防火墙
定义:具有安全防护功能的网络设备
作用:
隔离网络:将需要保护的网络和不安全的互联网进行隔离,隐藏信息并进行安全防护
控制流量:对进出防火墙的数据流量进行限制
记录分析:对进出数据进行检查,记录相关信息
基本功能:
访问控制:策略-增强型ACL
攻击防护:
冗余设计:
路由、交换:
日志记录:
虚拟专用网VPN:
NAT:
分类:天融信、H3C、juniper
隔离概念:
内部区域:内部保护区域
DMZ区域:隔离区|非军事化区|停火区
外部区域:不安全的互联网
发展:
包过滤防火墙:
分组过滤防火墙:根绝分组包的源、目的地址,端口号及协议类型、标志位等进行过滤
状态监测防火墙:
除了对分组包进行检测外还可以对网络连接状态进行检测
优点:减少检测工作量,提高效率;连接状态可以简化规则配置
缺点:对应用层检测不深入
应用网关型防火墙:
应用代理防火墙:每个代理配置一个不同的应用进程,新应用必须添加服务程序,否则不能使用。
优点:安全性高,检测内容
缺点:连接性差、可升缩性差
配置命令
清空所有配置:
conf t
clear configure all
查看IP:
sh ip int b
sh int ip b
查看路由表:
show i route
show route
注意:防火墙不对icmp协议记录状态
配置接口信息:
int e0/0
nameif inside|outside|dmz --设置自定义别名
[security-level 0-100] --设置级别
ip add 192.168.0.1 255.255.255.0
no sh
exit
默认级别号:
inside 100
outside 0
DMZ 0
配置路由:
路由器:
ip route IP NETMASK nextIP
防火墙:
route outside IP NETMASK nextIP
默认路由可以简化为:0 0 下一跳
配置ACL:
路由器:
acc 101 per ip host sIP dIP 反掩码 eq 协议号 --这儿为反掩码
int f0/0
ip acc 101 in|out
防火墙:
conf t
acc xxx10 [standard|extended] per ip host sIP dIP 正掩码 eq 协议号 --这儿为正掩码
access-group xxx10 in|out int outside
查看命令:
show run
show int ip b
show route
show access-list
show run 命令首单词(ip|)
