防火墙基本原理

防火墙基本原理

概述

防火墙,firewall,网络安全中最基本的安全产品,用于实现边界安全,区域防护。
内网访问互联网时,防火墙应允许访问数据流经过,但当外部互联网有访问内网请求时,为保证内网安全,应拒绝该数据流。

随着信息安全和等级保护的发展,防火墙已成为必备设备。

功能

1、安全防护
2、v*n 网关
3、入侵防护
4、病毒过滤
等等

分类

按使用对象分类:
1、个人防火墙,例如:360、瑞星
2、企业防火墙,例如:ASA、IPTable

按技术分类:
1、包过滤防火墙
包过滤防火墙是一种基于OSI 3、4层的防火墙,类似ACL,只能实现 IP 和 PORT 的过滤,无法实现深度检测深度过滤。
2、应用代理防火墙
应用代理对代理防火墙性能要求比较高,需要对数据进行缓存并且做深度检测,然后再做 NAT 代理。
3、状态检测防火墙
现在主流防火墙,通过采用一种被称为“状态监视”的模块,对网络通信各个层次实现监测,并根据各种过滤规则作出安全策略。

网闸,是一种更加昂贵的产品, 多用于军工、政府。

部署方式

双区域部署

防火墙基本原理
最基本的拓扑架构,双区域设计在没有服务器的情况下是可以被允许的,但是当有服务集群的时候,需要将主机和服务器隔离开来,防止内部攻击。
流量主动从 inside 区域传向 outside 的流量及应答可以通过防火墙,outside 区域主动传向 inside 区域的流量将被阻拦。此时 inside 中的服务器将无法被互联网端访问,若开放某些端口供互联网访问,可能受到来自内部主机的攻击。

三区域部署

防火墙基本原理
三区域设计引入 DMZ 非军事化区域,用于专门隔离服务器,实现更安全的互访。

安全级别:0-100,安全级别越高越优先,安全级别高的可以访问安全级别低的区域,反之不行,若低安全级别区域要访问高级别,可以在高级别区域部署允许策略。

安全原理

主机经过防火墙访问互联网时,防火墙通过 DPI 深度数据检测自动检测数据流,记录数据流信息并生成状态化表,当来自外部的应答数据流返回时,查看状态化表判断是否允许经过。

防火墙初始管理

接口配置:
interface Ethernet1
nameif inside //先命名
security-level 100
ip address 192.168.1.254 255.255.255.0

show interface ip brief //查看配置命令略有不同

TELNET配置:
username cisco password cisco privilege 15
telnet 192.168.1.0 255.255.255.0 inside //只有从 inside 口过来的关于192.168.1.0/24的网段才可以访问。
aaa authentication telnet console LOCAL

SSH 配置
hostname PIX1
domain-name cisco.com
crypto key generate rsa
ssh 0.0.0.0 0.0.0.0 outside
username cisco2 password cisco
aaa authentication ssh console LOCAL //local 需大写

静态路由/默认路由
route inside 1.1.1.1 255.255.255.255 192.168.1.1
route outside 0.0.0.0 0.0.0.0 100.1.1.3
route outside 0 0 100.1.1.3
show route

OSPF协议:
router ospf 100
router-id 10.10.10.10
network 192.168.1.0 255.255.255.0 area 0 //正掩码
default-information originate always

ACL/NAT:
1、内网–>外网 PAT(端口NAT)
fixup protocol icmp //开启ICMP协议修复
access-list in2out extended permit ip 192.168.1.0 255.255.255.0 any
nat (inside) 1 access-list in2out
global (outside) 1 interface
Show xlate show conn
2、外网访问DMZ服务器 静态NAT
static (dmz,outside) 100.1.1.2 172.16.1.2 netmask 255.255.255.255

access-list OPEN permit tcp any host 100.1.1.2 eq 23
access-list OPEN PErmit icmp any host 100.1.1.2
access-group OPEN in interface outside 允许OPEN流量进入outside接口

相关文章:

  • 2021-08-01
  • 2021-09-18
  • 2022-12-23
  • 2021-11-18
  • 2021-11-18
猜你喜欢
  • 2021-12-04
  • 2022-01-26
  • 2021-09-02
  • 2021-06-25
  • 2022-02-22
  • 2021-11-03
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode