安全防御——二、ENSP防火墙实验学习

安全防御

  • 一、防火墙接口以及模式配置
    • 1、untrust区域
    • 2、trust区域
    • 3、DMZ区域
    • 4、接口对演示
  • 二、防火墙的策略
    • 1、定义与原理
    • 2、防火墙策略配置
      • 2.1 安全策略工作流程
      • 2.2 查询和创建会话
    • 3、实验策略配置
      • 3.1 trust-to-untrust
      • 3.2 trust-to-dmz
      • 3.3 untrust-to-dmz
  • 三、防火墙的区域

一、防火墙接口以及模式配置

我们使用实验进行讲解:
在这里插入图片描述

1、untrust区域

首先我们自行完成安全防御一,进入到如下界面:
在这里插入图片描述
这里我们的ENSP拓扑依旧是简单拓扑:
在这里插入图片描述
在这里呢,我们经常会发现时常超时,重连,虽然我们不建议配置永不超时,但是我们在实验界面就没那么多硬性要求:
我们可以通过如下命令配置永不超时:
首先我们进入到系统视图:

user-interface console 0
idle-timeout 0 0

在这里插入图片描述
这里会弹出一个警告,不用管。
好的,下面我们将这个拓扑图完善来供我们学习:
在这里插入图片描述
这里我们可以看到我们在这里预计划分三个区域:trust以及untrust、DMZ区域三个区域。
下面我们进入Web界面点击网络,查看网络板块内容:
在这里插入图片描述
这里我们可以看到有六个口,也可看到模式,防火墙既可以做交换也可以做路由,这里默认为路由,点进去我们也可看到:
在这里插入图片描述
这里我们可以修改接口模式类型,当我们修改为交换,那么这个口就会变成2层口。
在这里插入图片描述
这里我们也可看到有其他种类型,旁路检测以及接口对:
如果使用旁路检测,那么交换机就会像PC一样,挂在交换机旁边一样。比较少见。
接口对我们之后再讲,先将路由以及交换搞清楚。
下面我们继续完善拓扑,使其可以进行模拟访问:
在这里插入图片描述
我们将PC的网关以及Server网关都分别放在交换机SW1以及SW2上,剩下的我们直接做互联即可。
下面我们将网段进行规划:
在这里插入图片描述
对G1/0/0进行配置:
在这里插入图片描述
这里我们可以看到有很多选项,虚拟系统这里不要动,如果改为defult,那么它将会和之前那个口在一起了。
安全区域我们将它放在untrust,接口模式为路由,这里我们将IP地址改为100.1.1.1/24:
在这里插入图片描述
下面不用管,这里有个启动接口访问,我们将它点掉,这里是不允许访问的。
在这里插入图片描述
同时,我们也可看到接口带宽有入方向带宽以及出方向带宽两种。一般运营商会拉互联网线路,如果是20M,那就选入方向与出方向选择20M,推荐运营商给多少,放多少。企业级是一样的,拨号式不一样,这里我们进行做实验,就不写了。
在这里插入图片描述
这里我们可以看到已经配置完毕,下面我们对R1进行配置:

[r1]sys ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]

这里我们在R1旁边放一个服务器,真实一些:
在这里插入图片描述
并给服务器配置IP地址:
在这里插入图片描述
在这里插入图片描述
这里开启HTTP,随便挂一个目录。
再对R1进行网关接口配置:

[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 200.1.1.1 24
[ISP-GigabitEthernet0/0/1]quit
[ISP]

这里我们已经将untrust配置完毕,我们进行测试:
在这里插入图片描述
我们可以看到是ping不通的,这里是因为我们未放行ping端口,下面我们将防火墙G1/0/0接口的ping打开:
在这里插入图片描述
在这里插入图片描述
好的,下面我们再进行测试:
在这里插入图片描述
我们可以看到现在是通了,下面我们还得写个路由出来,使untrust区域的服务器可以通信。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
配置下一跳以及出接口,点击确定。
在这里插入图片描述
这里即可生成一个静态路由,我们可以通过服务器来进行测试:
在这里插入图片描述

2、trust区域

下面我们整trust区域,回到接口进行配置:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里我们即可看到接口IP地址配置完毕。
紧接着我们配置SW1:

