网站建设总结经验,轴承网站建设,wdcp网站搬家,学生可以做的网站兼职文章目录 前言理论介绍1. 安全策略1.1 定义#xff1a;1.2 关键术语#xff1a; 2. 防火墙状态监测 实战步骤1#xff1a;实验环境搭建步骤2#xff1a;配置实现 总结1. 默认安全策略2. 自定义安全策略3. 防火墙状态会话表 前言
who#xff1a;本文主要写给入门防火墙的技… 文章目录 前言理论介绍1. 安全策略1.1 定义1.2 关键术语 2. 防火墙状态监测 实战步骤1实验环境搭建步骤2配置实现 总结1. 默认安全策略2. 自定义安全策略3. 防火墙状态会话表 前言
who本文主要写给入门防火墙的技术爱好者。
what本文介绍安全策略的基本概念和关键术语、防火墙状态监测、实战、总结等。
when文档创建时间-2024年8月21日
where作者-Evelynne Alpha 版本-v1
why期望读者从文档中获得理论知识并体验实验。 理论介绍
1. 安全策略
1.1 定义
防火墙安全策略是在防火墙中定义的一组规则用于控制进出网络的数据包流动。这些策略基于各种条件来决定数据包是否被允许通过防火墙从而达到保护网络免受未授权访问和潜在威胁的目的。 1.2 关键术语
1.规则匹配条件安全策略包含一系列匹配条件例如源安全区域和目的安全区域、源和目标IP地址、端口号、协议类型、应用类型、用户身份和时间范围。数据包必须满足所有指定的条件才能与策略匹配。 2.策略动作一旦数据包与某条安全策略匹配防火墙将执行该策略定义的动作通常是允许permit或拒绝deny。允许意味着数据包将被转发而拒绝则意味着数据包会被丢弃。 3.安全配置文件网络安全设备或软件中用于定义和实施特定安全策略的设置集合。这些配置文件可以帮助组织控制网络流量、保护数据、防止恶意软件传播以及遵守法规要求。 2. 防火墙状态监测
防火墙会话表Session Table是网络防火墙用来跟踪和控制通过网络接口的数据流的机制。每个通过防火墙的连接或会话都会被记录在会话表中这有助于防火墙执行其安全策略。 实战
步骤1实验环境搭建
实验环境华为eNSP网络模拟器 添加设备搭建拓扑 添加一台防火墙、两台交换机、一台Client1、一台Server1。 Client1连接 Trust 区域Server1连接 Untrust 区域。 实验目的 理解防火墙默认安全策略。 理解防火墙安全策略的流量管控。 理解防火墙监测状态会话表。
步骤2配置实现 PC配置 PC1配置IP地址192.168.1.1/24设置默认网关为防火墙相应的接口地址。 交换机配置 禁用生成树协议STP。 stp disable防火墙配置 登录防火墙设备。默认用户名admin默认密码Admin123配置接口IP地址 system-view
sysname FW2
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
quitinterface GigabitEthernet 1/0/2
ip address 192.168.2.254 24
quit配置安全区域。 firewall zone trust
add interface GigabitEthernet1/0/1
quitfirewall zone untrust
add interface GigabitEthernet1/0/2
quit配置安全策略 interface GigabitEthernet1/0/1
service-manage all permit
quitinterface GigabitEthernet1/0/2
service-manage ping permit
quitsecurity-policy
rule name t_2_unt
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
quit4.Server1配置 Server配置IP地址192.168.2.1/24设置默认网关为防火墙相应的接口地址。开启http服务。 5.网络测试 Client1客户端 访问Server1服务器的http服务。查看FW2防火墙的会话状态表。用Wireshark抓包。 总结
1. 默认安全策略
华为防火墙默认安全策略是拒绝所有流量。
display security-policy rule all但是可以修改。这个可以用于业务没上线之前没做安全策略之前测试网络互通。 通俗的说这个时候防火墙相当于路由器的功能了。
security-policy
default action permit2. 自定义安全策略
在FW2防火墙上做如下配置
security-policy
rule name t_2_unt
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
quit3. 防火墙状态会话表
Server1服务器不能主动访问Client1客户端。
client1客户端访问Server1服务器的http服务然后立马回到FW2防火墙上查看状态会话表。
display firewall session table 抓包结果
SYN, ACK, FIN: 这些是TCP控制位表示不同的TCP连接状态
SYN: 同步序列编号用于建立连接。ACK: 确认应答表示接收到的数据包已被确认。FIN: 结束连接用于关闭连接。
Client1-Server1: 创建会话表 Server1-Client1: 命中会话表 注意防火墙会话表中的条目会在一定时间内自动过期。目的是为了控制流量有效地管理和保护网络通信。
在本文中做的安全策略配置可以使untrust安全区域主动访问trust安全区域不会建立会话表但当trust安全区域主动访问untrust安全区域的时候才会建立会话表。
