防火墙的基本概念与配置

最新推荐文章于 2025-05-07 10:41:07 发布
最新推荐文章于 2025-05-07 10:41:07 发布
阅读量324 收藏 2
点赞数
分类专栏: 数通 文章标签: 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_49511848/article/details/131313903
版权

文章目录

基本概念

安全区域

接口被添加到区域,该接口所连接的网络都属于该区域。
接口属于local区域

在这里插入图片描述

安全策略

控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略
对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。

  • 五元组
    源地址、源端口、目的地址、目的端口和协议

  • 安全策略匹配过程
    当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。
    默认为拒绝所有

会话表

会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。
只对首包或者少量报文进行检测即可确定一条连接的状态,后续报文直接根据所属连接的状态进行后续包处理流程
一条会话若长时间没有被匹配,则会被会话表删除。

不足之处

  • 碰见长连接的会话,可能会被中断
  • 单向安全策略,在一些协议需要多协议通道进行工作时无法进行

ASPF与Server-map

ASPF(Application Specific Packet Filter,针对应用层的包过滤)
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。
Server-map表也记录了类似会话表中连接的状态,但比较简单,在真实流量到达前生成,真实流量到达时会根据此表进行转发.

在这里插入图片描述

配置命令

  • 接口视图可设置允许/拒绝通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage telnet deny
[Huawei-GigabitEthernet0/0/1] service-manage http permit
  • 将接口配置到安全区域
[FW]firewall zone dmz
[FW-zone-dmz]add in g1/0/2
  • 配置安全策略
    从trust区域去往untrust区域,源地址为10.0.2.0被放行
[FW]security-policy
[FW-policy-security]rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1]source-zone trust
[FW-policy-security-rule-policy_sec_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_1]source-address 10.0.2.0 mask 255.255.255.0
[FW-policy-security-rule-policy_sec_1]action permit
  • 配置基于源的NAT
创建地址池
[FW]nat address-group group1
[FW-nat-address-group-group1]section 1.1.1.254 1.1.1.254

配NAT策略
[FW]nat-policy 
[FW-policy-nat]rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1]source-zone trust
[FW-policy-nat-rule-policy_nat_1]destination-zone untrust
[FW-policy-nat-rule-policy_nat_1]source-address 10.0.2.2 24
[FW-policy-nat-rule-policy_nat_1]action nat address-group group1 