[sw1]vlan 2
[sw1-vlan2]quit
[sw1]int g0/0/1	
[sw1-GigabitEthernet0/0/1]port link-type access 
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1-GigabitEthernet0/0/1]quit
[sw1]int vlan 2
[sw1-Vlanif2]ip add 10.1.255.1 24
[sw1-Vlanif2]quit
[sw1]vlan 3
[sw1-vlan3]quit
[sw1]int vlan 3
[sw1-Vlanif3]ip address 10.1.3.1 24
[sw1-Vlanif3]quit
[sw1]int g0/0/2	
[sw1-GigabitEthernet0/0/2]port link-type access 
[sw1-GigabitEthernet0/0/2]port default vlan 3
[sw1-GigabitEthernet0/0/2]quit
[sw1]

将PC放在VLAN3里面,并在SW1里面我们可以进行配置vlan3,来放置PC的网关,下面我们进行配置PC端IP地址。
在这里插入图片描述
下面我们进行测试trust区域,还是先放开ping:
在这里插入图片描述
使用SW1来ping防火墙:
在这里插入图片描述
使用PC测试的话,我们当然依旧的先想到需要防火墙来进行回包,所以我们依旧先做一个回包路由:
在这里插入图片描述
在这里插入图片描述
下面我们使用PC来ping:
在这里插入图片描述
这里就证明内网可以进行通信了。

3、DMZ区域

首先我们对DMZ区域进行规划,DMZ区域中服务器1的网关放在防火墙上,交换机有两个口,那么我们要做聚合:
在这里插入图片描述
这里我们先在防火墙上做聚合,登录防火墙Web界面(首先这里我们认识到应该给G1/0/2以及G1/0/3接口做聚合):
做聚合的话,那么接口肯定是交换口:
在这里插入图片描述
点击新建
在这里插入图片描述
对新建接口进行命名,这里自定义,以及选择类型为接口汇聚,选择接口模式为交换,并将2口与3口放入:
在这里插入图片描述
在这里插入图片描述
然后下面有一个接口类型,这里我们选择access与trunk在于:有几个网关以及vlan,这里如果只有一个网关,也就是一个vlan,那么我们选择access接口即可,这里我们更改拓扑,再添加一个服务器,搞两个网关,那么我们则需要用到trunk。
在这里插入图片描述
那么我们这里使用trunk:
在这里插入图片描述
这里有一个trunk vlan id,这里我们就添加一个vlan,10和11,也就是10-11:
在这里插入图片描述
然后我们点击确定,即可看到我们刚才创建的链路聚合:
在这里插入图片描述
但是这里并没有给它划入区域,因此:
在这里插入图片描述
在这里插入图片描述
我们将它划入DMZ区域,点击确定即可看到:
在这里插入图片描述
到这里我们在防火墙上配置聚合,下面我们在交换机上做链路聚合:

[sw2]sys DMZ
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]trunkport g0/0/1
[DMZ-Eth-Trunk1]trunkport g0/0/2
[DMZ-Eth-Trunk1]quit
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]port link-type trunk
[DMZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[DMZ-Eth-Trunk1]quit
[DMZ]vlan 11
[DMZ-vlan11]vlan 10
[DMZ-vlan10]quit
[DMZ]int g0/0/4
[DMZ-GigabitEthernet0/0/4]port link-type access 
[DMZ-GigabitEthernet0/0/4]port default vlan 10
[DMZ-GigabitEthernet0/0/4]int g0/0/3	
[DMZ-GigabitEthernet0/0/3]port link-type access 	
[DMZ-GigabitEthernet0/0/3]port default vlan 11
[DMZ-GigabitEthernet0/0/3]quit
[DMZ]

下面我们在防火墙上创建网关:
好的,首先我们来创建vlan10网关:
在这里插入图片描述
在这里插入图片描述
创建接口名称,选择接口类型为vlan接口,安全区域选择dmz区域,vlan ID选择10,IP地址使用10.1.10.1/24,同时开放ping放开:
在这里插入图片描述
在这里插入图片描述
下面我们创建vlan11网关:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里我们已经创建成功,下面我们给服务器配置IP地址来完成我们的测试:
在这里插入图片描述
在这里插入图片描述
下面我们进行测试:
在这里插入图片描述
在这里插入图片描述
好的,到这里我们已经将各个区域内部打通,下面我们将区域之间打通:

