華為防火牆基礎知識

2021-10-05 14:03:52 字數 2524 閱讀 9822

第一代防火牆:包過濾防火牆

第二代防火牆:**防火牆

第三代防火牆:狀態監測防火牆

***防火牆:統一威脅管理防火牆(utm)

第五代防火牆:下一代防火牆(ngfw)

未來防火牆的發展趨勢是基於人工智慧(ai)的防火牆ngfw即下一代防火牆,更適用於新的網路環境。ngfw在功能方面不僅要具備標準的防火牆功能,如網路位址轉換、狀態檢測、虛擬專用網和大企業需要的功能,而且要實現ips和防火牆真正的一體化,而不是簡單地基於模組。另外,ngfw還需要具備強大的應用程式感知和應用視覺化能力,基於應用策略、日誌統計、安全能力與應用識別深度融合,使用更多的外部資訊協助改進安全策略,如使用者身份識別等。

傳統的防火牆只能基於時間、ip和埠進行感知,而ngfw防火牆基於六個維度進行管理控制和防護,分別是應用、使用者、內容、時間、威脅、位置。

基於使用者:借助於ad活動目錄、目錄服務或aaa伺服器等,基於使用者進行訪問控制、qos管理和深度防護

基於位置:結合全球位置資訊,智慧型識別流量的發起位置,從而獲取應用和的發起位置。其根據位置資訊實現對不同區域訪問流量的差異化控制,同時支援根據ip資訊自定義位置

華為防火牆預設有四個區域,分別是trust、untrust、dmz和local。不同的區域擁有不同的受信優先順序,防火牆則根據這些區域的受信優先順序來區分區域的保護級別。

進入介面配置ip位址

[fw]inte***ce gigabitethernet1/0/1

[fw-gigabitethernet1/0/1]ip address 192.168.1.254 255.255.255.0

允許ping流量通過

[fw-gigabitethernet1/0/1]server-manage ping permit

進入trust區域,將介面新增進該區域

[fw]firewall zone trust

[fw-zone-trust]add inte***ce gigabitethernet1/0/1

允許信任區域至非信任區域的流量

[fw]service-quality

[fw-policy-security]rule name ***

[fw-policy-security-rule-***]source-zone trust

[fw-policy-security-rule-***]destination-zone untrust

[fw-policy-security-rule-***]action permit

動態pat,埠位址轉換
配置easyip

[usg6000v1]nat-policy

[usg6000v1-policy-nat]rule name easyip

[usg6000v1-policy-nat-rule-easyip]source-zone trust

[usg6000v1-policy-nat-rule-easyip]destination-zone untrust

[usg6000v1-policy-nat-rule-easyip]action nat easy-ip

基於位址池配置napt

首先保障區域間互通

配置napt中的位址池

[usg6000v1]nat address-group pool

[usg6000v1-address-group-pool]mode pat

[usg6000v1-address-group-pool]section x.x.x.x x.x.x.x(ip範圍)

配置nat策略----實現私有位址轉換公有位址

[usg6000v1]nat-policy

[usg6000v1-policy-nat]rule name napt

[usg6000v1-policy-nat-rule-napt]source-zone trust

[usg6000v1-policy-nat-rule-napt]destination-zone untrust

[usg6000v1-policy-nat-rule-napt]action nat address-group pool

伺服器對映發布
首先保障區域間互通

[usg6000v1]nat server natserver zone untrust protocol tcp global 200.1.1.11 www inside 1

92.168.3.10 www no-revers

no-reverse: 不允許伺服器主動訪問外網

iptables 防火牆基礎知識

iptables 4個表和5個鏈 iptables 顯示相關的命令 iptables l n x v 檢視iptables的status 為firevall is stopped 解決 linux命令列輸入 step firevall configuration enable 清除預設的規則 ipt...

FireWall 防火牆基礎知識1

顧名思義,防火牆指的是防止火從乙個部分傳播到另一部分的牆!類似與護城河。防火牆分類 網路層防火牆 主要獲取資料報的包頭資訊。應用層防火牆 對整個資訊流進行分析。常見防火牆 應用閘道器 電路級閘道器 包過濾 位址 包過濾介紹 應用在路由器中,就是為路由器增加了對資料報的過濾功能。一般是對ip資料報的過...

防火牆基礎

隔離,嚴格過濾入站,允許出站。防火牆有無數個域,其中又有4個常用的域分別是 1 首先檢視客戶端請求的資料報 源ip 目標ip 資料 中,源ip位址然後檢測自己所有區域中,哪個區域有此源ip位址的規則,然後進入該區域。2 如果條件一不成立,則會進入預設區域 預設區域為public 修改預設埠為bloc...