FireWall 防火牆基礎知識1

2021-04-17 10:14:19 字數 2107 閱讀 9613

顧名思義,防火牆指的是防止火從乙個部分傳播到另一部分的牆!類似與護城河。

防火牆分類:

網路層防火牆:主要獲取資料報的包頭資訊。

應用層防火牆:對整個資訊流進行分析。

[常見防火牆:應用閘道器、電路級閘道器、包過濾、**(位址**)]

包過濾介紹:

應用在路由器中,就是為路由器增加了對資料報的過濾功能。一般是對ip資料報的過濾,對路由器需要**的資料報,先獲取包頭資訊,然後和設定的規則進行比較,根據比較的結果對資料報進行**或者丟棄。注意:使用者、檔案並非是資料報過濾系統所能識別的。

配置過濾規則:

為了達到包過濾,需要設定些規則,一般採用是訪問列表技術。

一 標準訪問列表

格式:access-list listnumber address [ wildcard-mask ]

表示允許或者拒絕來自指定網路的資料報,該網路由ip位址與位址通配比較位指定。

listnumber為規則序號,範圍1-99

permit | deny表示允許或者禁止滿足該規則的資料報通過。

address和wildcard-mask分別為ip位址和通配比較位,指定某個網路。如果ip位址為any,則表示

所有ip位址,此時不需要指定相應的通配位。通配位預設為0.0.0.0

通配比較位類似於子網掩碼,但寫法不同。ip位址與通配位的關係規定:通配位中為1的位址中的

位在比較中被忽略。

例如:

access-list 4 deny 202.38.160.0 0.0.255.255

表示規則序列號為4,禁止來自202.38.0.0網路的主機的訪問。

access-list 4 permit 202.38.160.1 0.0.0.255

表示規則號為4,允許來自網路202.38.160.0網路的主機的訪問。

如果兩者結合則表示禁止大網段202.38.0.0上的主機但允許其中的202.38.160.0的主機的訪問。

二 擴充套件訪問列表:

格式:

access-list listnumber protocol source source-wildcard-mask

destination destination-wildcard-mask [ operator operand ] [ log ]

表示,帶有指定的協議(protocol),如tcp,udp等,資料報來自source及source-wildcard-mas

指定的網路,資料報去往由destination及destination-wildcard-mask指定的網路,該資料報的目的

埠在由operator operand規定的埠範圍之內。 其中 :

listnumber  序列號範圍是100-199

operator operand 用於指定埠範圍預設為全部埠號0-65535,只有tcp,udp需要指定埠

範圍。

支援操作符的意義: eg 等於,gt 大於,it 小於,neg 不等於,

(range portnumber1 portnumber2 介於埠號portnumber1 和 portnumber2 之間)

例如:

100 deny udp any any eq rip  表示 禁止接受和傳送rip報文

100 permit tcp 129.9.0.0  0.0.255.255  202.38.160.0  0.0.0.255 eq www

允許從網段129.9.0.0 的主機向202.38.160網段的主機傳送www報文

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect

表示禁止從10.1.0.0網段發來的icmp 主機不可達報文通過(host-redirect)

log指定對該規則是否做日誌只有在配置日誌主機ip位址之後該選項才有意義

100 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 eq www log

表示該規則序號為100 禁止從129.9.0.0網段內的主機建立與202.38.160.0網段內的主機的

www埠80 的連線,並對違反此規則的事件作日誌 。

iptables 防火牆基礎知識

iptables 4個表和5個鏈 iptables 顯示相關的命令 iptables l n x v 檢視iptables的status 為firevall is stopped 解決 linux命令列輸入 step firevall configuration enable 清除預設的規則 ipt...

華為防火牆基礎知識

第一代防火牆 包過濾防火牆 第二代防火牆 防火牆 第三代防火牆 狀態監測防火牆 防火牆 統一威脅管理防火牆 utm 第五代防火牆 下一代防火牆 ngfw 未來防火牆的發展趨勢是基於人工智慧 ai 的防火牆ngfw即下一代防火牆,更適用於新的網路環境。ngfw在功能方面不僅要具備標準的防火牆功能,如網...

防火牆基礎

隔離,嚴格過濾入站,允許出站。防火牆有無數個域,其中又有4個常用的域分別是 1 首先檢視客戶端請求的資料報 源ip 目標ip 資料 中,源ip位址然後檢測自己所有區域中,哪個區域有此源ip位址的規則,然後進入該區域。2 如果條件一不成立,則會進入預設區域 預設區域為public 修改預設埠為bloc...