4、接口对演示

华为叫做接口对,有的厂商叫虚拟网线。
二层转发要查MAC表,接口对不要查,直接转发。
我们完善拓扑通过实验来演示:
在这里插入图片描述
下面我们到Web界面进行配置:
首先我们将4和5模式改为接口对:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
之后我们来到接口对:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这样PC2流量只能去PC3。
接口对好处就是速度快,必须要做接口对的情况就是穿过防火墙做链路聚合。
以上实验不但用了路由模式,又用了交换模式,使用灵活。
旁路检测等于说把交换机功能废掉了,只用IPS也就是审计功能,等于说防火墙大部分功能废掉了,只能被动接收流量。

二、防火墙的策略

1、定义与原理

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

2、防火墙策略配置

2.1 安全策略工作流程

在这里插入图片描述

2.2 查询和创建会话

在这里插入图片描述

3、实验策略配置

在这里插入图片描述

3.1 trust-to-untrust

下面我们登录Web界面防火墙配置,点到策略模块:
在这里插入图片描述
这里我们可以看到这里面有一条默认策略,就是拒绝所有。
接下来我们进行一块一块搞,首先trust要访问untrust:
在这里插入图片描述
这里我们添加了名称、源目的安全区域,源地址,这里新建了个地址组:
在这里插入图片描述
首先,以上配置已经足够我们实验使用,如果在生产环境下,需要根据项目需求,来具体划分区域,VLAN以及服务,应用,URL,时间段,内容安全等等。
在这里插入图片描述
这里我们trust-to-untrust策略就已经配置完毕了。
下面我们使用PC1进行访问测试:
在这里插入图片描述
这里我们可以看到未能访问,我们这里需要做一个回包路由:
ISP:

[ISP]ip route-static 0.0.0.0 0 100.1.1.1
[ISP]

首先,这里出现了一点问题,网段在地址组打错了,所以我们首先:
在这里插入图片描述
选择地址,地址组:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里我们成功修改了地址组里面的地址,这时我们可以在策略看是否完成更改:
在这里插入图片描述
我们可以看到已经自动更改,现在,我们添加路由来使PC访问untrust区域内部的服务器:
SW1:

[sw1]ip route-static 0.0.0.0 0 10.1.255.2
[sw1]

好的,下面我们来进行测试,使用PC来ping服务器:
在这里插入图片描述
同时,我们在Web界面也可看到:
在这里插入图片描述
命中5次,这里trust-to-untrust策略成功配置完成。

3.2 trust-to-dmz

首先我们在地址组内创建DMZ区域IP地址:
在这里插入图片描述
在这里插入图片描述
点击确认即可查看我们创建的地址组:
在这里插入图片描述
下面我们写策略:
在这里插入图片描述
在此次实验中我们需要配置策略名称,源目的地址,以及开启的服务,然后点击确认。
在这里插入图片描述
接下来我们来测试:
使用trust区域中的PC进行ping:
在这里插入图片描述
这里我们trust-to-dmz策略创建完毕,这里也可看到命中:
在这里插入图片描述

3.3 untrust-to-dmz

这里我们dmz有两个服务,我们让他访问一个就行,首先,我们创建DMZ可以供untrust区域访问的服务器IP地址:
在这里插入图片描述
点击新建地址:
在这里插入图片描述
这里我们供untrust区域访问服务器为10.1.10.2:
在这里插入图片描述
好的,下面我们来配置策略:
在这里插入图片描述
创建untrust-to-dmz策略名,源安全区域为untrust,目的安全区域为dmz,以及目的地址选择之前创建的地址,DMZ-10.1.10.2,服务开放icmp。
在这里插入图片描述
下面我们使用untrust服务器进行访问dmz区域:
首先我们ping开放的10.1.10.2:
在这里插入图片描述
下面我们ping未开放的10.1.11.2:
在这里插入图片描述
同时,在Web界面显示命中次数:
在这里插入图片描述
到这里我们就将策略全部设置完成。

