1、正常开局最近的项目上了一台USG的6325E,需求很简单,打通外网,然后做好安全策略就行,这里用WEB开局,发现界面跟以外的不太一样,还在想E系列既然还更新新版本了作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)进去后,会有一个明显的提示,说“当前设备未激活,功能不可用”,之前的版本都没有出现过这个,刚开始还以为是指的内容安全,没有在意。2、怀疑人生的开
前言在很多时候想控制客户端上网,只能去找对应客户端所在的网段,查找到对应的IP或者MAC地址,在进行控制,而且IP并不能代表具体的某个“谁”,如果想知道“谁”做了什么,就只能通过IP去判断,在查找上面会有很大的限制。用户认证的出现用用户名代替了IP,防火墙可以不去关心你IP、MAC是多少,只看你的用户名,通过用户名来控制访问的权限、查看操作了什么,而这个用户最终关联到具体的某个主体上面去。将IP地
前言在讲解虚拟专用网时候,提到过,分为两种组网方式,一种是站点到站点的,也就是之前我们一直在讲解的内容,另外一种就是client到站点的,也就是远程拨号系列,这就是接下来要讲解的内容了。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)这种场景的特点为:客户端的地址不固定。且访问是单向的,即只有客户端向内网服务器发起访问。适用于企业出差员工或临时办事处员工通过
回顾GRE配置 作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)BJ_FW身后有一个服务器,CS_FW与CD_R后面的client需要访问这个服务器,希望不把服务器暴露在公网上面,能实现的那就只有GRE与IPSec了,但是GRE没有安全性保障,IPSec有安全性,那能不能把GRE与IPSec结合起来一起使用呢?下面先回顾下GRE的配置,把各个点之前
IKE/ISKAMP的协商过程 这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。 作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)IKE与IPSEC相关的配置回顾当192.168.10.1访问20.2的时候中间发生
IKE的出现上一篇通过IPSec实现了BJ到CS的业务互通,但是是通过手工方式把加密和验证密钥手动配置,为了保障安全性,就需要经常去修改这些密钥,小型场景还好,来来回回就这2个点 作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)修改起来不算麻烦,但是随着企业业务发展,分支数量点增加,维护的工作量越大,最终需要投入更多成本进去。为了解决这
前言 IPSec算是比较复杂的协议之一了,标题写着“熟悉又陌生”,熟悉是IPSec这个技术应该听过很多次了,不管是在书中还是大佬聊天中说用IPSec可以实现这个需求,保护数据的安全,陌生则是并不知道IPSec具体是怎么工作的,为什么能够保证到数据的安全性,又在工作中应用这么广泛,所以这几篇也是最费心思了,博主的想法是把枯燥的固定算法等简单介绍,着重点在IPSec的整个框架以及在配置以及排
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog) 虚拟专用网(V*N)相信IT人员是最熟悉的了,就算是一个不懂技术的多多少少也听过这个技术名词,特别是去年疫情其间流行的远程办公,大部分就通过V*N技术实现的,下面博主用实际场景介绍来带你走进新的知识点篇,企业组网常见的V*N系列。 异地局域网如何互通? 对于局域网互通相信大家都懂
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)基于链路的权重负载分担(真机演示)这里博主采用真机演示,模拟器只能配置没办法模拟出效果,真机能够真实的体验出效果,更好的去理解,所以这边采用真机配置了。环境简化了,防火墙内网接了一台测试电脑(博主用的),外网对接了两个线路,上网对接方式都是DHCP,一个宽带是20M,一个宽带是50M,我们来看看基于
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。 方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商 (2)速率要求一样,否则会出现某一条带宽被占满导致网络访问缓慢以及丢包的情况。这里实验环
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)前言 如今的互联网时代,企业对于网络的要求越来越高,不管是从带宽还是可靠性方面考虑,会想运营商租用两条(甚至多条)的外网带宽,可能是同一个ISP的,也可能是不同的ISP的,随之带来的问题就是多条外网线路如何去规划、配置成了一个头疼的事情,接下来博主会从多方面讲解关于选路的内容,相信学习完
需求:客户外网是ADSL拨号,但是可以获取到动态的公网地址,现在有一台服务器需要对外发布服务,但是存在一个问题就是ADSL拨号在一定时间后,运营商会回收这个地址,ADSL会重新拨号获取新的地址,本身客户记住的是A地址,但是重拨后换成了B地址,导致业务访问失败,需要解决地址变化带来的访问问题,解决这个就需要用到标题提到的一个技术叫做DDNS。 作者:网络之路一天 首发公众号:网
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)实际案例:多出口下的NAT server应该如何部署在实际场景中,为了保证业务的正常访问,很多企业都有双线路的部署,而内网也有业务要发布出去,所以两个公网的线路都需要发布该服务出去,让公网用户访问,目前带来的问题是,这两根线路的安全区域该如何划分?在同一个untrust里面呢 还是单独的各
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)技术出现背景NAT技术的出现主要是为了解决IPV4地址枯竭的问题,回想下上一篇,学过了几种主流接入Internet的方式,但是这几种方式都是配置在防火墙上面,防火墙访问外网没问题,但是下面的终端设备呢?不管是DHCP还是PPPOE拨号都只有一个可以上网的地址分配下来,而固定专线可能有几个,对于一个局域网几十台、
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)Local区域的安全策略 在学习安全区域的时候,提到过防火墙有一个特殊的区域为Local区域,Local区域的作用是管理防火墙自身的流量的,包括去往防火墙自身的流量,以及防火墙自身发出去的流量,别小看这个Local,很多技术都依赖防火墙自身去建立,如果策略没有得到放行,那么这些技术都实现不起来,工作中
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)什么安全策略从最开始介绍防火墙开始,防火墙的定位一直强调的是控制为主,对进出网络的访问行为进行控制。安全策略可说是防火墙最核心的特性了,下面就来看看下一代防火墙的安全策略是什么样的。 一个简单的小实验来体验下安全策略在体验安全策略之前,还需要做一件事情,就是之前学过的安全区域划分,安全区域划分是来确定
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)前言 博主这次讲课用的真机是USG6307E(在模拟器不支持的功能下使用),尽量还是用模拟器给搭建讲解与演示,方便大家跟着一起学习。(在学习防火墙的内容建议大家有一定的路由交换基础,更容易理解)本次课程还是以命令行为主,WEB为辅,结合工作中常见的组网案例以及会遇到的问题进行讲解,让大家在学习完后对华
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)防火墙的前世今生 1、第一代防火墙:包过滤防火墙,实现简单的访问控制,也就是我们经常在交换机路由器用到ACL技术当我们192.168.1.1需要访问192.168.2.1的WEB服务的时候,先要去精确控制能匹配源目地址,端口号,包括方向。(1)从PC访问服务器的方向来说,源地址是192.168.1.1
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号