isplayuser查看有哪些用戶登錄了防火墻Displayuser-interface查看有哪些虛擬鏈路登錄了防火墻

三、防火墻的過(guò)濾策略區(qū)域內(nèi)流量過(guò)濾：實(shí)驗(yàn)要求：pc1不能訪問(wèn)pc2可以采用ACL來(lái)做，但這里使用過(guò)濾策略來(lái)做Policyzonetrust進(jìn)入trust區(qū)域的策略設(shè)置Policy1創(chuàng)建并進(jìn)入策略1Policysource（可簡(jiǎn)略寫(xiě)成：policysource0）反掩碼精確匹配源地址為：Policydestination0反掩碼精確匹配目標(biāo)地址為：Actiondeny禁止通過(guò)（源地址為且目標(biāo)地址為的訪問(wèn)被禁止）區(qū)域間流量過(guò)濾：實(shí)驗(yàn)要求：防火墻DMZ和untrust區(qū)域間默認(rèn)過(guò)濾inbounddeny，路由器AR1保持默認(rèn)配置（untrust區(qū)域模擬外網(wǎng)條件），配置網(wǎng)絡(luò)使untrust區(qū)的client1能夠ping通DMZ區(qū)的Server1服務(wù)器，并能訪問(wèn)服務(wù)器上的WEB和FTP資源。第一步創(chuàng)建服務(wù)集ipservice-settoservertypeobject創(chuàng)建一個(gè)名為“toserver”的服務(wù)器，類型為objectservice0protocolicmpping所使用的ICMP協(xié)議對(duì)應(yīng)service0service1protocoltcpdestination-port80www所使用的tcp協(xié)議的80端口對(duì)應(yīng)service1service2protocoltcpdestination-port21ftp所使用的tcp協(xié)議的21端口對(duì)應(yīng)service2第二步開(kāi)啟策略Policyinterzonedmzuntrustinbound進(jìn)入dmz和untrust區(qū)域間inbound方向的策略設(shè)置Policy10創(chuàng)建序號(hào)為10的策略Policyserviceservice-settoserver把服務(wù)集toserver中的服務(wù)設(shè)置為當(dāng)前策略的源Policydestination00設(shè)置當(dāng)前策略的目標(biāo)IPActionpermit允許滿足策略條件（源、目的條件都滿足）的數(shù)據(jù)包通過(guò)第三步開(kāi)啟防火墻的ASPF（應(yīng)用層的安全檢查）技術(shù)（針對(duì)FTP的特殊處理）Firewallinterzonedmzuntrust進(jìn)入防火墻的dmz和untrust區(qū)域間設(shè)置Detectftp使用ASPF技術(shù)，檢測(cè)到是ftp使用的就放行通過(guò)第四步運(yùn)用靜態(tài)一對(duì)一技術(shù)映射服務(wù)器0為外網(wǎng)IPNatserverglobalinside0

四、防火墻的NAT技術(shù)數(shù)據(jù)包在傳輸?shù)倪^(guò)程中，可以改變?cè)椿蚰康牡刂缝o態(tài)NAT轉(zhuǎn)換PAT（NAT超載）Nataddress-group1創(chuàng)建NAT地址轉(zhuǎn)換組Nat-policyinterzonetrustuntrustoutbound進(jìn)入trust和untrust區(qū)域間的outbound方向的NAT策略設(shè)置Policy1若當(dāng)前沒(méi)有編號(hào)為1的策略，則創(chuàng)建策略1，并進(jìn)入設(shè)置Actionsource-nat設(shè)置當(dāng)前策略的動(dòng)作為：源地址轉(zhuǎn)換Policysourcemask24設(shè)置地址轉(zhuǎn)換針對(duì)的源地址范圍Address-group1設(shè)置轉(zhuǎn)換成哪個(gè)NAT地址組Easy-ip技術(shù)Nat-policyinterzonetrustuntrustoutbound進(jìn)入trust和untrust區(qū)域間的outbound方向的NAT策略設(shè)置Policy2若當(dāng)前沒(méi)有編號(hào)為2的策略，則創(chuàng)建策略2，并進(jìn)入設(shè)置Actionsource-nat設(shè)置當(dāng)前策略的動(dòng)作為：源地址轉(zhuǎn)換Policysourcemask24設(shè)置地址轉(zhuǎn)換針對(duì)的源地址范圍Easy-ipg0/0/3使用Easy-ip技術(shù)進(jìn)行源地址轉(zhuǎn)換，將內(nèi)網(wǎng)IP轉(zhuǎn)