- 博客(31)
- 收藏
- 关注
RSS订阅原创 学习日志--防火墙ServerNat[FW01]nat server web01 global 12.1.1.201 inside 192.168.1.201 no-reverse
实际上server-nat的整个过程就是,通过配置nat-server规则,就会生成server-mat表,在流量进来的时候会匹配server-map表,然后匹配成功生成防火墙的五元素会话表,根据会话表来确定流量的放行还是截至。Server-NAT黑洞路由的配置,可以直接配置黑洞接口NULL0,也可以直接配置unr-router,自动生成黑洞路由。
2024-09-07 22:10:55
1407
原创 学习日志--防火墙目的NAT
在前面学习的防火墙NAT都是基于源NAT的技术配置,源NAT就是对源地址进行NAT转换。那在网络配置中不仅有源NAT的网络配置还有目的NAT的网络配置。在内主动访问到外,就是转换源地址和端口,从外主动访问到内,就是转换目的地址和端口。源NAT是数据包要从防火墙出去,源地址要转换为公有地址才可以出去,于是就进行源地址的转换;目的NAT是数据包要从外面进来,目的地址是公有地址要转换为私有地址才能进去,于是就进行目的地址的转换。
2024-09-03 09:00:12
1504
1
原创 学习日志8.30--防火墙NAT
在学习过基于路由器的NAT网络地址转换,现在学习基于防火墙NAT的网络地址转换,防火墙的NAT配置和路由器的NAT配置还是有比较大的区别。防火墙NAT是通过NAT策略实现的,在创建防火墙NAT之前需要先创建防火墙的安全策略。防火墙是不能直接在接口下配置NAT接口映射的。
2024-08-29 17:43:37
2100
原创 学习日志--NAT(Network Address Translation)网络地址转换
NAT网络地址转换技术,是用来确保公司的私有网络主机能访问外部公有网络,并且确保外部公有主机能访问公司内部的私有服务器。好比如说,公司内部的员工需要上网去查找资料需要访问外面网络的服务器,外面网络的主机想要访问公司内网的服务器,了解公司的详细信息。私有地址:10.x.x.x || 172.16.x.x----->172.31.x.x || 192.168.x.x基本上都属于私有地址,私有地址一般用在公司内部的主机上使用。
2024-08-18 21:56:35
2353
原创 学习日志8.14--ALC(Access Control List)访问控制列表
需要注意的是ACL只是一个个匹配工具,负责匹配源IP地址、目的IP地址、端口和协议号,但是实现对流量的拦截还需要使用到流量的过滤工具来过滤流量。但是相反的流量是管控不了的。看规则的配置,是范围大的在前,然后范围小的在后面,当192.168.1.1的流量进来的时候,先匹配第一条规则,第一条规则允许192.168.1.0网段的通过。能ping成功,说明过滤器是管控不了相反方向的流量,inbound方向的流量只能被inbound方向的过滤器管控,outbound方向的流量只能被outbound方向的过滤器管控。
2024-08-14 18:55:04
1462
原创 学习日志8.13--防火墙安全策略进阶
在设置接口的服务权限,配置安全策略是同一区域不通接口之间的流量是拒绝的的时候,接口之间的流量是拒绝通过的。这是因为,这个涉及到流量过不过墙的问题,在有的厂商的防火墙的同一区域的不通接口,他的流量是不过墙的,意味着不过墙的流量就不进行拦截,华为的防火墙同一区域的不通接口他的流量是过墙的,能被安全策略拦截。在接口上设置了server-manage接口的服务允许,在没有设置安全策略的前提下,接口之间是可以通信的,也就是说,在同一安全区域,在没有配置安全策略的情况下,接口之间的流量是允许通过的。
2024-08-13 00:02:26
1186
原创 学习日志8.10--防火墙ASPF
这是因为在防火墙的会话表里面没有匹配数据通道的会话,而且防火墙没有配置从untrust到trust的安全策略,在默认的安全策略下是拒绝的,所以拒绝untrust安全区域内的数据主动访问trust安全区域的网络,这样数据通道就无法建立,主机和服务器之间就无法进行互相访问。最后还会通过server-map创建会话表。正常来说,是不存ftp-data的会话,因为,主动从服务器向客户端通信被设置为拒绝,流量无法通过就不能生成会话表,但是防火墙有ASPF,防火墙可以分析应用层的流量,会生成server-map表。
