当前位置: 首页 > news >正文

华为防火墙的学习

        防火墙 - 含义和定义

什么是防火墙?

防火墙的工作原理

防火墙的区域:

包过滤防火墙----访问控制列表技术---三层技术

代理防火墙----中间人技术---应用层

状态防火墙---会话追踪技术---三层、四层

UTM---深度包检查技术----应用层

下一代防火墙

防火墙的区域

实验拓扑

 1.划分IP地址

2.通过web登录防火墙配置

配置untrust区域

1路由器配置ip,然后进行ping测试。注意ping时打开防火墙ping服务

 配置trust区域

记得配置回包路由

PC ping测试

 配置DMZ区域聚合配置

 第二台交换机接口聚合配置

防火墙配置

 测试dmz区域的pc测试

 区域间的配置

1.内网到达外网

2.内网到DMZ配置

3.untrust到DMZ


防火墙 - 含义和定义

防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。

此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。

什么是防火墙?

防火墙可以被视为门控边界或网关,用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念,即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理,通常旨在减缓 Web 威胁的传播。

防火墙创建“阻塞点”来限制输送 Web 流量,然后根据一组编程参数对这些流量进行审查并据此采取相应的行动。有些防火墙还在审计日志中跟踪流量和连接,以便用户了解被允许或被阻止的内容。

防火墙通常用于在专用网络或其主机设备的边界设置门控。因此,防火墙属于更广泛的用户访问控制类的一种安全工具。这些屏障通常设置在两个位置上——网络上的专用计算机(即用户计算机)和其他端点本身(主机)。

防火墙的工作原理

防火墙会判定允许哪些网络流量通过以及哪些流量存在危险。从本质上看,其工作原理是过滤掉异常或不受信任的流量,允许正常或受信任的流量通过。但是在我们深入探讨之前,先了解一下基于 Web 的网络结构。

防火墙旨在保护专用网络和其中的端点设备,称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们负责内部网络之间的数据收发,以及数据在外部网络之间的出站和进站。

计算机和其他端点设备使用网络来访问互联网和相互访问。然而出于安全和隐私的考虑,互联网被分割成子网。基本子网段如下:

  1. 外部公共网络通常是指公共/全球互联网或各种外部网。
  2. 内部专用网络定义为家庭网络、公司内部网和其他“封闭”网络。
  3. 边界网络堡垒主机组成,堡垒主机是安全性经过强化的计算机主机,可以有效抵御外部攻击。作为内部网络和外部网络之间的安全缓冲区,边界网络也可用于容纳内部网络提供的任何面向外部的服务(即用于 Web、邮件、FTP、VoIP 等的服务器)。这些边界网络的安全性高于外部网络,但不及内部网络。它们不只是用于家庭网络等较简单网络,也可能经常用于组织或国家内部网。

屏蔽路由器是放置在网络上以对其进行分段的专用网关计算机。它们被称为网络级别防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙:

  • 屏蔽主机防火墙在外部网络和内部网络之间使用单个屏蔽路由器。这些网络是该模型的两个子网。
  • 屏蔽子网防火墙使用两个屏蔽路由器——一个称为外部网络和边界网络之间的接入路由器,另一个称为边界网络和内部网络之间的阻塞路由器。这会分别创建出三个子网。

网络边界和主机本身都可以容纳防火墙。为此,防火墙被置于单台计算机及其与专用网络的连接之间。

  • 网络防火墙涉及在外部网络和内部专用网络之间应用一个或多个防火墙。这些防火墙会调节进站和出站网络流量,将外部公共网络(如全球互联网)与内部网络(如家庭 Wi-Fi 网络、企业内部网或国家内部网)分隔开。网络防火墙可能是下列任何类型的设备形式:专用硬件、软件和虚拟设备。
  • 主机防火墙(即“软件防火墙”)涉及在单个用户设备和其他专用网络端点上使用防火墙作为网络内设备之间的屏障。这些设备/主机会接收进出特定计算机应用的自定义调节流量。主机防火墙可以作为操作系统服务或端点安全应用在本地设备上运行。主机防火墙还可以更深入地分析 Web 流量,基于 HTTP 和其他网络协议进行过滤,对到达机器的内容进行管理,而不仅仅是监控这些流量来自哪里。

网络防火墙需要针对广泛的连接进行配置,而主机防火墙可以根据每台机器的需要进行定制。然而,主机防火墙需要进行更多的自定义操作,这意味着基于网络的防火墙是全面控制解决方案的理想之选。但同时在两个位置使用两个防火墙对于构建多层安全系统来说是理想之选。