配置NAt Server
[FW]nat server policy_natserver_1 protocol tcp global 1.1.1.254 2323 inside 10.0.4.4 telnet no-reverse
防火墙技术
jc1112323的博客
10-08 387
防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离,隔离“火”的蔓延,“火”则指的是网络中的各种攻击。
华为防火墙概念及配置案列
zhanglongquan的博客
08-09 1638
防火墙主要用于保护一个网络区域免受来自另一个网络区域的攻击和入侵行为、也是防止黑客攻击内部网络的重要防线之一。
【ensp】关于防火墙的一些名词
qq_55803921的博客
07-13 1331
07/13课堂笔记 一些名词: ddos攻击防范:ddos攻击就是通过伪造大量不同的mac地址让交换机学习,让交换机无法正常处理其他事情 SPU:防火墙特有的,用于实现防火墙的安全功能 五元组:源/目地址、源/目端口号、协议 ASPF技术:应用包过滤技术,可以根据协议推出应用包内容,根据内容提前生成server-map表项,在流量没有匹配会话表时,可以匹配server-map来处理 ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接 ftp的主动模式(port):serve
华为防火墙配置基于用户的策略路由
Tony_long7483的博客
09-08 2848
1.基本IP地址及连通性配置 (1)内网IP地址配置 (2)配置外网IP地址 [ISP1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [ISP1-GigabitEthernet0/0/1]ip add 40.1.1.2 24 [ISP2-GigabitEthernet0/0/0]ip add 30.1.1.3 24 [ISP2-GigabitEthernet0/0/1]ip add 50.1.1.3 24 [AR3-GigabitEthernet0/0/0]ip a.
防火墙安全策略和NAT策略的匹配优先级
qq_35382262的博客
02-29 1941
防火墙上如果做的目的NAT,则先匹配目的NAT策略,在匹配安全策略。防火墙上如果做的源NAT,则先匹配安全策略,在匹配源NAT策略。
防火墙的会话机制
m0_73642707的博客
03-09 796
当一台主机访问服务器时,第一个数据报文到达防火墙后,防火墙会首先查看会话表。随后的数据报文在到达防火墙时,将不再查看策略表,而是直接查看会话表进行匹配,并据此进行转发。当返回的流量会话表中的记录匹配时,防火墙将不再进行安全策略检查,从而提高处理效率。这意味着防火墙不仅关注单个报文的内容,还会考虑报文所属的会话状态。在某些特殊情况下,如报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种模式下,防火墙将能够通过后续报文建立会话,保证业务的正常进行。
防火墙基本概念及分类
热门推荐
whoim_i的博客
11-25 1万+
目录一、防火墙的概念防火墙的作用防火墙的分类(1)过滤型防火墙(2)应用代理类型防火墙(3)复合型 一、防火墙的概念 一个网络连接到internet,其内网可以外网进行通信,外网也可以内网进行交互。但是外网可谓鱼龙混杂,充满的许多的不安全因素,那么为了保证内网系统的安全,就需要在内网外网之间插入一个中介,阻挡来自外网的威胁和攻击。那么这个中介就叫作防火墙防火墙是指设置在不同网络或者网络安...
防火墙基本概念
aaronszm的博客
01-15 8589
一、简介 1、防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。 2、所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网公共网之间的界...
华为防火墙配置视频.zip
02-07
1. 防火墙的作用及应用场景.mp4详细讲解了防火墙基本概念,它是一种网络安全部件,旨在防止未经授权的访问和攻击,同时允许合法的通信通过。视频内容涉及防火墙的不同类型和它们在网络中的位置,如边界防火墙、...
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
防火墙接口配置三步骤
qq_47529104的博客
03-03 2067
1、为接口配置IP 2、将接口配置进安全区域 3、如果是同区域不需要设置安全区域,当然也可以配置,默认是放行流量的 其他 默认情况下防火墙是不允许其他人访问,也不允许自己主动访问其他人。但是如果你在接口上配置service-manage ping permit,或是其他管理流量的允许,那么别人可以使用相关的协议去访问防火墙,但是防火墙自身依然不能主动地去访问其他人。 ...
防火墙——防火墙基础知识
m0_49864110的博客
06-01 6983
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
防火墙会话表解析
2302_76838247的博客
09-27 2060
防火墙会话表解析
华为防火墙会话 session table
macob的专栏
08-05 825
华为防火墙 会话 session
华为防火墙-2-状态检测会话
macob的专栏
07-26 4731
华为防火墙 状态检测 会话
华为防火墙配置目的nat
Ddfgxfgg的博客
10-17 2711
华为防火墙内网映射
网络之华为USG6000防火墙日志清理
月生的静心苑
12-23 8383
一、需求 升级USG6320防火墙系统版本,上传新的IOS时提示没有足够的存储空间。新系统bin文件大小196M,防火墙存储空间580M,当前系统bin文件大小178M,存储空间足够存储2个系统版本的bin文件,所以需要释放空间来完成系统升级,可以通过清理日志文件释放存储空间。 二、日志清理 1、进入日志目录并查看 命令如下: cd log dir 2、单个删除早期的日志文件 使用>delete /unreserved filename 命令删除文件 dir再次查看free空间已增大
端口安全讲解
最新发布
rzy41880的博客
05-07 899
‌MAC地址绑定机制‌端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。‌安全MAC类型‌‌静态绑定‌:管理员手动配置允许的MAC地址列表;‌动态绑定‌:交换机自动学习首个接入设备的MAC地址并锁定;‌Sticky MAC‌:动态绑定基础上支持断电后保留绑定关系。类型定义特点安全动态MAC地址仅开启端口安全转换的MAC地址。设备重启后表项会丢失,需要重新学习。
美团后端开发一面
weixin_54385104的博客
05-06 987
内存中;单线程多路复用;数据结构优秀,举了sds和跳表例子;
天融信防火墙:安装配置功能详解
在使用天融信防火墙时,首先需要理解的是其基本定义。防火墙可以被视为一种分隔内外部网络的屏障,它依据预设的规则(访问控制列表,ACL)来决定数据包是否可以进出特定的网络区域。内部网通常指相对安全的内部网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值