2024-08-10 11:49:50
882
原创 学习日志8.9--ASPF(Application Specific Packet Filter)多通道协议
通过客户端1.1.1.1发送SYN到server1.1.1.2开始TCP的三次交互端口是从2053(随机)到21(控制通道的端口),然后是server1.1.1.2向客户端1.1.1.1发送TCP的SYN,ACK的回包,端口是21到2053,然后是客户端1.1.1.1向server1.1.1.2发送TCP的ACK,端口是2053到21,到这里TCP的三次握手结束。注意的是,在被动模式下,是服务器高数客户端,我的接口是2051,在主动模式下是客户端主动告诉服务器我的接口是2056。多通道协议的实验拓扑结构。
2024-08-09 14:52:40
424
原创 学习日志8.8--防火墙状态检测
在回传的时候,从untrust到trust,源地址InternetIP配置成all,目的地址配置成目标IP,这样就会存在一个问题,我的主机可以主动访问出去,但是所有的Internet的流量都可以进入到主机内网,这样防火墙就很危险。依然可以ping通,现在只是允许trust到untrust,不允许untrust到trust,本来就是ping的回包不能通过untrust到trust到达主机,就应该ping通的,这就是防火墙的单向机制,也叫状态检测机制。发现目前的会话数量是0,证明刚刚生成的会话表已经删除了。
2024-08-08 20:14:09
1395
原创 学习日志8.8--防火墙精细化策略管控
命令:[FW01-policy-security]rule name tru-to-untru,给你要写的规则起一个名字,名字是tru-to-untru,意思是从trust到untrust的安全规则,名字是可以自定义,无要求。命令:[FW01-policy-security-rule-untru-to-tru]source-zone untrust,配置源区域。命令:[FW01-policy-security-rule-tru-to-untru]source-zone trust,配置源区域。
2024-08-08 15:35:09
734
原创 学习日志8.7--防火墙安全策略
一般在整个的安全项目调试的的时候,将防火墙的安全策略打开让他的默认动作是允许,这样在调试路由的时候,就能知道到底是不是路由的问题导致的互相之间无法进行通信,如果不通就是路由器相关方面的问题,和防火墙的安全策略就没有关系,等路由调试好之后,将默认的安全策略动作改为拒绝就好了。安全策略是在防火墙的不通安全区域的不通方向之间做流量管控,流量进入防火墙之后,防火墙会根据安全策略进行流程执行,按照配置的顺序进行优先匹配,匹配的优先顺序也可以通过命令来进行调整。允许通过的流量在进行深度的检测(配置文件)。
2024-08-07 23:18:35
1090
原创 学习日志8.7--Security Zone防火墙安全区域
发现这个主机所在的网络是Trust的区域,而这个接口g1/0/1是属于Local的区域,在主机通信的时候,相当于从Trust的区域去访问Local的区域。注意,防火墙自己的接口也有安全区域,叫做Local,意味着防火墙的接口是属于Local的安全区域。命令:[FW01-zone-test1]add interface GigabitEthernet 1/0/1,这里是给自定义的安全区域添加接口为g1/0/1,但是在默认的Trust安全区域内已经添加了g1/0/1,意味着一个接口只能划分在一个安全区域。
2024-08-07 19:06:11
929
原创 学习日志8.7--NGFW(Next Generation Firewall)下一代防火墙
NGFW下一代防火墙是在UTM(Unified Threat Management)统一威胁管理的基础下开发的,同意威胁管理是将传统的防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的防护,UTM通过DPI深度报文检测技术实现更高深度的检测,但是在多个功能运行深度检测的时候,UTM设备的处理性能会严重下降,于是就开发了下一代防火墙NGFW。防火墙是用来实现识别外部的安全流量,抵御外部的攻击流量,让安全的流量进入,过滤掉不安全的攻击流量的一种安全产品。
2024-08-07 12:46:43
818
原创 学习日志8.5--ARP攻击与防范
