Day21、22防火墙
防火墙定义:一款具备安全防护功能的网络设备
隔离网络:
将需要保护的网络与不可信任的网络进行隔离,隐藏信息并进行安全防护
防火墙可以替代路由器
注意:路由器配置好IP和路由的话默认是放行的,是往路由器里头写限制,但是防火墙是默认不允许通过的,是往防火墙上头写放行
防火墙基本功能:
访问控制:ACL 策略
攻击防护:3,4层攻击
冗余设计:hrsp,vrrp
路由、交换
日志记录
虚拟专用网VPN(需要买授权,两种VPN都支持)
NAT
Dos拒绝服务攻击
DDos:分布式拒绝服务攻击
并发连接数128000
//同时可建立128000
并发连接数(新建连接数)
并发连接数范围50万到100万(实际上能有一半就不错了,如果是一百人的网络一半再除以一百就是每个人实际可用的会话数,可能一个网页就要占用5个会话)
区域隔离:
防火墙区域概念:
内部区域
DMZ区域称为“隔离区”,也称“非军事化区域/停火区”
外部区域
IPS入侵防御系统:满足特征库就干掉,牺牲性能检查甚至重组(五层防御)
直路/并行/串联
需要对外发布的服务器放在DMZ区:
占层检查:看应用层有没有sql语句,有的话认为是sql注入
IDS:入侵检测系统:不防御,只记录
选择旁路安装
防火墙分类:
1)按防火墙形态分类:
软件防火墙
硬件防火墙
2)按技术分类:
包过滤防火墙
状态检测防火墙
应用代理防火墙
WAF防火墙
应用层防火墙
防火墙两个会话:员工到防火墙
防火墙到内网
上网行为一般给定每个人带宽:300-500KB/人
也就是3-5M
限制迅雷10KB/人(因为迅雷要是开了会员有可能占了所有网络的带宽)
Day22
防火墙工作模式
透明模式
路由模式
混杂模式
防火墙二层端口不配IP,也可以起防护作用
三层端口配IP
防火墙端口是二层,不代表只能工作在二层有可能内置了其他东西
透明模式一般在不想影响网络架构的时候使用
路由器叫做NAT
防火墙SNAT 源地址转换
DNAT 目标地址转换
实验:
防火墙接口一般都是叫做eth0,eth1等
使用top-gate时由于xpIE版本太低,无法通过浏览器管理防火墙,所以我们可以把真实机v1打开,用真实机管理防火墙即可
防火墙创建三个区域:
如果所有设备都放在v1的时候,pc不经过防火墙也可以通信,无法检测出防火墙的作用,所以不能那么设置
中国国产防火墙第一个接口eth0已经被配好了,192。168.1.254
默认80/443端口已经打开
80:http
443:https
虚拟机中的防火墙默认打开的时8080
NGFW是下一代防火墙
xp:Inside-pc v1
2003:DMZ-pc-2003
2003:Outside-pc-2003
topgate-1:解压到vm,我已复制,还原快照发现5块网卡
网卡1就代表eth0
网卡2 eth1
3eth2
4eth3取消启动
5eth4取消启动
login:superman
psw:talent
show
不分模式
实验一:验证区域隔离以及策略编写:
1.pc配置IP及网关
2.防火墙:创建区域—>接口加入到域
3.接口配置IP,配置路由(本实验不需要配置,因为都是直连的)
4.书写策略并验证
–100.1.1.
xp:192.168.1.1
255.255.255.0
192.168.1.254
DMZ:172.16.1.1
255.255.255.0
172.16.1.254
Outside:100.1.1.2
255.255.255.0
网关:100.1.1.1
PAT
真实机----------网络配置-----vmnet1更改—启用 192.168.1.100 255.255.255.0(这里不需要配置网关因为100网段已经能够与防火墙通信)
真实机配网关会出问题,因为真实机本来就有一个网关
真实机:ping 192.168.1.254可以ping通
打开IE:https://192.168.1.254:8080
superman
talent
资源管理----区域—点击操作inside/trust
访问权限:禁止
允许的话防火墙跟路由器的区别
添加dmz 禁止eth2
outside禁止eth1
网络管理–接口—eth1–编辑 outside----路由----(access vlan几还有trunk二层接口的时候可以选择)—100.1.1.1 255.255.255.0添加
eth2---------DMZ------------172。16.2.254---------255.255.255.0
路由器只看eth0,eth1,eth2优先级都是10,都是1
直连接口IP地址
路由中添加0.0.0.0 0.0.0.0 100.2选择接口(这里不需要配置因为都是直连)
现在没有配置策略谁都访问不了谁
ping 172.16.1.1不通