通过防火墙过滤流量的方法利用预先设置或动态学习的规则来允许和拒绝尝试建立的连接。这些规则定义了防火墙如何调节通过专用网络和专用计算机设备的 Web 流量。任何类型的防火墙都可以通过下列各项的组合进行过滤:

  • 源:尝试建立的连接来自哪里。
  • 目标:尝试建立的连接到哪里。
  • 内容:尝试建立的连接想要发送的内容。
  • 数据包协议:尝试建立的连接正在使用什么“语言”来传输消息。在主机用来相互“对话”的网络协议中,TCP/IP 协议主要用于在互联网中以及内部网/子网络内进行通信。
  • 应用协议:常用协议包括 HTTP、Telnet、FTP、DNS 和 SSH。

源和目标通过互联网协议 (IP) 地址和端口进行通信。IP 地址about:blank是每个主机的唯一设备名称。端口是任何给定源和目标主机设备的子级,类似于较大建筑内的办公室。端口通常被指定特定用途,因此可以注意使用不常见端口或禁用端口的某些协议和 IP 地址。

通过使用这些标识符,防火墙可以决定是丢弃尝试连接的数据包(静默丢弃或者将错误返回给发送者)还是进行转发。

路由交换终归结底是连通性设备。
网络在远古时期没有防火墙大家都是联通的,any to any
防御对象:
授权用户
非授权用户
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。

防火墙的区域:

区域的划分,根据安全等级来划分

包过滤防火墙----访问控制列表技术---三层技术

简单、速度快
检查的颗粒度粗

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
代理技术只能针对特定的应用来实现,应用间不能通用。
技术复杂,速度慢
能防御应用层威胁,内容威胁

状态防火墙---会话追踪技术---三层、四层

在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
首包机制
细颗粒度
速度快

UTM---深度包检查技术----应用层

把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。
把原来分散的设备进行统一管理,有利于节约资金和学习成本
统一有利于各设备之间协作。
设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。

下一代防火墙

2008Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能
同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009
Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。
GartnerNGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量
执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
1. 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
态检测、NATVPN等。
2. IPS 与防火墙的深度集成NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防
火墙的集成而不仅仅是联动。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而
不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品
的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW
进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对
七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全
策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化
带来的管控难题。

 

 

防火墙的区域

 

实验拓扑

 

 1.划分IP地址

2.通过web登录防火墙配置

 

配置untrust区域

1路由器配置ip,然后进行ping测试。注意ping时打开防火墙ping服务

 配置trust区域

(换分vlan,分别将接口换分vlan2 vlan3,配置ip)

记得配置回包路由

PC ping测试

 

 配置DMZ区域聚合配置

 第二台交换机接口聚合配置

 

防火墙配置

 

 

 

 测试dmz区域的pc测试

 

 区域间的配置

1.内网到达外网

策略

 路由

测试

2.内网到DMZ配置

策略

 

测试

3.untrust到DMZ

策略

 测试

 

 测试成功

相关文章:

华为防火墙的学习

防火墙 - 含义和定义 什么是防火墙? 防火墙的工作原理 防火墙的区域: 包过滤防火墙----访问控制列表技术---三层技术 代理防火墙----中间人技术---应用层 状态防火墙---会话追踪技术---三层、四层 UTM---深度包检查技术----应用层 下一代防火墙 防火墙的…...

SPI 接口OLED 模块 - 兼容5V 和3.3V 电平

PCB 布局参考了老王0.8元128x32OLED显示屏转接板,开源项目地址:老王0.8元128x32OLED。 老王家买的屏幕放了快一年了,终于还是决定整个单独的模块,之前一直打算集成到开发板上的,不太灵活。相比那个转接板,主…...

css布局和定位

在Web开发中,CSS布局和定位是非常重要的技能。在这篇博客中,我们将深入探讨CSS布局和定位的概念、基本技术和最佳实践。 **CSS布局基础** ├── 盒模型 │ ├── 内边距 │ │ ├── padding │ │ ├── padding-top │ │ ├── p…...

python -- 批量读取多个文件,并将每个文件中相同变量累加

python – 批量读取多个文件,并将每个文件中相同变量累加 情况描述 现有多个nc文件,位于同一个文件夹中,如下所示每个文件中都有相同的变量,想要读取每个文件中的变量然后将其加起来意思就是说: 文件1中的变量文件2中…...

低代码开发流程是怎么样的?

低代码开发流程是怎么样的?现在很多文章都在下功夫宣传what(低代码是什么)、why(为什么要用低代码),但是很少有文章能够系统讨论how(怎么用低代码)的问题。 所以我花3天的时间准备了…...

任何时候都不要在 for 循环中删除 List 集合元素!!!

首先说结论:无论什么场景,都不要对List使用for循环的同时,删除List集合元素,因为这么做就是不对的。 阿里开发手册也明确说明禁止使用foreach删除、增加List元素。 正确删除元素的方式是使用迭代器(Iterator&#xff…...

koa+Vite+vue3+ts+pinia构建项目

一、 初始化构建项目 npm create vite myProject -- --template vue-ts 注:Vite 需要 Node.js 版本 14.18,16。然而,有些模板需要依赖更高的 Node 版本才能正常运行,当你的包管理器发出警告时,请注意升级你的 Node 版…...

k8s-yaml文件

文章目录一、K8S支持的文件格式1、yaml和json的主要区别2、YAML语言格式二、YAML1、查看 API 资源版本标签2、编写资源配置清单2.1 编写 nginx-test.yaml 资源配置清单2.2 创建资源对象2.3 查看创建的pod资源3、创建service服务对外提供访问并测试3.1 编写nginx-svc-test.yaml文…...

存储引擎

目录 ❤ MySQL存储引擎 什么是存储引擎? MySQL支持哪个存储引擎? ❤ 各种存储引擎的特性 概述 各种存储引擎的特性 各种搜索引擎介绍 ❤ 常用存储引擎及适用场景 ❤ 存储引擎在mysql中的使用 存储引擎相关sql语句 指定存储引擎建表 在建表时指定 在配置文件中…...

Go中 channel的使用

文章目录背景channel 简介使用说明声明发送和接受数据关闭channel使用示例背景 使用 sync 包和 context 包的工具可以实现多个协程之间互相协作, 但是没有一种很好的方式解决多个协程之间通信的问题. golang 作者 Rob Pike 说过一句话,不要通过共享内存来通信&…...

【C++】string OJ练习

文章目录1. 仅仅反转字母思路分析代码实现2. 字符串中的第一个唯一字符题目分析代码实现3. 《剑指offer》——替换空格解法一:寻找替换思路分析代码实现优化解法二:空间换时间思路分析代码实现4.字符串最后一个单词的长度思路分析代码实现5. 字符串相加思…...

进程间通信IPC

进程间通信IPC (InterProcess Communication) 一、进程间通信的概念 每个进程各自有不同的用户地址空间,任何一个进程的全局变量在另一个进程中都看不到,所以进程之间要交换数据必须通过内核,在内核中开辟一块缓冲区,进程1把数据…...

操作系统-页面淘汰算法(下)-软件设计(二十六)

操作系统-PV操作(上)-软件设计(二十五)https://blog.csdn.net/ke1ying/article/details/129476031 存储管理-分区存储组织 问:计算机系统内存大小为128k,当前系统分配情况如图,那么作业4再次申…...

23种设计模式-责任链模式(Android开发实际应用场景介绍)

什么是责任链模式 责任链模式是一种行为型设计模式,它的核心思想是将请求从一系列处理者中传递,直到其中一个处理者能够处理它为止。在这个过程中,请求可以被任何一个处理者处理,也可以被拒绝,直到有一个处理者能够处…...

Socket+Select+Epoll笔记

讲到epoll,就必须了解Socket,上篇博客写了Socket的基本使用方法,步骤主要为创建一个socketsocket是进程之间通信的,那么进程通信如何找到这个socket呢?当然是端口号,所以socket就要和端口号进行绑定&#x…...

git查看最近修改的文件

git log --name-status 每次修改的文件列表, 显示状态 git log --name-only 每次修改的文件列表 git log --stat 每次修改的文件列表, 及文件修改的统计 git whatchanged 每次修改的文件列表 git whatchanged --stat 每次修改的文件列表, 及文件修改的统计 git show 显示最…...

【算法基础(四)】堆排序(二)

堆排序(二) 把数组从零开始连续的一段 完全二叉树 size i 左 son 2*11 i 右 son 2*12 父 (i-1) / 2 堆是完全二叉树,分为大根堆和小根堆 在完全二叉树里,每一棵子数最大的值是头节点的值,就是大根堆 同理&…...