中间者通过ARP的查询可以知道PC2的IP地址和MAC地址,知道R2的IP地址和MAC地址,攻击者可以发送ARP的欺骗直接告诉PC2,说我是你的网关我的IP是192.168.100.199、MAC地址是54-58-98-6D-4E-F6(变成了攻击者的MAC地址),你有事可以找我。命令:[PC-102]display arp,查看PC102中ARP表记录的信息在PC101上的ARP表记录的192.168.11.199的MAC地址是4aa2,和PC101-WG接口的MAC地址相符合。
2024-08-05 12:26:45
1278
原创 学习日志8.4--DHCP攻击防范
DHCP动态主机配置协议,是给主机提供自动获取IP地址等配置信息的服务。在主机对DHCP服务器发送DHCP Discover请求之后,服务器回复offer,主机再回复request,最后服务器回复ACK确认。但是就是在这四次的交互过程中就容易受到网络的攻击。在实际网络中针对DHCP的攻击行为主要有:DHCP饿死攻击;DHCP Sever仿冒攻击。
2024-08-04 19:43:01
1338
原创 学习日志7.29--QOS(Quality of Service)服务质量
命令:[R1-GigabitEthernet0/0/2]qos car outbound cir 20,在接口2限制,qos限速car传出速率(outbound),速率分为传出速率和传入速率,对于这个拓扑就是传出速率,单位为20kbps。再在PC机上做发包设置,目的地址是2.2.2.2,源地址是1.1.1.1,端口号在范围允许内随便写但是要保持一致,周期发送时间间隔为10ms,一秒就可以发送100次配置好后,发送。我们日常生活中办理的是宽带,在网络速率上我们要求的是带宽,指传输的速率,比如50Mbps。
2024-07-29 22:34:57
387
原创 学习日志7.29--DHCP(Dynamic Host Configuration Protocol)动态主机配置协议
在客户端和服务器取得连接后,客户端向服务器获取IP地址,首先会向服务器广播请求IP地址,然后服务器会向客户端回复一个Offer,在这个Offer中就包含了服务器给客户端分配的IP地址,然后如果主机接受这个地址的话主机再发送一个request请求,如果客户端已经接受了别人的IP地址,那主机就会拒绝其他服务器发送的Offer,客户端确认服务器分配的IP地址后,服务器就会回复一个ACK的最终确认,ACK数据包包含了分配给主机的IP地址、掩码、网关、DNS。
2024-07-29 21:47:04
625
原创 学习日志7.28--DNS(Domain Name System)域名解析协议
DNS域名是如何解析的。在服务器上就就需要将域名和IP地址注册到服务器里面,当主机用域名访问的时候,首先会向DNS服务器发送一个请求去查询这个域名对应的IP地址,然后由域名服务器向主机回复,在由主机将回复的IP地址打包到数据中。在发送数据或者说在访问网址的时候,需要目标的IP地址,但是有的时候不知道对方的IP地址,只知道对方的域名,于是就可以通过域名解析服务解析到目标的IP地址。模拟DNS解析的拓扑图,用PC机模拟Baidu的服务器,用服务器去模拟DSN服务器,先按配置,配置好各设备的IP和接口信息。
2024-07-28 20:10:49
279
原创 学习日志7.28--VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议
在二层交换机和三层路由器的连接过程中,通常都是路由器用一条线路直连交换机,但是容易出现一个问题当连接的路由器出问题的时候,那与之相连的子网就会网络瘫痪,为了解决这个问题,就采用两台路由器进行连接,一台做主要路由器,一台做备用路由器,当主要路由器发生故障的时候(这叫单点故障),备用路由器就自动转为主要路由器,称为主备选举。还需要注意的是,在数据传输过程中,若启用主路由器,则数据会从主路由器通过,不会从备用数据通过,当主路由出现故障就会启动备用路由,数据就会从备用路由通过。对R1的接口进行关闭,模拟故障。
2024-07-28 17:44:36
607
原创 学习日志7.27--VLAN间路由
Vlan虚拟局域网技术,可以将一个物理的局域网划分成几个逻辑的局域网,且逻辑的局域网之间不能直接通信,相互互不影响。如果在不同的虚拟局域网之间下的主机需要通信,那就需要靠VLAN间路由技术。
2024-07-27 23:09:55
975
原创 学习日志7.23--配置静态路由
