防火墙怎么放开ospf通讯 防火墙放行ospf

隔离网络：

将需要保护的网络与不可信任的网络进行隔离，隐藏信息并进行安全防护

防火墙可以替代路由器

注意：路由器配置好IP和路由的话默认是放行的，是往路由器里头写限制，但是防火墙是默认不允许通过的，是往防火墙上头写放行

防火墙基本功能：

访问控制：ACL 策略

攻击防护：3，4层攻击

冗余设计：hrsp，vrrp

路由、交换

日志记录

虚拟专用网VPN（需要买授权，两种VPN都支持）

NAT

Dos拒绝服务攻击

DDos：分布式拒绝服务攻击

并发连接数128000

//同时可建立128000

并发连接数（新建连接数）

并发连接数范围50万到100万（实际上能有一半就不错了，如果是一百人的网络一半再除以一百就是每个人实际可用的会话数，可能一个网页就要占用5个会话）

区域隔离：

防火墙区域概念：

内部区域

DMZ区域称为“隔离区”，也称“非军事化区域/停火区”

外部区域

IPS入侵防御系统：满足特征库就干掉，牺牲性能检查甚至重组（五层防御）

直路/并行/串联需要对外发布的服务器放在DMZ区：

占层检查：看应用层有没有sql语句，有的话认为是sql注入

IDS：入侵检测系统：不防御，只记录

选择旁路安装

防火墙分类：

1）按防火墙形态分类：

软件防火墙

硬件防火墙

2）按技术分类：

包过滤防火墙

状态检测防火墙

应用代理防火墙

WAF防火墙

应用层防火墙

防火墙两个会话：员工到防火墙

防火墙到内网

上网行为一般给定每个人带宽：300-500KB/人

也就是3-5M

限制迅雷10KB/人（因为迅雷要是开了会员有可能占了所有网络的带宽）

Day22

防火墙工作模式

透明模式

路由模式

混杂模式

防火墙二层端口不配IP，也可以起防护作用

三层端口配IP

防火墙端口是二层，不代表只能工作在二层有可能内置了其他东西

透明模式一般在不想影响网络架构的时候使用

路由器叫做NAT

防火墙SNAT 源地址转换

DNAT 目标地址转换

实验：

防火墙接口一般都是叫做eth0，eth1等

使用top-gate时由于xpIE版本太低，无法通过浏览器管理防火墙，所以我们可以把真实机v1打开，用真实机管理防火墙即可

防火墙创建三个区域：

如果所有设备都放在v1的时候，pc不经过防火墙也可以通信，无法检测出防火墙的作用，所以不能那么设置

中国国产防火墙第一个接口eth0已经被配好了，192。168.1.254

默认80/443端口已经打开

80：http

443：https

虚拟机中的防火墙默认打开的时8080

NGFW是下一代防火墙

xp：Inside-pc v1

2003：DMZ-pc-2003

2003：Outside-pc-2003

topgate-1：解压到vm，我已复制，还原快照发现5块网卡

网卡1就代表eth0

网卡2 eth1

3eth2

4eth3取消启动

5eth4取消启动

login：superman

psw：talent

show

不分模式

实验一：验证区域隔离以及策略编写：

1.pc配置IP及网关

2.防火墙：创建区域—>接口加入到域

3.接口配置IP，配置路由（本实验不需要配置，因为都是直连的）

4.书写策略并验证

–100.1.1.

xp：192.168.1.1

255.255.255.0

192.168.1.254

DMZ:172.16.1.1

255.255.255.0

172.16.1.254

Outside:100.1.1.2

255.255.255.0

网关：100.1.1.1

PAT

真实机----------网络配置-----vmnet1更改—启用 192.168.1.100 255.255.255.0（这里不需要配置网关因为100网段已经能够与防火墙通信）

真实机配网关会出问题，因为真实机本来就有一个网关

真实机：ping 192.168.1.254可以ping通

打开IE：https://192.168.1.254:8080

superman

talent

资源管理----区域—点击操作inside/trust

访问权限：禁止

允许的话防火墙跟路由器的区别

添加dmz 禁止eth2

outside禁止eth1

网络管理–接口—eth1–编辑 outside----路由----（access vlan几还有trunk二层接口的时候可以选择）—100.1.1.1 255.255.255.0添加

eth2---------DMZ------------172。16.2.254---------255.255.255.0

路由器只看eth0，eth1，eth2优先级都是10，都是1

直连接口IP地址

路由中添加0.0.0.0 0.0.0.0 100.2选择接口（这里不需要配置因为都是直连）

现在没有配置策略谁都访问不了谁

ping 172.16.1.1不通

防火墙----------访问控制—添加策略-------inside----------任意---------目的dmz outside -----服务：任意----动作：允许-----日志记录（指正常的流量不记录）不记录—内容安全策略（5层）无-----------确定

添加DMZ

outside

允许

允许

确定

高—低放行已经完成

xp----ping 100.1.1.2

ping 172.16.1.1

验证看通不通

172.1.1.1 ping 100.1.1.1看通不通

实验二做源转换：

在实验一的基础上，把外网pc的网关去掉，outside网关去掉

1.配置源转换（PAT）实现inside以及dmz区可以上网

防火墙—地址转换

inside ping100.1.1.2不通

不通的原因不是因为防火墙不让过，而是因为外面的私有地址不回包

防火墙：地址转换----添加—源转换—任意inside----dmz—目的 任意 outside-----服务 任意—源地址转换为eth1----不勾选源端口固定