防火墙----------访问控制—添加策略-------inside----------任意---------目的dmz outside -----服务:任意----动作:允许-----日志记录(指正常的流量不记录)不记录—内容安全策略(5层)无-----------确定
添加DMZ
outside
允许
允许
确定
高—低放行已经完成
xp----ping 100.1.1.2
ping 172.16.1.1
验证看通不通
172.1.1.1 ping 100.1.1.1看通不通
实验二做源转换:
在实验一的基础上,把外网pc的网关去掉,outside网关去掉
1.配置源转换(PAT)实现inside以及dmz区可以上网
防火墙—地址转换
inside ping100.1.1.2不通
不通的原因不是因为防火墙不让过,而是因为外面的私有地址不回包
防火墙:地址转换----添加—源转换—任意inside----dmz—目的 任意 outside-----服务 任意—源地址转换为eth1----不勾选源端口固定
其他勾选
此时外网pc无法给192或172回包,相当于模拟了互联网
配置源转换(PAT)实现inside以及dmz区可以上网(源转换把源地址私有IP地址在出去的时候转换为公网IP地址)
防火墙地址转换
实验三:目标转换DNAT(静态映射也就是把内网服务器映射到公网IP的固定端口上,只开放服务器的一个小口)
在实验1-2的前提下:
1.把dmz区的2003部署为WEB服务器,并发布出去
1)做DNAT
2)写策略outside-----dmz 172.16.1.1:80
2.使用outside区域2003(外网pc)通过访问http://100.1.1.88
DMZ------------光盘------------CD/DVD------------启动时连接----------windows sp2原版--------安装-------组件-------万维网服务
web默认站点在c:\in。。。。\wwwroot(修改默认站点的网页内容)
防火墙的配置之后记得点击右上角的保存按钮不然每次开机重启策略就没了
防火墙----------目的转换---------outside进来 目标无100.1.1.88(怎么办)
资源管理-------定义地址----地址----主机----添加----------100.1.1.88 (名称vip-web-wencoll)-----添加------确定
新建地址 dmz-web-wencoll 172.16.1.1
80端口已经默认打开,所以不需要定义
目的转换-------源:outside----------目的:vip-web-wencoll-----服务:http添加-----目标地址转换为dmz-web-wencoll-------------目的端口转换不需要做--------确定
outside-pc:ie:100.1.1.88回车无法访问------为何?因为防火墙没有写策略
防火墙--------访问控制--------源区域outside-------任意------(外----内)目标区域:dmz------地址:dmz-web-wencoll
注意:思科防火墙:外网到内网:放行一100.1.1.88作为目标IP并且以80作为目标端口号的时候
天融信:外网到内网,先NAT,把100.1.1.88转换为172.16.1.1,再配置策略,允许外网到100.1.1.88,策略只让100.1.1.88通过然而100.1.1.88已经转换为了172.16.1.1,所以172.16.1.1过不去
服务http------允许
再做防火墙相关配置的时候,只要出了问题,要马上想到防火墙
outside-pc:ie:100.1.1.88可访问
天融信防火墙从外网访问内网的话:
1)先查看状态表有没有
2)NAT
3)防火墙策略
用内网服务器共享一个文件夹
外网pc:win+R://100.1.1.88 不可访问
原因:访问445端口 ,防火墙不让过,没有这一条策略
实验四:内容过滤
1)将外网的2003布置为公网的某web服务器以及DNS服务器
2)此时内网以及dmzpc均可通过域名访问外网网站
外网pc记得ip配置DNS服务器
外网pc做成web服务器,iis服务器--------DNS服务器
3)做url过滤,结果一般网站可以访问,黑名单url禁止访问
4)http内容过滤,结果包含敏感词汇,禁止访问网站
outside-pc:
web-----------属性-------地址-----------100.1.1.2------------添加主机头值www.xxx.com
DNS:新建区域-----------主要区域-------------xxx.com
右键新建主机-------www------100.1.1.2
nslookup
不想指向DNS,想测试DNS是否能用?