首先介绍一下路由器的路由表通过命令:display ip routing-table,就可以查看路由器配置的路由表这条意味着是发往目标网段是192.168.1的数据,他的下一跳是发往IP地址为192.168.1.254的网关,接口是GE0/0/1,这相当于,192.168.2网段的数据发送到路由器子网192.168.2的网关,识别是发送到192.168.1的网关,然后查表,下一跳是转发到接口192.168.1.254,然后由接口192.168.1.254发送到子网192.168.1。
2024-07-23 01:01:25
1357
原创 学习日志7.22--Router路由器转发原理
在不同网络内的主机进行通信的时候,会先发送ARP查询请求,查询对方的MAC地址,但是ARP请求只能查询在相同子网内的主机MAC地址,当主机访问其他子网主机时,首先判断主机是否配置了 网关IP 地址,如果没有配置网关IP地址,就无法发送到路由器,无法转发到目的子网,就不能通信。网关地址,在配置路由器的时候一般会给路由器的接口配置IP地址,也叫网关地址,通常情况下是该子网内的路由器地址,当子网内的主机要向另一个子网通信的时候,会通过网关地址,将数据发送到路由器上,然后由路由器进行查表转发。
2024-07-22 20:04:06
469
原创 学习日志7.21--VLAN虚拟局域网
VLAN(virtual)虚拟局域网技术,是对连接在二层的交换机端口,进行划分隔离的技术,将一个大的广播域划分成逻辑上虚拟的几个小的广播域,小的广播域之间互相不连通。LAN是一个局域网,vlan就是将一个局域网划分成多个小的局域网,且各个小的局域网之间互相不通信。
2024-07-21 19:38:04
709
原创 学习日志7.17--交换机转发原理
各主机之间通信是通过网线进行一对一互联的,但只适用与少量用户。在主机数量过于庞大的时候适合用Hub(集线器)将各主机连接在一起,Hub(集线器)还可以通过与多个Hub连接在一起变成一个更大的区域网络。但是Hub也有缺点,Hub将各主机连接在Bus总线上,在一个主机发送数据帧的时候是以广播的形式发送的,但是发送到各个主机的时候,只有符合数据帧封装的目的MAC才能被目的主机接受,其他不被接收的数据帧被舍弃,这样的发送方式会消耗大量的资源,最重要的是,容易发生数据帧的碰撞。
2024-07-17 14:51:07
698
原创 学习日志7.14--ARP地址解析协议
ARP地址解析协议的作用就是通过IP地址去查询主机的MAC地址,在ping对方主机的时候,我们输入的是对方主机的IP地址,但是在数据封装的时候,我们又需要对方主机的MAC地址,这时就要用到ARP地址解析协议。
2024-07-15 01:07:38
695
原创 学习日志7.13--ICMP协议
在发送端输入ping命令之后,会向接收端发送Echo request叫回显请求,然后经过封装在经过网卡发送出去,接受端接受到之后,对数据进行解封转,然后回复Echo reply叫回显回复,表示通信正常,设备之间能正常通信。若通信失败,则不能回复,会看到无法访问目标主机,请求超时。一般在ping通测试的时候是ping五次,通过指令ping -c 次数,可以自己设置ping的次数。给两个服务器配置地址,设置目标服务器,设置ping通的次数,最大设置10次,过多无效,点击发送进行Ping测式。
2024-07-13 15:15:40
367
原创 学习日志7.12--数据封装与解封装
在TCP/IP模型中,存在应用层、传输层、网络层、数据链路层,数据是由应用发送出去的,其封装过程自上而下经过各层级,而解封过程是自下而上经过各层级到达接收端的应用层。
2024-07-12 22:48:48
352
原创 学习日志7.11————网络模拟环境搭建
在学习HCIP的时候,会需要进行试验模拟帮助我们学习,今天学习的是网络模拟环境搭建需要用到的软件有VirtualBox-5.2.44、WinPcap-4.1.3、Wireshark3.4.4、eNSP。
2024-07-11 11:53:33
840
原创 寻求大佬帮助,关于虚拟机安装win7系统之后无法开机的问题如何解决
安装好win7系统之后应该进入系统设置的界面,但是虚拟机直接就关机了,试过好多镜像文件,应该不是iso的问题,安装设置过程是常规应该也没有问题,剩下的就不知道了,希望有人能够帮助我,谢谢谢谢
2024-01-09 10:05:20
679
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人