示例圖
1.配置基於ospf路由協議的防火牆1.由於使用的是ospf路由協議,防火牆本身要處理、響應報文,所以要開啟
local區域到其他介面加入的相應區域的安全策略,也要開啟其他介面加入
的相關區域到local的安全策略
1.trust 區域,該區域內網路的受信任程度高,通常用來定義內部使用者所在的網路
2.dmz 區域,該區域內網路的受信任程度中等,通常用來定義內部伺服器所在的網路
3.untrust 區域,該區域代表的是不受信任的網路,通常用來定義 internet 等不安全的網路
4.local區域,代表防火牆本身,凡是由防火牆主動發出的報文,均可認為是從local 區域中發出,
凡是需要防火牆響應並處理(而不是**)的報文,均可認為是由 local 區域接收。
5.防火牆的所有介面預設都加入local區域
6.對於預設的安全區域,它們的安全級別是固定的:
local 區域的安全級別是 100、trust 區域的安全級別是 85
dmz 區域的安全級別是 50、untrust 區域的安全級別是 5。
7.報文從低階別的安全區域向高階別的安全區域流動時為入方向(inbound),報文
從由高階別的安全區域向低階別的安全區域流動時為出方向(outbound)
8.參考huawei usg6000v, usg9000v_v500r005c10_03_zh_azi0226r
sysname fw1
#inte***ce
gigabitethernet1/0
/0ip address 192.168
.1.1
255.255
.255.#
firewall zone trust
set priority 85
add inte***ce
gigabitethernet1/0
/0#ospf 1
area 0.0
.0.1
network 172.16
.1.0
0.0.0
.255
network 192.168
.1.0
0.0.0
.255
#security-policy
rule name policy_sec_1
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
#return
sysname fw2
#inte***ce
gigabitethernet1/0
/0ip address 192.168
.1.2
255.255
.255.0#
inte***ce
gigabitethernet1/0
/1ip address 192.168
.0.1
255.255
.255.0#
firewall zone trust
set priority 85
add inte***ce
gigabitethernet1/0
/0add inte***ce
gigabitethernet1/0
/1#ospf 1
area 0.0
.0.0
network 192.168
.0.0
0.0.0
.255
area 0.0
.0.1
network 192.168
.1.0
0.0.0
.255
#security-policy
rule name policy_sec_1
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
#return
sysname fw3
#inte***ce
gigabitethernet1/0
/0ip address 192.168
.2.2
255.255
.255.0#
inte***ce
gigabitethernet1/0
/1ip address 192.168
.0.2
255.255
.255.0#
firewall zone trust
set priority 85
add inte***ce
gigabitethernet1/0
/0add inte***ce
gigabitethernet1/0
/1#ospf 1
area 0.0
.0.0
network 192.168
.0.0
0.0.0
.255
area 0.0
.0.2
network 192.168
.2.0
0.0.0
.255
#security-policy
rule name policy_sec_1
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
#return
sysname fw4
#inte***ce
gigabitethernet1/0
/0ip address 192.168
.2.1
255.255
.255
.0 service-manage ping permit
#firewall zone trust
set priority 85
add inte***ce
gigabitethernet1/0
/0#ospf 1
area 0.0
.0.2
network 192.168
.2.0
0.0.0
.255
#security-policy
rule name policy_sec_1
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
#return
防火牆基礎
隔離,嚴格過濾入站,允許出站。防火牆有無數個域,其中又有4個常用的域分別是 1 首先檢視客戶端請求的資料報 源ip 目標ip 資料 中,源ip位址然後檢測自己所有區域中,哪個區域有此源ip位址的規則,然後進入該區域。2 如果條件一不成立,則會進入預設區域 預設區域為public 修改預設埠為bloc...
Firewalld 防火牆基礎
firewalld簡介 支援網路區域所定義的網路鏈結以及介面安全等級的動態防火牆管理工具 支援ipv4 ipv6防火牆設定以及乙太網橋 支援服務或應用程式直接新增防火牆規則介面 擁有兩種配置模式 執行時配置 永久配置 firewalld和iptables的關係 netfilter 位於linux核心...
Firewalld防火牆基礎
firewalld防火牆是centos7系統預設的防火牆管理工具,取代了之前的iptables防火牆,也是工作在網路層,屬於包過濾防火牆。firewalld和iptables都是用來管理防火牆的工具 屬於使用者態 來定義防火牆的各種規則功能,內部結構都指向netfilter網路過濾子系統 屬於核心態...