C++类型转换

C语言的转换是在变量前加类型名进行转换的,比如double pi 3.14;int a (int) pi;对于指针也是如此double* dptr πint* iptr (int*)dptr;虽然c兼容了C语言的转型方式,但是也做了很多限制,比如向上类型转换,在c中建议使用…...

Keil MDK6要来了,将嵌入式软件开发水平带到新高度,支持跨平台(2023-03-11)

注:这个是MDK6,不是MDK5 AC6,属于下一代MDK视频版: https://www.bilibili.com/video/BV16s4y157WF Keil MDK6要来了,将嵌入式软件开发水平带到新高度,支持跨平台一年一度的全球顶级嵌入式会展Embedded Wor…...

蓝桥杯刷题第九天

题目描述本题为填空题,只需要算出结果后,在代码中使用输出语句将所填结果输出即可。素数就是不能再进行等分的整数。比如7,11。而 9 不是素数,因为它可以平分为 3 等份。一般认为最小的素数是2,接着是 3,5&…...

铭豹扩展坞 USB转网口 突然无法识别解决方法

当 USB 转网口扩展坞在一台笔记本上无法识别,但在其他电脑上正常工作时,问题通常出在笔记本自身或其与扩展坞的兼容性上。以下是系统化的定位思路和排查步骤,帮助你快速找到故障原因: 背景: 一个M-pard(铭豹)扩展坞的网卡突然无法识别了,扩展出来的三个USB接口正常。…...

应用升级/灾备测试时使用guarantee 闪回点迅速回退

1.场景 应用要升级,当升级失败时,数据库回退到升级前. 要测试系统,测试完成后,数据库要回退到测试前。 相对于RMAN恢复需要很长时间, 数据库闪回只需要几分钟。 2.技术实现 数据库设置 2个db_recovery参数 创建guarantee闪回点,不需要开启数据库闪回。…...

进程地址空间(比特课总结)

一、进程地址空间 1. 环境变量 1 )⽤户级环境变量与系统级环境变量 全局属性:环境变量具有全局属性,会被⼦进程继承。例如当bash启动⼦进程时,环 境变量会⾃动传递给⼦进程。 本地变量限制:本地变量只在当前进程(ba…...

React Native 导航系统实战(React Navigation)

导航系统实战(React Navigation) React Navigation 是 React Native 应用中最常用的导航库之一,它提供了多种导航模式,如堆栈导航(Stack Navigator)、标签导航(Tab Navigator)和抽屉…...

关于nvm与node.js

1 安装nvm 安装过程中手动修改 nvm的安装路径, 以及修改 通过nvm安装node后正在使用的node的存放目录【这句话可能难以理解,但接着往下看你就了然了】 2 修改nvm中settings.txt文件配置 nvm安装成功后,通常在该文件中会出现以下配置&…...

DAY 47

三、通道注意力 3.1 通道注意力的定义 # 新增:通道注意力模块(SE模块) class ChannelAttention(nn.Module):"""通道注意力模块(Squeeze-and-Excitation)"""def __init__(self, in_channels, reduction_rat…...

【解密LSTM、GRU如何解决传统RNN梯度消失问题】

解密LSTM与GRU:如何让RNN变得更聪明? 在深度学习的世界里,循环神经网络(RNN)以其卓越的序列数据处理能力广泛应用于自然语言处理、时间序列预测等领域。然而,传统RNN存在的一个严重问题——梯度消失&#…...

unix/linux,sudo,其发展历程详细时间线、由来、历史背景

sudo 的诞生和演化,本身就是一部 Unix/Linux 系统管理哲学变迁的微缩史。来,让我们拨开时间的迷雾,一同探寻 sudo 那波澜壮阔(也颇为实用主义)的发展历程。 历史背景:su的时代与困境 ( 20 世纪 70 年代 - 80 年代初) 在 sudo 出现之前,Unix 系统管理员和需要特权操作的…...

《基于Apache Flink的流处理》笔记

思维导图 1-3 章 4-7章 8-11 章 参考资料 源码: https://github.com/streaming-with-flink 博客 https://flink.apache.org/bloghttps://www.ververica.com/blog 聚会及会议 https://flink-forward.orghttps://www.meetup.com/topics/apache-flink https://n…...

项目部署到Linux上时遇到的错误(Redis,MySQL,无法正确连接,地址占用问题)

Redis无法正确连接 在运行jar包时出现了这样的错误 查询得知问题核心在于Redis连接失败,具体原因是客户端发送了密码认证请求,但Redis服务器未设置密码 1.为Redis设置密码(匹配客户端配置) 步骤: 1).修…...