nslookup
测试环境
server 100.1.1.2 手动指向DNS
www.xxx.com
exit
退出之后,手动指向的DNS消失了,还是不能通过域名上网
真实机:nslookup
www.baidu.com
server 114.114.114.114
server 8.8.8.8
www.baidu.com
server 144.144.144.144
www.baidu.com
不同的DNS服务器解析同一个网址解析出来的IP可能不太一样
然后给dmz以及inisde配DNS
dmz-pc:DNS:100.1.1.2
inside-pc:DNS:100.1.1.2
inside-xp:ie:www.xxx.com可以上网
dmz:ie:www.xxx.com可以上网
outside:ie:可以上网
//outside没有指向DNs,但是他会问自己,然后自己恰好是DNS所以恰好可以访问网站
outside-pc:新建区域—baidu.com----www------100.1.1.2
E盘新建baidu文件夹里头新建index.html
修改内容
baidu
IIS---------网站--------新建-------100.1.1.2 www.baidu.com
输入路径----------读取--------默认首页index.html
www.baidu.com
www.xxx.com
www.xxx.com应用层功能才能过滤输入的网址
内到外
防火墙访问控制-----------inside---------outside-------------内容安全策略新建(阻止弹出窗口允许,不建议在这里新建)
内容安全策略-----------添加--------in-to-out此策略用于inside与dmz通outside策略上,内容安全策略不可独立存在
访问控制----inside到outside---------内容安全策略-----------in-to-out
内容安全策略--------in-to-out-------编辑—http--------url过滤-----新建规则(不建议在这里新建,在这里引用即可)url黑名单----确定
内容过滤—http过滤–url添加----名称url黑名单—xxx.com-----禁止
允许是白名单,禁止是黑名单
inside-pc:xxx.com可以访问的原因,ie版本太低有缓存
ie清理缓存-------工具------internet选项-------删除文件—删除cokkie
还不可访问原因:http过滤------*xxx.com—禁止-----确定
www.baidu.com可以访问
xxx.com不可以访问
ping www.xxx.com可以访问
telnet www.baidu.com可以查看baidu有没有打开445端口
www.xxx.com内容过滤黄赌毒
取消url过滤
内容过滤—关键词黑名单----黄赌毒-----禁止
内容安全策略----in-to-out-----网页内容过滤----关键词黑名单
xp-inside—清理ie缓存--------www.xxx.com不可访问原因有敏感词汇
www.baidu.com可以访问
Day21、22防火墙相关推荐
- 红帽子RedHat Linux 9.0安装图解(图)
RedHat Linux是目前世界上使用最多的Linux操作系统.因为它具备最好的图形界面,无论是安装.配置还是使用都十分方便,而且运行稳定,因此不论是新手还是老玩家都对它有很高的评价.现在,RedH ...
- linux红帽子版本安装报告,红帽子RedHat Linux 9.0安装图解(图c
因/dev/hda6是用来做交换分区,所以挂载点一栏不用选,只选"将分区格式化成swap", 然后点击"确定"即可.显示如下图17 在图中可见到/dev/hda ...
- 红帽子RedHat Linux 9.0
RedHat Linux是目前世界上使用最多的Linux寒作系统.因为它具备最好的图形界面,无论是安装.配置还是使用都十分方便,而且运行稳定,因此不论是新手还是老玩家都对它有很高的评价.现在,RedH ...
- Day08- team、iptables、firewall
SELinux概述 • Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 – 集成到Linux内核(2.6及以上)中运行 ...
- SecureCRT 基本设置
SecureCRT 基本设置 SecureCRT 主的工具栏 新建连接,文件--->快速连接,协议选择"SSH2",主机名输入服务器IP地址,端口为ssh 端口默认为:22, ...
- Linux云计算-02_CentOS Linux 7.X系统管理
Linux系统安装完毕,需要对Linux系统进行管理和维护,让Linux服务器能真正应用于企业中. 本章介绍Linux系统32位与64位区别.内核命名规则.引导原理.启动流程.TCP/IP协议概述.I ...
- 中小企业RBM结合VRRP组网
组网拓扑图 FW-A配置: sysname FW1090-A # track 1 interface GigabitEthernet1/0/1 physical ///检测上行口 # track ...
- RedHat Linux 9.0系统的安装(图文并茂) 下载地址在最后面
Quote: 在网络病毒漫行的今天,大家都对Linux越来越倾慕,还有就是学嵌入式开发的是经常用到这个系统的,但是很多人在应用区.水区谈到都不会安装这个所谓的超级安全的系统,还有的就是因为安装的问题出 ...
- RedHat Linux 9.0 安装教程(全程图解)
RedHat Linux是目前世界上使用最多的Linux操作系统.因为它具备最好的图形界面,无论是安装.配置还是使用都十分方便,而且运行稳定,因此不论是新手还是老玩家都对它有很高的评价.现在,RedH ...
最新文章
- Python的最佳学习方式
- 安卓从sd引导linux,从android中的adb shell手动挂载SD卡
- MFC之进度条CProgressCtrl
- Touch - 全能名片王
- 中方:开展科技合作应秉持开放、合作、包容心态
- 小波说雨燕 第三季 构建 swift UI 之 UI组件集-视图集(二)ActionSheet视图 学习笔记...
- R语言之离群点检验(part1)--利用箱线图原理检测离群点
- 理解zookeeper选举机制
- Java 线程池的简单使用及介绍
- 帝国cms 多语言_多语言组织应在CMS中寻找的8个功能
- 杂谈!了解一些额外知识,让你的前端开发锦上添花
- [转载] 【python】Python中*args和**kwargs的区别(在Python中如何使用可变长参数列表)
- 可视化设计的时候应该注意什么
- matlab平均脸,BFM使用 - 获取平均脸模型的68个特征点坐标
- 降低电源纹波噪声的方法
- 睡不着听什么音乐睡得快,失眠入睡音乐歌单推荐
- 帧间预测-AMVP 模式
- Step to UEFI (137) 通过 BGRT 取得当前系统的 LOGO
- QGIS插件python开发环境配置和PyCharm配置调试环境
- Java多线程模拟实现LOL中薇恩、死歌、剑圣的操作