防火墙
作用
隔离网络,将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全保护。默认拒绝全部。
基本功能
访问控制,攻击防护,冗余设计,路由交换,日志记录,VPN,NAT
常见厂商
H3C,junniper,Cisco,天融信,启明星辰,山石,华为,锐捷,F5
区域概念
分类(按技术实现)
1.包过滤防火墙:最简单的防火墙技术之一,功能简单,配置复杂
2.状态检测防火墙:现代主流防火墙,速度快,配置简单,功能多
3.应用(代理)防火墙:最早的技术之一,效率低,速度慢,安全性高
4.WAF防火墙:web应用防火墙
5.应用层防火墙:对应用层数据进行防护
衡量指标
- 吞吐量:在不丢包的情况下单位时间内通过的数据包量
- 时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔
- 丢包率:通过防火墙是所丢失的数据包量与所发送数据包总量的比率
- 并发连接数:防火墙能够同时处理的点对点连接的最大数目
- 新建连接数:在不丢包的情况下每秒可以建立的最大连接数
状态检测防火墙原理
解释:
只有在第一个的时候才会形成会话状态,后续有相同的帧就进行状态检测,匹配上就直接封装帧快速转发,不走策略跟路由。匹配不上就重新形成记录会话状态,然后走策略、路由、封装帧的操作。会话状态大约持续60s。
当100.2给192回包的时候,首先依然进行状态匹配,检查会话状态,如果能够匹配上会话状态里的路由出口,源IP,目标IP,就可以说明此数据包是回包,则直接放行。如果192没有产生会话状态,则100.2是不能够访问192的。
防火墙就是通过状态匹配来判断是不是回包,是回包则直接通过,不是则拒绝访问。
防火墙的工作模式
1.透明模式:一般用于网络已经搭建完成,不想对现有网络做任何更改。
2.路由模式:一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能
3.混杂模式:=1+2
防火墙部署
trx防火墙
默认内网IP:192.168.1.254
默认账号:superman:talent
实验一:区域隔离
配置界面:
创建区域,接口加入区域。
配置接口IP:
配置策略:
基本策略:从高到低放行
实验二:PAT
实验三:目的转换(DNAT)
写策略:
实验四:内容过滤
1597246294620)]
[外链图片转存中…(img-QR5kBGwW-1597246294621)]
[外链图片转存中…(img-mtLFCsZI-1597246294621)]
[外链图片转存中…(img-oN8h6vPl-1597246294622)]