防火墙学习笔记.docVIP

5防火墙 一、防火墙基础 防火墙通常位于两个信任程度不同的网路间（如：企业内部和internet之间），可以对两个网络之间的通信进行控制，从而保护内部网络的安全。 防火墙特征： 逻辑区域过滤器 使用NAT技术可以隐藏内部的网络结构 自身的安全是有保障的 可以主动防御攻击 防火墙的组成：硬件+软件+控制策略 控制策略分为两种： 宽松的控制策略：除非明确禁止，否则就允许 限制的控制策略：除非明确允许，否则就禁止 按形态分类：硬件防火墙、软件防火墙 按保护对象分类：单机防火墙、网络防火墙 按防火墙的实现方式，分为三类： 包过滤防火墙：只检测数据的报头，缺点是： 无法关联数据包之间的关系 无法适应多通道协议（比如：VPN） 不检测应用层的数据 代理型防火墙：所有的数据包都要经过防火墙才能访问到server，访问速度很慢 状态检测防火墙：现在运用的防火墙主要都是状态检测防火墙 华为防火墙的工作模式： 路由模式：所有接口均有IP 透明模式：所有接口均无IP 混合模式：有的接口有IP，有的接口没有IP 防火墙的局限性： 防外不防内 不能防御全部的安全威胁，特别是新产生的危险 在提供深度监测功能和处理转发性能之间需要做平衡 当使用端到端的加密时，防火墙不能对加密的隧道进行处理 防火墙本身会存在一些瓶颈，如抗攻击能力，会话限制等 防火墙的区域和优先级： local区域，优先级100 trust区域，优先级85 DMZ区域，优先级50 untrust区域，优先级5 这些防火墙内设区域的优先级和名字都是无法改变的，优先级低的区域不能访问优先级高的区域（思科），华为设备如果防火墙策略允许可以突破区域访问限制。 防火墙上的所有接口本身都属于local区域，如果把一个接口划分到了trust区域，是指该接口下的设备属于trust区域，接口本身永远属于local区域。 Inbound与Outbound定义： 高优先级的访问低优先级：Outbound，反之则是：Inbound 安全区域与接口的关系： 防火墙不允许存在两个具有完全相同安全级别（既优先级相同）的安全区域 防火墙不允许同一物理接口分属于两个不同的安全区域 防火墙的不同接口可以属于同一个安全区域 防火墙支持的功能： 路由器、交换机支持的功能，防火墙都支持 衡量防火墙好坏的指标： 吞吐量：防火墙能同时处理的最大数据量 有效吞吐量：除掉因TCP的丢包和超时重发的数据，实际每秒传输的有效速率 延时：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔，是用来衡量防火墙处理数据的速度的理想指标 每秒新建连接数：指每秒可以通过防火墙建立起来的完整的TCP链接数 并发连接数：指防火墙可以同时容纳的最大连接数目，一个连接就是一个TCP/UDP的访问 防火墙实验拓扑图 以后章节所讲的内容都基于此图： 二、防火墙的基本配置 默认的情况下，防火墙是有一些配置的： G0/0/0接口的IP地址为：/24，配置了基于接口的DHCP，且G0/0/0默认属于trust区域。在连接该端口的PC自动获取到IP后，就可以在浏览器中输入对防火墙进行图形化的配置。但模拟器是不支持图形化配置的。 一旦对G0/0/0接口配置了其他IP地址，原来的默认配置将被覆盖，DHCP服务也将被删除。 display current-configuration 显示当前设备的所有配置(交换机、路由器、防火墙通用) 划分防火墙的安全区域： Firewall zone trust 进入到trust区域 Add interface g0/0/1 将g0/0/1接口加入到trust区域 Firewall zone dmz 进入到DMZ区域 Add interface g0/0/2 将g0/0/2接口加入到DMZ区域 Firewall zone untrust 进入到untrust区域 Add interface g0/0/3 将g0/0/3接口加入到untrust区域 安全区域间的过滤规则： 默认local到任何区域都是可以访问的 同一区域内的访问是允许的 其他区域间的访问要看区域间的过滤规则 Display firewall packet-filter default all 显示防火墙区域间的过滤规则 Permit：允许 deny：禁止 实验需求：trust中的设备可以访问DMZ，而DMZ中的设备不能访问trust （Firewall packet-filter default permit all 全放行，将使防火墙失去过滤功能） Firewall packet-filter default permit interzone