天天看點
傳回

防火牆基礎之分支與分支之間互通​

防火牆之分支與分支之間互通​

原理概述:​

防火牆(英語:Firewall)技術是通過有機結合各類用于安全管理與篩選的軟體和硬體裝置,幫助計算機網絡于其内、外網之間建構一道相對隔絕的保護屏障,以保護使用者資料與資訊安全性的一種技術。​

防火牆技術的功能主要在于及時發現并處理計算機網絡運作時可能存在的安全風險、資料傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確定計算機網絡運作的安全性,保障使用者資料與資訊的完整性,為使用者提供更好、更安全的計算機網絡使用體驗。​

所謂“防火牆”是指一種将内部網和公衆通路網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和資訊安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為最甚。​

防火牆主要是借助硬體和軟體的作用于内部和外部網絡的環境間産生一種保護的屏障,進而實作對計算機不安全網絡因素的阻斷。隻有在防火牆同意情況下,使用者才能夠進入計算機内,如果不同意就會被阻擋于外,防火牆技術的警報功能十分強大,在外部的使用者要進入到計算機内時,防火牆就會迅速的發出相應的警報,并提醒使用者的行為,并進行自我的判斷來決定是否允許外部的使用者進入到内部,隻要是在網絡環境内的使用者,這種防火牆都能夠進行有效的查詢,同時把查到資訊朝使用者進行顯示,然後使用者需要按照自身需要對防火牆實施相應設定,對不允許的使用者行為進行阻斷。通過防火牆還能夠對資訊資料的流量實施有效檢視,并且還能夠對資料資訊的上傳和下載下傳速度進行掌握,便于使用者對計算機使用的情況具有良好的控制判斷,計算機的内部情況也可以通過這種防火牆進行檢視,還具有啟動與關閉程式的功能,而計算機系統的内部中具有的日志功能,其實也是防火牆對計算機的内部系統實時安全情況與每日流量情況進行的總結和整理。​

防火牆是在兩個網絡通訊時執行的一種通路控制尺度,能最大限度阻止網絡中的黑客通路你的網絡。是指設定在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間資訊的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊安全服務,實作網絡和資訊安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了内部網和Internet之間的任何活動,保證了内部網絡的安全。​

防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目标計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的通路,進而防止來自不明入侵者的所有通信。​

網絡安全的屏障

一個防火牆(作為阻塞點、控制點)能極大地提高一個内部網絡的安全性,并通過過濾不安全的服務而降低風險。由于隻有經過精心選擇的應用協定才能通過防火牆,是以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協定進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協定來攻擊内部網絡。防火牆同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的封包并通知防火牆管理者。​

強化網絡安全政策​

通過以防火牆為中心的安全方案配置,能将所有安全軟體(如密碼、加密、身份認證、審計等)配置在防火牆上。與将網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡通路時,一次一密密碼系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。​

監控審計​

如果所有的通路都經過防火牆,那麼,防火牆就能記錄下這些通路并作出日志記錄,同時也能提供網絡使用情況的統計資料。當發生可疑動作時,防火牆能進行适當的報警,并提供網絡是否受到監測和攻擊的詳細資訊。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。​

防止内部資訊的外洩​

通過利用防火牆對内部網絡的劃分,可實作内部網重點網段的隔離,進而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隐私是内部網絡非常關心的問題,一個内部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至是以而暴漏了内部網絡的某些安全漏洞。使用防火牆就可以隐蔽那些透漏内部細節如Finger,DNS等服務。Finger顯示了主機的所有使用者的注冊名、真名,最後登入時間和使用shell類型等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關内部網絡中的DNS資訊,這樣一台主機的域名和IP位址就不會被外界所了解。除了安全作用,防火牆還支援具有Internet服務性的企業内部網絡技術體系VPN(虛拟專用網)。​

日志記錄與事件通知​

進出網絡的資料都必須經過防火牆,防火牆通過日志對其進行記錄,能提供網絡使用的詳細統計資訊。當發生可疑事件時,防火牆更能根據機制進行報警和通知,提供網絡是否受到威脅的資訊。​

