五、防御保护---防火墙出口选路篇

最新推荐文章于 2025-02-17 16:19:55 发布
最新推荐文章于 2025-02-17 16:19:55 发布
阅读量1.2k 收藏 21
点赞数 23
分类专栏: 安全防御 文章标签: 网络 web安全 安全 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/M372109150/article/details/135922386
版权
本文介绍了防火墙中的智能选路技术,包括ISP路由实现就近访问、策略路由的灵活匹配条件和动作、以及基于链路带宽、质量、权重和优先级的全局路由策略。还提及了DNS透明代理与就近选路的配合使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

五、防御保护---防火墙智能选路篇

一、就近选路

就近选路 — 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高通信效率,避免绕路。

ISP路由,从名字来看有一个ISP,其实也是它的由来。每个ISP都会有自己的公网知名网段,如果把这个ISP的所有公网知名网段都像上面说的一样配置成明细路由,那么去往这个ISP的所有报文都不会绕路转发了。
首先管理员需要先收集ISP内的所有公网网段(网上都能够搜索到),然后把地址网段编辑到后缀为. csv的文件中(我们称之为ISP地址文件),编辑要求按如下图所示:
在这里插入图片描述
在这里插入图片描述
ISP地址文件上传到防火墙后,通过设置出接口和下一跳,可以让ISP地址文件中的每个IP地址网段都生成一条ISP路由。

ISP路由与静态路由还是有如下区别:
1.静态路由是手动一条一条配置,配置文件中能够显示出来;ISP路由只能通过上面所述的方式集体导入,且配置文件中无法显示出ISP路由
2.静态路由可以逐条删除、增加;ISP路由只能从ISP地址文件中把地址网段删除、增加,而不能通过命令删除或增加单条ISP路由。
上面说的是管理员如何构建ISP路由的过程,实际上,防火墙在出厂的设置中已经内置了中国移动、中国电信、中国联通和中国教育网4个ISP的公网知名网段,只需要管理员执行导入即可启动ISP路由。

总结就近选路方式,其实就是三种路由的PK结果:

  • 缺省等价路由让经过防火墙的所有报文都能匹配路由转发,但无法保证报文转发选择最短链路(通过源IP地址+目的IP地址的HASH算法来选择报文转发出口)。
  • 明细路由保证访问不同ISP服务器的报文都从连接相应ISP的链路转发,达到就近访问效果,但是明细路由的手工大批量配置是困扰企业网络管理员的一个难题。
  • ISP路由则填补了明细路由难以手工大批量配置的缺点,分分钟就能搞定一个ISP所有地址网段的明细路由配置。

