网站大量收购闲置独家精品文档,联系QQ:2885784924

《华为防火墙配置培训》-精选课件(公开).pptVIP

《华为防火墙配置培训》-精选课件(公开).ppt

  1. 1、本文档共34页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
1 SecPath防火墙技术介绍 学习目标 防火墙的域和模式 攻击防范、包过滤、ASPF、NAT、黑名单的使用方法 防火墙的模式 路由模式 为防火墙的以太网接口(以GigabitEthernet0/0 为例)配置IP 地址。 [SecPath] interface GigabitEthernet0/0 [SecPath-GigabitEthernet0/0] ip address 透明模式 当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP 地址。这样,用户若要对防火墙进行Web 管理,需在透明模式下为防火墙配置一个系统IP 地址(System IP)。用户可以通过此地址对防火墙进行Web 管理。缺省情况下,防火墙工作在路由模式。 (1) 配置防火墙工作在透明模式。 [SecPath] firewall mode ? route Route mode transparent Transparent mode [SecPath] firewall mode transparent Set system ip address successfully. The GigabitEthernet0/0 has been in promiscuous operation mode ! The GigabitEthernet0/1 has been in promiscuous operation mode ! All the Interfacess ips have been deleted. The mode is set successfully. 从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP 地址已经被删除。 (2) 为防火墙配置系统IP 地址。 [SecPath] firewall system-ip Set system ip address successfully. 说明:当防火墙切换到透明模式时, 系统为防火墙分配了一个缺省系统IP地址/8,可以使用上述命令更改系统IP 地址。 防火墙的模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。 防火墙的属性配置命令 打开或者关闭防火墙 firewall { enable | disable } 设置防火墙的缺省过滤模式 firewall default { permit|deny } 显示防火墙的状态信息 display firewall 在接口上应用访问控制列表 将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 基于时间段的包过滤 “特殊时间段内应用特殊的规则” 时间段的配置命令 time range 命令 timerange { enable|disable } [undo] settr 命令 settr begin-time end-time [ begin-time end-time ...... ] undo settr 显示 isintr 命令 display isintr 显示 timerange 命令 display timerange 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。 规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 access-list 4 deny 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段 ()上的主机但允许其中的一小部分主 机()的访问。 规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。 防火墙 在测试环境中,划分了最常用的三个安全区域: Untrust区域——用于连接外部网络; DMZ区域——放置对外服务器; Trust区域—

文档评论(0)

小米兰 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档