目录

概念：

特征：

作用：

基本功能：

防火墙的分类：

性能划分：

设备形态分类：

技术划分：

包过滤防火墙：

ACL七元组：

逻辑区域：

配置方式：

自定义安全区域：

删除自定义安全区域：

防火墙组网方式：

防火墙工作模式：

---

概念：

    什么是防火墙？
防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。
    在数据通信过程中，由于网络中的不安全因素将会导致信息泄密、信息不完整，信息不可用等问题，因此在部署网络时需要用到防火墙设备

特征：

逻辑区域过滤器
    隐藏内网网络结构
    自身安全保障
    主动防御攻击

作用：

保障网络安全
    USG5000系列---称为上一代FW
称为下一代防火墙  NGFW

基本功能：

访问控制，对于经过防火墙的流量进行过滤
支持VPN技术
防病毒

防火墙的分类：

性能划分：

百兆防火墙
        千兆防火墙
        万兆防火墙

设备形态分类：

软件防火墙
        硬件防火墙

技术划分：

包过滤防火墙：

包过滤的本质就是ACL（访问控制列表）
基于报文的头部特征及其他参数对流量进行过滤
permit S.IP Client D.IP server
                               D.port 21
            包过滤缺点：
                1、无法关联数据之间的关系
2、通常只检查头部，不检查数据
3、无法适用于多通道协议
                所以包过滤防火墙已经被淘汰了

ACL七元组：

S.MAC、P.MAC , S.IP、D.IP ， S.PORT、D.PORT ， 协议
            ACL五元组：
                 S.IP、D.IP ， S.PORT、D.PORT ， 协议
不包含二层的信息
        应用代理防火墙
            本质为中间人代理
            缺陷：
                1、传输效率低
                2、每种不同的应用/协议研发不同的代理防火墙
HTTP WEB非要我也去--->WAF Web应用代理防火墙
        状态检测防护墙
            状态检测技术
            首包检测：
                针对数据流的第一个进行检测
                创建会话表：
                    记录访问关系
                TCP：SYN消息
UDP：每一个UDP消息都是首包
ICMP：ICMP Request消息
            优势：
                处理后续包的效率高
检测应用data,安全性高
            状态检测防火墙转发的唯一依据：
                会话表
                防火墙收到数据包：
                    1、匹配会话表项
                        存在会话表则进行内容安全检查,检查通过刷新会话表老化时间，并转发数据
                        不存在会话表则需判断是否可以床架会话表项
                    2、创建会话表条件：
                        1、首包
2、路由
3、包过滤规则

逻辑区域：

默认存在4个逻辑区域，每个区域有不同的安全级别，不同区域的安全级别不能冲突。
但安全级别在下一代防火墙中无意义（只在上上一代防火墙有效）。
上一代防火墙：默认安全级别高的区域可以访问安全级别低的区域。
下一代防火墙：默认所有区域之间都不能互相理解。

    Local本地区域：
        防火墙自身，管理员无法干预
        安全级别：100
    Trust信任区域:
        一般将内网设为信任区域
        安全级别：85
    DMZ非军事化管理区域：
        一般将服务器设为DMZ区域
        安全级别：50
    Untrust非信任区域：
        一般将外网设为untrust非信任区域
        安全级别：5
    自定义安全区域：
        除默认区域外吗，防火墙还支持自定义安全区域
        自定义安全区域可以修改或删除，默认的四个安全区域不可以删除和修改安全级别

如何去划分区域：
    区域和接口
        区域以接口为单位：
        一个区域包含多个接口；一个接口只能属于一个区域
    子主题 2

安全产品：
    硬件防火墙、软件防火墙（360）
    上网行为管理器（ASG）
    Anti-DDos    --  防DDos攻击
    沙箱（病毒检测）

配置方式：

firewall zone trust  #进入trust区视图
add interface g1/0/0  #区域内添加接口（将1/0/0接口添加到trust区域里）

自定义安全区域：

firewall zone name +名字（中英文都可）    #创建自定义安全区域
set priority +安全级别（不能和原有的四个安全级别相同）
add interface g1/0/1   #区域内添加接口

删除自定义安全区域：

undo firewall zone name +区域名

不允许删除默认的四个区域
    接口开启ping功能：
        防火墙接口默认不开启ping功能，所以要手动开启

service-manage ping permit

防火墙组网方式：

    单机组网：
    双机热备：
    部署方式：
        直路部署
            防火墙串联在网络中，流量直接经过防火墙，防火墙可以实时控制数据
            对网络影响较大
        旁路部署
            防火墙并联在网络边缘，流量不直接经过防火墙，通过镜像技术，复制一份网络流量到防火墙上，实时性较差
            对网络几乎没有影响

