- 1、本文档共101页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
引入 了解防火墙的使用特性和维护 课程内容 防火墙加强了安全性 通路由器相比,防火墙: 1.提供了更丰富的安全防御策略 2.提高了安全策略下数据报转发速率 3.提供了更加丰富的安全日志功能 Eudemon防火墙基本规格 Eudemon防火墙基本规格 Eudemon防火墙基本规格 基于改进的状态检测安全技术 强大的抗攻击能力 防火墙的安全区域 防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域 防火墙的安全区域 路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间 防火墙的安全区域 Eudemon防火墙上保留四个安全区域: 非受信区(Untrust):低级的安全区域,其安全优先级为5。 非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。 受信区(Trust):较高级别的安全区域,其安全优先级为85。 本地区域(Local):最高级别的安全区域,其安全优先级为100。 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。 防火墙的安全区域 域间的数据流分两个方向: 入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向; 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙的安全区域 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃(EU200-VRP3.20-0314.01版本后支持) 接口没有加入域之前不能转发包文 防火墙的安全区域 防火墙的安全区域配置 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface ethernet 0/0/0 [Eudemon-zone-trust] quit [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 1/0/0 [Eudemon-zone-dmz] quit [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface ethernet 2/0/0 [Eudemon-zone-untrust] quit 防火墙的模式 路由模式 透明模式 混合模式 防火墙的模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙的模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 防火墙的模式 混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。 课程内容 防火墙定义的安全策略 包过滤防火墙 代理防火墙 状态防火墙 防火墙的基本工作流程 传统包过滤防火墙(路由器) E200状态防火墙 包过滤规则的应用 IP包过滤技术介绍 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表是什么? 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP): 如何标识访问控制列表? 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下: acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config指定匹配该规则时按用户的配置顺序 。 规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 ac
文档评论(0)