防火墻

基本定義
防火墻是一種隔離（非授權(quán)用戶在區(qū)域間）并過濾（對(duì)受保護(hù)網(wǎng)絡(luò)有害流量或數(shù)據(jù)包）的設(shè)備。
防火墻主要是借助硬件和軟件的作用于內(nèi)部和外部網(wǎng)絡(luò)的環(huán)境間產(chǎn)生一種保護(hù)的屏障，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)不安全網(wǎng)絡(luò)因素的阻斷。只有在防火墻同意情況下，用戶才能夠進(jìn)入計(jì)算機(jī)內(nèi)，如果不同意就會(huì)被阻擋于外，防火墻技術(shù)的警報(bào)功能十分強(qiáng)大，在外部的用戶要進(jìn)入到計(jì)算機(jī)內(nèi)時(shí)，防火墻就會(huì)迅速的發(fā)出相應(yīng)的警報(bào)，并提醒用戶的行為，并進(jìn)行自我的判斷來決定是否允許外部的用戶進(jìn)入到內(nèi)部，只要是在網(wǎng)絡(luò)環(huán)境內(nèi)的用戶，這種防火墻都能夠進(jìn)行有效的查詢，同時(shí)把查到信息朝用戶進(jìn)行顯示，然后用戶需要按照自身需要對(duì)防火墻實(shí)施相應(yīng)設(shè)置，對(duì)不允許的用戶行為進(jìn)行阻斷。通過防火墻還能夠?qū)π畔?shù)據(jù)的流量實(shí)施有效查看，并且還能夠?qū)?shù)據(jù)信息的上傳和下載速度進(jìn)行掌握，便于用戶對(duì)計(jì)算機(jī)使用的情況具有良好的控制判斷，計(jì)算機(jī)的內(nèi)部情況也可以通過這種防火墻進(jìn)行查看，還具有啟動(dòng)與關(guān)閉程序的功能，而計(jì)算機(jī)系統(tǒng)的內(nèi)部中具有的日志功能，其實(shí)也是防火墻對(duì)計(jì)算機(jī)的內(nèi)部系統(tǒng)實(shí)時(shí)安全情況與每日流量情況進(jìn)行的總結(jié)和整理。
防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，能最大限度阻止網(wǎng)絡(luò)中的黑客訪問你的網(wǎng)絡(luò)。是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻的工作原理
防火墻默認(rèn)設(shè)置為deny any操作，如果不做任何放行策略操作，則默認(rèn)拒絕所有。
防火墻策略：先定義區(qū)域到區(qū)域，源區(qū)域到目標(biāo)區(qū)域，其次源地址到目標(biāo)地址

防御對(duì)象：

• 授權(quán)用戶
• 非授權(quán)用戶

防火墻安全策略

在cloud中建立端口映射設(shè)置

在FW中設(shè)置

在windows上測(cè)試是否連接成功

打開瀏覽器進(jìn)行圖形化命令操作界面，輸入賬號(hào)密碼進(jìn)入

untrust區(qū)

設(shè)置g1/0/0接口

設(shè)置FW到Serve3的下一跳靜態(tài)路由

在Server2上ping100.1.1.1

trust區(qū)

設(shè)置g1/0/1接口

在SW1上設(shè)置

[SW1]vlan 1
[SW1-vlan1]int vlan 1
[SW1-Vlanif1]ip add 10.1.255.1 24
[SW1-Vlanif1]vlan 2
[SW1-vlan2]int vlan 2
[SW1-Vlanif2]ip add 10.1.3.1 24
[SW1-Vlanif2]q
[SW1]int g0/0/2	
[SW1-GigabitEthernet0/0/2]port link-type access	
[SW1-GigabitEthernet0/0/2]port default vlan 2

設(shè)置FW到PC1的嚇一跳路由

在PC1上ping10.1.255.2

DMZ區(qū)

在g0/0/2和g0/0/3做接口聚合

在SW2上設(shè)置

[SW2]int eth	
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport g0/0/1
[SW2-Eth-Trunk1]port link-type trunk 
[SW2-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[SW2]int g0/0/4	
[SW2-GigabitEthernet0/0/4]port link-type access 
[SW2-GigabitEthernet0/0/4]port default vlan 10
[SW2-GigabitEthernet0/0/4]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 11

配置vlan10的網(wǎng)關(guān)

配置vlan11的網(wǎng)關(guān)

在Server3上ping10.1.10.1

在Server1上ping10.1.11.1

網(wǎng)絡(luò)中的操作一覽

把互聯(lián)網(wǎng)內(nèi)部的通信放開

trust-to-untrust

新建安全策略

在AR1上寫一條缺省

[ISP]ip route-static 0.0.0.0 0 100.1.1.1

在SW1上寫一條缺省

[SW1]ip route-static 0.0.0.0 0 10.1.255.2

用PC1pingServer2

至此trust與untrust區(qū)可以正常通信

trust-to-DMZ

新建安全策略

在pc1上pingServer1和Server3

untrust-to-DMZ

新建安全策略

用Server2pingServer3

用Server2pingServer1

ping不通，策略成功
用Server2pingPC1

ping不通，策略成功

安全策略一覽
文章來源地址http://www.zghlxwxcb.cn/news/detail-494375.html

到了這里，關(guān)于防火墻安全策略①的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！