这三种路由各有特点,配合使用方能弥补相互之间的缺陷、发挥出每种路由的优势。配合使用时,明细路由和ISP路由用来指导报文近路转发,没有匹配到明细路由的报

最低0.47元/天 解锁文章
防火墙转发策略与出口配置详解
悦分享
01-07 1182
防火墙主要部署在网络边界起到隔离的作用。虽然隔离了内外网,但防火墙也承担起内网与外网互联的作用,内网和外网交互的流量都要经过防火墙来转发。在实际场景中,企业出于带宽和可靠性的要求,会向多个ISP租用多条Internet链带宽资源,这样处于出口位置的防火墙就有多个出口连接到 Internet,如何为用户流量选择合适的出口将是企业网络管理员需要考虑的问题。1. 就近就近是由缺省由与明细由配合完成的方式,这种方式比较简单,也是最常用的。
网络安全----防御----防火墙nat以及智能
NBbabay的博客
07-13 606
9,多出口环境基于带宽比例进行,但是,办公区中10.0.2.10该设备只能通过电信的链访问互联网。9,多出口环境基于带宽比例进行,但是,办公区中10.0.2.10该设备只能通过电信的链访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;8,分公司设备可以通过总公司的移动链和电信链访问到Dmz区的http服务器
防火墙_策略由】
yuxue_cn的博客
05-25 2013
策略由实验
防火墙的策略
qq_32044265的博客
11-17 3273
策略由是由匹配条件和动作组成的,FW收到流量后,对流量的属性进行识别,并将流量的属性与策略由的匹配条件进行匹配。策略由是在由表已经产生的情况下,不按照现有的由表进行转发,从更多的维度(入接口、源安全区域、源/目的IP地址、用户、服务、应用)来决定报文如何转发,根据用户制定的策略进行选择的机制。策略由从策略列表顶端开始逐条向下匹配,如果流量匹配了某个策略由,将不再进行下一个策略的匹配。如果策略由配置的所有匹配条件都匹配,则此流量成功匹配该策略由规则,并执行策略由的动作。
DNS透明部署
最新发布
2301_81140745的博客
02-17 468
防火墙上配置dns配置 使内网的DNS地址10.10.10.10出去后根据端口转去访问DNS地址100.1.1.1/200.1.1.1。只有一个客户端可以访问 并且有时为客户端1 有时为客户端2(后续完善)在外部DNS拿到www.baidu.com的地址后去访问百度服务器。通过智能 取合适的线访问。.配置虚拟DNS和实际DNS。实验成功了--------一半。
一般企业网络规划(防火墙出口
qq_21612759的博客
03-08 2624
FW-policy-security-rule-Trust_Intelnet]source-zone trust //放行trust安全区域。[FW-policy-security-rule-Trust_Intelnet]source-zone trust //放行trust安全区域。[FW-policy-nat-rule-Trust_Internet]source-zone trust //转换源trust区域。
园区网络安全设计——出口防火墙
城下深蓝的博客
05-27 3411
园区网络安全设计——出口防火墙
防御保护----防火墙基本知识
Tmg3202915143的博客
01-29 3714
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(元组)工作范围:网络层、传输层(3-4层)和由器的区别:普通的由器只检查数据包的目标地址,并选择一个达到目的地址的最佳径;防火墙除了要解决目的径以外还需要根据已经设定的规则进行判断“是与否”。技术应用:包过滤技术。优势:对于小型站点容易实现,处理速度快,价格便宜劣势:规则表会很快变得庞大复杂难运维,只能基于元组;现在很多安全风险集中在应用层中,所以,仅关注三、四层的数据无法做到完全隔离安全风险;逐包进行包过滤检测,将导致防火
防御--防火墙综合实验
weixin_65476290的博客
07-21 843
1.配置NAT技术,多对多,并保留一个IP地址2.配置端口(服务器映射),需要配置两条,移动和电信的公网ID映射到10.0.3.103.多出口基于带宽,并开启保护阈值80%,10.0.2.10只能走电信,所有配置一个走移动的策略,动作改为禁止就可以由器上的配置。
防御保护 --- 双机热备和带宽管理
qq_63034068的博客
07-15 699
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次。4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
防火墙在企业园区出口安全方案中的应用(ENSP实现)_基于ensp的大型企业双出口与双防火墙,以及两台三层交换机作为汇聚接入设备的
2401_84140463的博客
04-09 962
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌章。需要完整版PDF学习资源私我。
防火墙在校园出口安全方案一:基于IP地址的策略控制
Karka_的博客
04-17 1287
本案例介绍了防火墙在校园出口安全方案中的应用。通过分析校园网安全面临的主要问题以及校方在网络访问管理中的常见需求。随着教育信息化的加速,高校网络建设日趋完善,在师生畅享丰富网络资源的同时,校园网络安全问题也逐渐凸显,并直接影响学校的教学、管理、科研等活动。如何构建一个安全、高速的校园网络,已成为高校网络管理者需要迫切解决的问题。网络边界防护:校园网一般拥有多个出口,链带宽高,网络结构复杂;病毒、蠕虫的传播成为最大安全隐患;越来越多的远程网络接入,对安全性构成极大挑战。内容安全防护。
企业组网方式?①防火墙作为出口由器作为出口
WXD优快云的博客
11-02 808
其实在实际项目,80%企事业单位都会选择选择由器作为出口,比如电子政务网,公安内网等网络,需要实现对等通信。2)防火墙一般会旁挂服务器,即DMZ区域,采用由器作为出口的架构,服务器在私网IP域,相对安全。黑客攻击首先需要穿透由器的NAT,还需绕过防火墙的检测。1)出口由器部署NAT,由器以下都可以使用私网IP,也就是只需要由器一个公网IP就能实现,在这个公网IP紧缺的年代,非常好用。在一些的小企业和中小学的网络出口中会选择防火墙,性能要求不高,简单省事,性价比高,节省多种设备投资。
防火墙在广电出口安全方案中的应用
网络技术联盟站
07-28 1489
广电行业除了提供家庭广播电视业务,还向ISP租用链开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fumULCvx-1690533020230)(https://img.wljslmz.cn/wljslmzcn/202209202201412.png)]NAT。
华为防火墙——多出口智能
HappyAston的博客
02-04 3729
流量进转发时,查询由的先后顺序是策略由、明细由、缺省由。策略智能发生在流量命中策略由时,如果有多个出接口则需要进行。全局智能发生在流量命中缺省由时,如果有多条缺省由则需要进行。ISP智能发生在流量命中明细由时,如果有多条明细由则需要进行
linux设置防火墙策略由,Linux防火墙下的应用策略
weixin_28909289的博客
05-12 257
假设,网络中有两个外部接口,IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略,将所有来自内部网络web服务的数据,走向172.16.1.1这个出口。其他的数据走向 10.0.0.1 这个出口。#接口设置ifconfig eth0 172.16.1.1 netmask 255.255.2...
浅谈企业网出口防火墙选择
weixin_33849215的博客
11-11 1153
1. 防火墙作为专用安全设备,自身的安全性必须得到保障。防火墙的软硬件应该为一体化设计产品,硬件为专用硬件平台,软件为专用的安全操作系统,非通用操作系统加装防火墙软件。 2. 防火墙的性能参数主要包括防火墙的吞吐量,3DES×××吞吐量,每秒新建连接数,最大并发连接数四个指标。一般来说,这4个指标应该是完全匹配的,根据木桶原理,4个指标中某一个指标或...
华为防火墙如何配置双出口,特定IP段流量走指定出接口地址上网
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-07 8137
华为USG6311E电信宽带拨号接口0/0/8联通宽带固定IP12.25.35.xx接口0/0/9内网接口0/0/3。
华为策略由加等价由_华为——防火墙——策略由配置及思
weixin_39899021的博客
12-21 812
华为——策略由(校园网配置)作用:通过分析数据报的源地址和目标地址,按照策略规则选择不同的网关,进行数据转发。提供冗余,负载,但是还是单线的速度。只是提供了不同的方向,并没有进行合并线。拓扑图如下:配置思:配置命令:1.LSW1配置:[Huawei]vlan 10[Huawei-vlan10]vlan 20[Huawei-vlan20]quit[Huawei]int e0/0/2[Huaw...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly`

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值