防火墙基础介绍

目录什么是防火墙防火墙应用场景防火墙的发展历程包过滤防火墙状态检测防火墙AI防火墙防火墙部署模式路由模式透明模式旁挂模式基础通信功能IP地址和DHCP静态或动态路由NAT地址转换设置安全区域和安全策略防火墙与路由器工作时对比什么是防火墙防火墙应用场景防火墙的发展历程包过滤防火墙状态检测防火墙AI防火墙#所谓沙箱就相当于给你一个封闭的运行程序的环境你在这个环境里去运行程序如果运行完之后对整个的环境没有威胁就认为你是OK的防火墙部署模式路由模式在一个网络中我们直接用防火墙来代替路由器用路由器干的活他都得干像配置静态路由、NAT转换等。防火墙与路由器工作时对比透明模式假设这是内网办公区内网办公区这么多的电脑或服务器连到交换机就形成了局域网那局域网怎么去跟互联网相连呢拿上一台路由器再办上一条宽带如下这条线就相当于从运营商办的一条宽带通过这条宽带咱们就可以去往互联网这样就实现了网络的基础连通性。我们在网络中加上一台防火墙把它串联在如下图所示这个位置底下的用户想去互联网就必须得经过这堵墙这个防火墙摆在这我们经常把它做成透明模式相当于我们在交换机和路由器中间加了一个傻瓜交换机不管是下面还是上面的设备他们都不知道中间加了设备这种就是小透明防火墙加到这个位置后如果不做安全策略允许所有包通过跟一条网线是一样的这种模式叫透明模式。但在实际的使用中即使用透明模式也是要加一些安全设置的比如不让用户访问一些非法网站、过滤病毒进入内网、限制一些上网行为挂在路由器和交换机之间对底下的用户和整个网络进行监控和安全加固。旁挂模式顾名思义防火墙就是挂在一边而不是串联在网络中。这里主要起两个作用一种是IDS/入侵检测对上网的数据包进行监听它像一个围观的第三者它是怎么做到入侵检测呢数据包都没有经过它。这个时候我们会在左边这条线做一个端口镜像就是把一些关键的数据往左边复制一份比如我想针对PC1的数据进行一下监管这个时候我们就可以通过端口镜像技术把 PC1 的流量镜像到这个接口镜像到这个接口之后就会发到防火墙那么防火墙就可以对PC1的上网数据进行检查这就叫入侵检测如果发现一些异常的流量那么防火墙就可以发出一些告警通知。第二种是做VPN它挂在旁边也可以实现VPN的功能。防火墙负责搭一条密封管道数据在管子里走加密、看不见、改不了。基础通信功能IP地址和DHCP静态或动态路由NAT地址转换端口映射带宽分配IP地址和DHCP此次实验中防火墙一共有四个接口G1/0/1口也就是WAN口连接外网相当于从电信办了一条宽带这个宽带办的不是家用宽带是互联网专线是比较高级的宽带这种宽带都是有公网IP的作为单位我办了宽带之后可以用公网IP 64.1.1.1。电信用来接收我数据包的接口是 64.1.1.6防火墙只要把数据包送到电信那电信自然会给我送到互联网。G1/0/2口也就是 LAN 口连接内网/局域网G1/0/3口连接服务器区左边G0/0/0连接管理口在防火墙上一般有一个叫MGMT的口这个口不跑业务数据上网、办公不走这个口这个口是作为远程管理通过web界面也好或者telnet命令行也好远程管理这台防火墙我们往往给这个防火墙的管理口MGMT配上一个IP这里10.1.1.1就作为它的管理IP地址。在配防火墙的时候一定要配IP地址sy#进入配置模式int g1/0/2#进入要配置的接口g1/0/2ip add 172.16.10.1 255.255.255.0#为其配置IP配置好之后可以通过web界面来连接防火墙华为的防火墙默认的管理端口是8443通过10.1.1.1:8443 来访问防火墙的登录窗口修改默认账号密码创建一个管理员账号aaa#身份验证、授权、记账的核心配置命令manager-user test#创建账号password cipher 2wsx#EDC#设置密码level 15#提高权限service-type web#设置账号功能 web管理创建好之后就可以使用账号密码来登录了接下来的配置我们就可以仅通过点鼠标的方式来进行配置这样更加简单直观这样防火墙的4个口就配置好了接下来我们要配置DHCP开DHCP是为了让底下的电脑、手机等这些终端能自动地获取到IP地址为了电脑在上网的时候能通过网址去访问目标还要配置DNS如果不配置DNS到这一步不管是底下的设备还是防火墙它们都有了各自的IP现在还是不能和外界通信只有IP地址远远不够。静态或动态路由静态路由适合小型网络、简单、稳定动态路由适合大型网络、复杂、线路多、会自动切换路径配置静态或动态路由是为了让设备产生路由表路由表可以理解成网络设备在转发数据包时它有一个调度规则比如底下那台Windows 想访问百度那数据包的目的地就是百度对于防火墙它就必须得知道去百度的包应该走上面那如果Windows 是想访问服务器你把包给防火墙防火墙就得知道目的地为172.16.20.100的数据包就得往右走也就是说当它收到一个数据包后到底往上走还是往右走这个调度规则就叫路由表。那就需要把路由表给防火墙配上这样它收到数据包才知道正确的转发路径有了路由表它就能正常的把数据包送往百度、送往服务器了NAT地址转换只有路由表内网之间可以相互通信但私网IP要想上外网访问百度经过防火墙防火墙就得干一件事叫做 NAT地址转换把私网IP 172.16.10.x 转换为公网IP 64.1.1.1然后再送到运营商这个时候才能顺利的访问到外网数据包从G1/0/3发出来时访问内网的服务器不需要做NAT转换直接就通数据包从G1/0/1出来要做NAT转换设置安全区域和安全策略安全区域区域间示例trust到untrust区默认都是拒绝访问的那怎么才能访问 Internet 呢那就需要通过安全策略去定义哪一些区域间的流量是允许的哪一些区域间的流量是拒绝的安全策略安全策略组成条件、动作、安全配置文件如下做一些简单的基础配置设置安全域设置安全策略现在172.16.10.x 就可以正常上网了此外也可以设置哪些IP段能上网哪些IP段不能上网基于服务的管控比如rdp基于应用一些行为管控比如禁止QQ命中次数29意思就是说内网有一台电脑尝试给QQ服务器发数据包发了29次但都被拦截了。防火墙怎么识别这个数据包是QQ的就是根据数据包的特征所以特征库需要及时更新。有的设置了禁止还是能访问大概率是因为特征库没有升级。软件防火墙可以部署在虚拟机上或者服务器上部署在虚拟机或服务器上之后呢他就把这台虚拟机或者这台服务器变成一台防火墙了这就叫软件防火墙软件防火墙一般在云上用的比较多在路由器的基础上增加了一些安全功能防火墙在进行工作当中我们先把它当成是一台普通的路由器先把互联互通的事情都备好然后再在防火墙上面去设置业务以及各个协议的安全的一些诉求再把它的网络安全加固起来。防火墙与路由器工作时对比