其他勾选

此时外网pc无法给192或172回包，相当于模拟了互联网

配置源转换（PAT）实现inside以及dmz区可以上网（源转换把源地址私有IP地址在出去的时候转换为公网IP地址）

防火墙地址转换

实验三：目标转换DNAT（静态映射也就是把内网服务器映射到公网IP的固定端口上，只开放服务器的一个小口）

在实验1-2的前提下：

1.把dmz区的2003部署为WEB服务器，并发布出去
 1）做DNAT
 2）写策略outside-----dmz 172.16.1.1：80
 2.使用outside区域2003（外网pc）通过访问http://100.1.1.88
 DMZ------------光盘------------CD/DVD------------启动时连接----------windows sp2原版--------安装-------组件-------万维网服务
 web默认站点在c:\in。。。。\wwwroot（修改默认站点的网页内容）
 防火墙的配置之后记得点击右上角的保存按钮不然每次开机重启策略就没了
 防火墙----------目的转换---------outside进来 目标无100.1.1.88（怎么办）
 资源管理-------定义地址----地址----主机----添加----------100.1.1.88 （名称vip-web-wencoll）-----添加------确定
 新建地址 dmz-web-wencoll 172.16.1.1
 80端口已经默认打开，所以不需要定义
 目的转换-------源：outside----------目的：vip-web-wencoll-----服务：http添加-----目标地址转换为dmz-web-wencoll-------------目的端口转换不需要做--------确定
 outside-pc：ie：100.1.1.88回车无法访问------为何？因为防火墙没有写策略
 防火墙--------访问控制--------源区域outside-------任意------（外----内）目标区域：dmz------地址：dmz-web-wencoll
 注意：思科防火墙：外网到内网：放行一100.1.1.88作为目标IP并且以80作为目标端口号的时候
 天融信：外网到内网，先NAT，把100.1.1.88转换为172.16.1.1，再配置策略，允许外网到100.1.1.88，策略只让100.1.1.88通过然而100.1.1.88已经转换为了172.16.1.1，所以172.16.1.1过不去
 服务http------允许
 再做防火墙相关配置的时候，只要出了问题，要马上想到防火墙
 outside-pc：ie：100.1.1.88可访问
 天融信防火墙从外网访问内网的话：
 1）先查看状态表有没有
 2）NAT
 3）防火墙策略
 用内网服务器共享一个文件夹
 外网pc：win+R：//100.1.1.88 不可访问
 原因：访问445端口 ，防火墙不让过，没有这一条策略
 实验四：内容过滤
 1）将外网的2003布置为公网的某web服务器以及DNS服务器
 2）此时内网以及dmzpc均可通过域名访问外网网站
 外网pc记得ip配置DNS服务器
 外网pc做成web服务器，iis服务器--------DNS服务器
 3）做url过滤，结果一般网站可以访问，黑名单url禁止访问
 4）http内容过滤，结果包含敏感词汇，禁止访问网站
 outside-pc：
 web-----------属性-------地址-----------100.1.1.2------------添加主机头值www.xxx.com
 DNS：新建区域-----------主要区域-------------xxx.com
 右键新建主机-------www------100.1.1.2
 nslookup
 不想指向DNS，想测试DNS是否能用？
 nslookup
 测试环境
 server 100.1.1.2 手动指向DNS
 www.xxx.com
 exit
 退出之后，手动指向的DNS消失了，还是不能通过域名上网
 真实机：nslookup
 www.baidu.com
 server 114.114.114.114
 server 8.8.8.8
 www.baidu.com
 server 144.144.144.144
 www.baidu.com
 不同的DNS服务器解析同一个网址解析出来的IP可能不太一样
 然后给dmz以及inisde配DNS
 dmz-pc：DNS：100.1.1.2
 inside-pc：DNS：100.1.1.2
 inside-xp：ie：www.xxx.com可以上网
 dmz：ie：www.xxx.com可以上网
 outside：ie：可以上网
 //outside没有指向DNs，但是他会问自己，然后自己恰好是DNS所以恰好可以访问网站
 outside-pc：新建区域—baidu.com----www------100.1.1.2
 E盘新建baidu文件夹里头新建index.html
 修改内容
baidu
 

 IIS---------网站--------新建-------100.1.1.2 www.baidu.com 

 输入路径----------读取--------默认首页index.html 

 www.baidu.com 

 www.xxx.com 

 www.xxx.com应用层功能才能过滤输入的网址 

 内到外 

 防火墙访问控制-----------inside---------outside-------------内容安全策略新建（阻止弹出窗口允许，不建议在这里新建） 

 内容安全策略-----------添加--------in-to-out此策略用于inside与dmz通outside策略上，内容安全策略不可独立存在 

 访问控制----inside到outside---------内容安全策略-----------in-to-out 

 内容安全策略--------in-to-out-------编辑—http--------url过滤-----新建规则（不建议在这里新建，在这里引用即可）url黑名单----确定 

 内容过滤—http过滤–url添加----名称url黑名单—xxx.com-----禁止 

 允许是白名单，禁止是黑名单 

 inside-pc：xxx.com可以访问的原因，ie版本太低有缓存 

 ie清理缓存-------工具------internet选项-------删除文件—删除cokkie 

 还不可访问原因：http过滤------*xxx.com—禁止-----确定 

 www.baidu.com可以访问 

 xxx.com不可以访问 

 ping www.xxx.com可以访问 

 telnet www.baidu.com可以查看baidu有没有打开445端口 

 www.xxx.com内容过滤黄赌毒 

 取消url过滤 

 内容过滤—关键词黑名单----黄赌毒-----禁止 

 内容安全策略----in-to-out-----网页内容过滤----关键词黑名单