防火墙工作模式：

    路由模式：
        防火墙工作在网络层
    二层模式：
        防火墙工作在数据链路层

安全策略：
    包过滤规则：
        通过报文特征匹配定义规则，实现流量控制
    内容安全检查：
        通过报文携带的应用数据进行检查
    默认区域内部允许通信，不同区域之间不允许通信
    安全策略类别：
        域内安全策略：
            针对同一个区域内的流量进行控制
        域间安全策略：
            针对域间流量进行控制
        接口安全策略：
            针对访问防火墙的流量进行控制
    配置方式：
        
        安全策略匹配顺序：
            子主题 1

配置命令：

firewall session aging-time service-set     #修改会话表项老化时间
display firewall session aging-time      #查看会话表项老化时间

分片报文：
    避免非首片到达防火墙被丢弃

长连接：
    针对一些需要长时间建立连接的服务，会话表会老化，采用长连接去维护会话表

ASPF（应用层包过滤）
    概述：
        1、识别应用层数据
2、根据应用层，生成server-map表
3、匹配server-map，匹配成功创建会话直接转发。
    开启方法：
        firewall detect ftp  #系统默认开启

网络安全基础 之 防火墙 双机热备、防火墙类型、组网方式、工作模式、逻辑区域划分相关推荐

1. 防火墙双机热备三大协议（VRRP-VGMP-HRP）原理

   防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...

2. 防火墙双机热备配置实例（三）

   今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...

3. 华为防火墙双机热备技术：HRP、VGMP、VRRP，三大技术值得一学！

   防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...

4. 防火墙双机热备技术详解

   今天继续给大家介绍HCIE安全相关内容.本文主要介绍防火墙双机热备技术. 阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获! 一 ...

5. 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象

   华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...

6. 防火墙双机热备配置实例（一）

   今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...

7. 防火墙双机热备，DHCP服务器，核心交换机负载分担及冗余设计

   文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述:         一般而言,防火墙部署于公司网络的出口 ...

8. 防火墙双机热备+负载分担

   防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...

9. 配置华为防火墙双机热备

   Web配置防火墙双机热备: 命令行配置防火墙双机热备: FW1 [FW1]int g1/0/1 //进入接口 [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual ...

10. Eudemon防火墙双机热备配置及实现

    Eudemon防火墙双机热备配置及实现,上下联为两台二层交换机#上联地址 int g 0/0/1ip addr 192.168.10.253 24 vrrp vrid 10 virtual-ip 19 ...

最新文章

1. CF1019E Raining season
2. 个人的关于c++运算符重载的总结
3. 现代密码学2.4--香农定理/Shannon Theorem：完美安全的充分必要条件
4. pytorch基础函数学习
5. QT的QUndoCommand类的使用
6. php isapi mysql_windows server 2003以isapi的方式配置php+mysql环境的详细过程
7. 微信群「斗图」总输，Python助我超神！
8. python大作业爬虫_Python大作业---微博爬虫及简单数据分析
9. CentOS开发ASP.NET Core入门教程
10. 从 0 到 1，高德 Serverless 平台建设及实践
11. eos 编译笔记(注意点)
12. BZOJ2654: tree 二分答案+最小生成树
13. ACM题目————STL练习之众数问题
14. Java基础面试题（持续更新）
15. PNP : Work Cound Frequence
16. c语言源程序自动评判系统,C语言源程序的自动评判系统.pdf
17. 长阳土家族自治县政府与升哲科技达成战略合作
18. android ip查看工具,安卓手机查看IP地址的两种方法
19. android高德地图自定义地图,(android地图开发) 高德地图自定义对话框
20. 电脑数据迁移高招，怎么把旧电脑的数据迁移到新电脑

热门文章

1. linux+gunzip解压命令,gunzip命令
2. 【拓展】这篇文章把TCP/IP讲绝了！
3. usb计算机连接flyme8,最趁手的安卓系统，Flyme 8使用技巧总结 上
4. 项目管理证书PMP的含金量高吗？
5. 【我的成长之路——英语】——good luck charlie
6. 4月Intel平台超值推荐及评测
7. 秒杀项目之秒杀商品操作
8. Vue实战开发二（个人中心实现）
9. comtrade文件C语言,COMTRADE录波文件资料格式定义.doc
10. 基于MATLAB的水果品质检测方法的研究