三、防火墙的区域

区域就是防火墙研究流量管控不是接口,是区域。区域之间流量流动要求在防火墙上做放行策略。创建区域在上面实验中已经完全实践过了。
会话和包是有区别的,访问baidu之后一系列的包都是一个流,每个包属于流的一部分,会话追踪技术,防火墙可以将包所有流全部识别出来。
防火墙主要关注首包,首包来到防火墙后首先查看会话表,然后匹配安全策略,匹配,之后,创建会话。第二个包来了之后匹配会话然后放行。
会话表的一个计算是使用hash表进行计算,对包的三层四层进行hash,然后我们去比对会话表。
假设第二个包跑第一个包前面,那第二个包不可以创建会话表,由于来回路径不一致导致防火墙的丢包现象。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/116275.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

ssh登录界面变成vim提示,进不去系统

是ubuntu系统 使用远程连接root,进去后发现界面变成vim编辑器的介绍界面了 使用普通用户登录 查询用户的登录shell是不是有问题 sudo vim /etc/passwd 发现用户shell变成了vim编辑器 修改为/bin/bash就可以正常登录了 重新登录测试就正常了

【Linux】 man命令使用

介绍 man命令是Linux下最核心的命令之一。而man命令也并不是英文单词“man”的意思,它是单词manual的缩写,即使用手册的意思。 man命令会列出一份完整的说明。 其内容包括命令语法、各选项的意义及相关命令 。更为强大的是,不仅可以查看Lin…

【计算机网络实验/wireshark】tcp建立和释放

wireshark开始捕获后,浏览器打开xg.swjtu.edu.cn,网页传输完成后,关闭浏览器,然后停止报文捕获。 若捕获不到dns报文,先运行ipconfig/flushdns命令清空dns缓存 DNS报文 设置了筛选条件:dns 查询报文目的…

openpnp - 74路西门子飞达控制板(主控板STM32_NUCLEO-144)实现

文章目录 openpnp - 74路西门子飞达控制板(主控板STM32_NUCLEO-144)实现概述飞达控制底板硬件电路程序的修改END openpnp - 74路西门子飞达控制板(主控板STM32_NUCLEO-144)实现 概述 现在调试自己的openpnp设备, 在收尾, 将飞达控制板弄好, 能正常控制设备飞达安装平台上装满…

go语言 | grpc原理介绍(二)

gRPC gRPC 是一个高性能、通用的开源 RPC 框架,其由 Google 2015 年主要面向移动应用开发并基于 HTTP/2 协议标准而设计,基于 ProtoBuf 序列化协议开发,且支持众多开发语言。 由于是开源框架,通信的双方可以进行二次开发&#x…

前端基础之CSS

目录 一、CSS介绍 CSS语法 CSS注释 CSS的几种引入方式 二、CSS选择器 基本选择器 组合选择器 属性选择器 分组和嵌套选择器 伪类选择器 伪元素选择器 选择器的优先级 三、CSS属性相关 宽和高 字体属性 文字属性 背景属性 边框 border-radius display属性 …

与AI对话的艺术:如何优化Prompt以获得更好的响应反馈

前言 在当今数字化时代,人工智能系统已经成为我们生活的一部分。我们可以在智能助手、聊天机器人、搜索引擎等各种场合与AI进行对话。然而,要获得有益的回应,我们需要学会与AI进行有效的沟通,这就涉及到如何编写好的Prompt。 与…

docker 安装 minio (单体架构)

文字归档:https://www.yuque.com/u27599042/coding_star/qcsmgom7basm6y64 查询 minio 镜像 docker search minio拉取镜像 docker pull minio/minio创建启动 minio 容器 用户名长度至少为 3,密码长度至少为 8 docker run \ -p 9000:9000 \ -p 9090:909…

轻量封装WebGPU渲染系统示例<13>- 屏幕空间后处理效果(源码)

当前示例源码github地址: https://github.com/vilyLei/voxwebgpu/blob/main/src/voxgpu/sample/ScreenPostEffect.ts 此示例渲染系统实现的特性: 1. 用户态与系统态隔离。 细节请见:引擎系统设计思路 - 用户态与系统态隔离-CSDN博客 2. 高频调用与低频调用隔离。…

