1.防火墙简介
1.1 什么是防火墙?
防火墙是一种网络安全设备,它监控并控制进出网络流量,依据一组预设的安全规则来决定是否允许特定的数据包通过。防火墙可以是硬件设备,也可以是软件程序,或者是二者的结合。它是保护网络安全的第一道防线。
1.2 防火墙的功能
(1)访问控制:防火墙可以根据预先设定的规则来允许或拒绝进出网络的流量。这样可以防止未经授权的访问,保护网络资源的安全。
(2)网络地址转换(NAT):防火墙可以隐藏内部网络结构,通过将内部私有IP地址映射到公共IP地址上,使得内部网络用户可以安全地访问外部网络,同时外部网络用户无法直接访问内部网络。
(3)监控和记录:防火墙能够记录所有通过它的流量,包括允许和拒绝的连接。这些日志可以用于审计、分析和检测异常活动。
(4)防止恶意攻击:防火墙能够检测并阻止各种网络攻击,如拒绝服务(DoS)攻击、分布式拒绝服务(DDoS)攻击、端口扫描等。
(5)虚拟专用网络(VPN)支持:许多防火墙支持VPN功能,允许安全的远程访问,通过加密的隧道连接远程用户和企业网络。
(6)应用层过滤:高级防火墙可以检查网络流量中的数据内容,阻止特定应用程序或服务的使用,如禁止访问特定的网站或应用程序。
(7)入侵检测和防御:现代防火墙通常集成了入侵检测系统(IDS)和入侵防御系统(IPS),可以检测并响应潜在的安全威胁。
1.3 防火墙的类型
(1)包过滤防火墙:根据IP地址、端口号和协议来过滤数据包,是最基础的防火墙类型。
(2)状态检测防火墙:不仅检查数据包的头信息,还记录数据包的状态,能更有效地控制流量。
(3)代理防火墙:通过代理服务器对进出网络的流量进行过滤和监控,提供更高级的安全控制。
(4)下一代防火墙(NGFW):结合了传统防火墙功能和更多高级功能,如应用识别与控制、威胁情报和深度数据包检测。
2.防火墙配置实验
2.1 基本要求
(1)内网主机PC1可以主动访问Internet,但internet 无法主动访问PC1。
(2)出口防火墙进行NAT转换,NAT 公网地址池100.1.1.10-100.1.1.20。
(3)internet可以通过公网地址100.1.1.100/24访问地址为192.168.2.100/24的内部web服务。
2.2 实验top
3.实验配置
3.1 基础配置
华为usg6000v(防火墙)初始账号密码admin,Admin@123,密码需要修改,不改进不去
Huawei@!123(密码要足够复杂,你也可以用其他的),注意接口ip地址不要忘记配置
3.1.1 基础配置
(1)Firewall
system-view
sysname Firewall
int g1/0/1
ip add 192.168.1.254 24
int g1/0/2
ip add 192.168.2.254
int g1/0/3
ip add 100.1.1.1 24
其他设备的ip信息类似完成
3.1.2 安全域配置
firewall zone trust
add interface g1/0/1
firewall zone untrust
add interface g1/0/3
firewall zone dmz
add interface g1/0/2
3.1.3 配置安全策略
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address any
action permit
3.1.4 配置NAT
(1)配置地址池,选择模式
nat address-group addressgroup1
mode pat
section 0 100.1.1.10 100.1.1.20
q
(2)配置策略
nat-policy
rule name policy_nat1
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address any
action source-nat address-group addressgroup1
display firewall session table
3.1.5 trust->dmz
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
#下面可以不配置,也可以配置上
source-address 192.168.1.0 24
destination-address 192.168.2.0 24
action permit
3.1.6 端口映射,服务器映射到外网
#下面的web是名字,可以不要
filewall
#nat server web protocol tcp global 100.1.1.100 80 inside 192.168.2.100 wwwnat server protocol tcp global 100.1.1.100 80 inside 192.168.2.100 80
#undo nat server protocol tcp global 100.1.1.100 80 inside 192.168.2.100 www
HLW
telnet 100.1.1.100 80
3.1.7 防火墙放行untrust->dmz
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
destination-address 192.168.2.100 32
action permit
3.2 效果查看
3.2.1 pc与互联网的访问
(1)pc访问互联网
(2)互联网访问pc
3.2.2 nat地址转换查看
这个NAT转换表明内网设备(192.168.1.1
)通过防火墙与外部设备(100.1.1.2
)进行了通信。防火墙将内网IP地址转换成了外部IP(100.1.1.20
),这样内网设备就可以与外部设备通信,而外部设备只看到转换后的公网IP地址。
3.2.3 互联网访问
注意先启动这里
在互联网(HLW)使用命令访问
telnet 100.1.1.100 80
显示当前的会话表
display firewall session table
http VPN: public --> public 100.1.1.2:50621 --> 100.1.1.100:80 [192.168.2.100:80]:
http VPN
表示这是一个通过VPN的HTTP会话。public --> public
表示从公共网络到公共网络的流量。100.1.1.2:50621
是源IP地址和端口(源IP为100.1.1.2,源端口为50621)。100.1.1.100:80
是目的IP地址和端口(目的IP为100.1.1.100,目的端口为80)。[192.168.2.100:80]
是内部的真实服务器地址和端口(内网IP为192.168.2.100,端口为80)。
在server上查看信息