常用思科华为HC及juniper防火墙培训总结PPT.pptVIP

H3C F1000防火墙 注意源区域和目的区域里的IP地址选择可以预先在“资源管理”“IP地址”里面配置好，以便在创建安全域间策略时可以方便选择上。里面的“主机地址”表示是创建单个IP地址，“范围地址”即是从某个地址开始到某个地址结束范围内的地址，“子网地址”表示子网划分范围内的地址段。 H3C F1000防火墙 3、创建策略好后可以在域间策略里查看是否已经存在，F1000防火墙一个比较好的优点就是在修改域间策略的时候可以直接点击 图标 进入策略里面进入修改，而不用像其它防火墙那样先删除掉原来的再重新配置上去。 思科ASA防火墙 思科ASA防火墙的主备冗余协议有点不同，它是采用Failover来实现主备切换的， Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性； Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换； Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换； 不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断； 带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。 组网配置 防火墙1的配置： 上联S3328-1端口 int g0/1 ip add 9 48 sec 100 nameif untrust no sh 思科ASA防火墙 心跳线口 failover failover lan unit primary failover lan interface HA-1 GigabitEthernet0/4 failover link HA-1 GigabitEthernet0/4 failover interface ip HA-1 52 standby 下联口 int g0/2.1000 vlan 1000 ip add ip 90 92 sec 50 nameif trust-1 no sh 思科ASA防火墙 策略配置 思科ASA防火墙的ACL配置跟IOS不同，子网掩码部分为正常的子网掩码不需要使用反转的子网掩码。还支持Object group，包含IP地址组，ICMP类型组，IP协议或者端口组，并且支持组嵌套。 配置定义Object Group 网络对象组 Firewall(config)# object-group network group_idFirewall(config-network)# description textFirewall(config-network)# network-object ip_addr mask (或者 host ip_addr)Firewall(config-network)# group-object group_idICMP对象组 Firewall(config)# object-group icmp-type group_idFirewall(config-icmp-type)# description textFirewall(config-icmp-type)# icmp-object icmp_typeFirewall(config-icmp-type)# group-object group_id协议对象组 Firewall(config)# object-group protocol group_idFirewall(config-protocol)# description textFirewall(config-protocol)# protocol-object protocolFirewall(config-pr