C++基础——对于C语言缺点的补充(1)

目录 1.命名空间: 1.1 为什么要引入命名空间: 1.2 命名空间的作用: 1.3 如何访问命名空间内的变量: 1.4 命名空间的嵌套: 1.5 不同文件下同名命名空间的合并: 1.6 命名空间的展开: 2. C…

canal+es+kibana+springboot

1、环境准备 服务器:Centos7 Jdk版本:1.8 Mysql版本:5.7.44 Canal版本:1.17 Es版本:7.12.1 kibana版本:7.12.1 软件包下载地址:链接:https://pan.baidu.com/s/1jRpCJP0-hr9aI…

openGauss学习笔记-114 openGauss 数据库管理-设置安全策略-设置帐号有效期

文章目录 openGauss学习笔记-114 openGauss 数据库管理-设置安全策略-设置帐号有效期114.1 注意事项114.2 操作步骤 openGauss学习笔记-114 openGauss 数据库管理-设置安全策略-设置帐号有效期 114.1 注意事项 创建新用户时,需要限制用户的操作期限(有…

antv/g6元素之combo

介绍 在 G6 中,“Combo” 是一种特殊的元素,用于组合和展示多个节点元素的一种方式。它通常用于表示一个组或子图,将多个相关节点组织在一起,并在图形中以单一的形状显示。 属性 type:Combo 的类型,通常是…

【Redis】Redis常用命令-getsetkeysexistsexpirettltype

文章目录 读取文档注意事项set命令get命令全局/通用命令KEYSEXISTSDELEXPIRETTLTYPE 读取文档注意事项 官方文档链接:https://redis.io/ 注意:redis的命令不区分大小写 在redis文档给出的语法格式说明: []:相当于一个独立的单元&a…

面试—如何介绍项目中的多级缓存?

项目中使用的多级缓存也就是 分布式缓存 Redis 本地缓存 Caffeine,那么令 Caffeine 作为一级缓存,Redis 作为二级缓存,在项目中通过记录数据的访问次数,将热点数据放在 本地缓存,将非热点数据放在 Redis缓存 中&#…

详解RSA加密算法 | Java模拟实现RSA算法

目录 一.什么是RSA算法 二.RSA算法的算法原理 算法描述 三.RSA算法安全性 四.RSA算法的速度 五.用java实现RSA算法 一.什么是RSA算法 1976年,Diffie和Hellman在文章“密码学新方向(New Direction in Cryptography)”中首次提出了公开…

FSB逮捕为乌克兰网络部队工作的俄罗斯黑客

导语 近日,俄罗斯联邦安全局(FSB)逮捕了两名涉嫌协助乌克兰网络部队对俄罗斯重要基础设施目标进行网络攻击的个人。这起事件引起了广泛关注,涉及到了网络安全和国际关系等多个领域。本文将为您详细介绍这一事件的背景和最新进展。…

强大的pdf编辑软件:Acrobat Pro DC 2023中文

Acrobat Pro DC 2023是一款强大的PDF编辑和管理软件,它提供了广泛的功能,使用户能够轻松创建、编辑、转换和共享PDF文档。通过直观的界面和先进的工具,用户可以快速进行文本编辑、图像调整、页面管理等操作,同时支持OCR技术&#…

IOS渲染流程之提交图层数据至RenderThread进程

大致链路 UIView/CALayer---->CoreAnimation./Core Graphics/Core Image---->GPU Drive-->GPU 图层树/视图树 一个UIView(视图)对应一个CALayer(图层),CALayer对应显示的数据其有个content代表Bitamp&#…

firefox浏览器添加自定义搜索引擎方法

firefox浏览器添加自定义搜索引擎方法 1.在地址栏添加搜索引擎2.Mycroft Project 搜索引擎附加组件3.通过扩展插件添加自定义搜索引擎 Firefox这货居然不支持直接网址%s的搜索引擎定义方式,以下是添加方法。 firefox国际版119.0 1.在地址栏添加搜索引擎 &#xff…