實驗目的:​

1:了解和掌握防火牆的基礎配置​

2:了解和掌握NAT的配置​

實驗拓撲:​

防火牆基礎之分支與分支之間互通​

基礎配置:​

FW1:​ 

#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.1 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 192.168.10.254 255.255.255.0​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 100.1.1.1 255.255.255.0​
 gateway 100.1.1.2​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/2​
 undo shutdown​
#​
interface GigabitEthernet1/0/3​
 undo shutdown​
#​
interface GigabitEthernet1/0/4​
 undo shutdown​
#​
interface GigabitEthernet1/0/5​
 undo shutdown​
#​
interface GigabitEthernet1/0/6​
 undo shutdown​
#​
interface Virtual-if0​
#​
interface NULL0​
#​
destination-nat address-group net 0​
 section 192.168.10.3 192.168.10.3​
#​
firewall zone local​
 set priority 100​
#​
firewall zone trust​
 set priority 85​
 add interface GigabitEthernet0/0/0​
 add interface GigabitEthernet1/0/0​
#​
firewall zone untrust​
 set priority 5​
 add interface GigabitEthernet1/0/1​
#​
firewall zone dmz​
 set priority 50​
#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 100.1.1.2​
#​
undo ssh server compatible-ssh1x enable​
ssh authentication-type default password​
ssh server cipher aes256_ctr aes128_ctr​
ssh server hmac sha2_256 sha1​
ssh client cipher aes256_ctr aes128_ctr​
ssh client hmac sha2_256 sha1​
#​
firewall detect ftp​
#​
user-interface con 0​
 authentication-mode aaa​
user-interface vty 0 4​
 authentication-mode aaa​
 protocol inbound ssh​
user-interface vty 16 20​
#​
pki realm default​
#​
sa​
#​
location​
#​
multi-linkif​
 mode proportion-of-weight​
#​
right-manager server-group​
#​
device-classification​
 device-group pc​
 device-group mobile-terminal​
 device-group undefined-group​
#​
user-manage server-sync tsm​
#​
security-policy​
 rule name 放通​
 action permit​
#​
auth-policy​
#​
traffic-policy​
#​
policy-based-route​
#​
nat-policy​
 rule name DNAT​
 source-zone untrust​
 source-address 100.1.1.1 mask 255.255.255.255​
 destination-address 192.168.10.1 mask 255.255.255.255​
 action destination-nat static address-to-address address-group net​
 rule name SNAT​
 source-zone trust​
 action source-nat easy-ip​
#​
quota-policy​
#​
pcp-policy​
#​
dns-transparent-policy​
#​
rightm-policy​
#​
return

配置接口:

防火牆基礎之分支與分支之間互通​

配置預設路由:

防火牆基礎之分支與分支之間互通​

配置安全政策:

防火牆基礎之分支與分支之間互通​

配置NAT:

防火牆基礎之分支與分支之間互通​

SNAT:

防火牆基礎之分支與分支之間互通​

DNAT:

防火牆基礎之分支與分支之間互通​

FW2:​ 

#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.2 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 192.168.20.254 255.255.255.0​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 100.1.1.2 255.255.255.0​
 gateway 100.1.1.1​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/2​
 undo shutdown​
#​
interface GigabitEthernet1/0/3​
 undo shutdown​
#​
interface GigabitEthernet1/0/4​
 undo shutdown​
#​
interface GigabitEthernet1/0/5​
 undo shutdown​
#​
interface GigabitEthernet1/0/6​
 undo shutdown​
#​
interface Virtual-if0​
#​
interface NULL0​
#​
destination-nat address-group net 0​
 section 192.168.20.3 192.168.20.3​
#​
firewall zone local​
 set priority 100​
#​
firewall zone trust​
 set priority 85​
 add interface GigabitEthernet0/0/0​
 add interface GigabitEthernet1/0/0​
#​
firewall zone untrust​
 set priority 5​
 add interface GigabitEthernet1/0/1​
#​
firewall zone dmz​
 set priority 50​
#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 100.1.1.1​
#​
undo ssh server compatible-ssh1x enable​
ssh authentication-type default password​
ssh server cipher aes256_ctr aes128_ctr​
ssh server hmac sha2_256 sha1​
ssh client cipher aes256_ctr aes128_ctr​
ssh client hmac sha2_256 sha1​
#​
firewall detect ftp​
#​
user-interface con 0​
 authentication-mode aaa​
user-interface vty 0 4​
 authentication-mode aaa​
 protocol inbound ssh​
user-interface vty 16 20​
#​
pki realm default​
#​
sa​
#​
location​
#​
multi-linkif​
 mode proportion-of-weight​
#​
right-manager server-group​
#​
device-classification​
 device-group pc​
 device-group mobile-terminal​
 device-group undefined-group​
#​
user-manage server-sync tsm​
#​
security-policy​
 rule name 放通​
 action permit​
#​
auth-policy​
#​
traffic-policy​
#​
policy-based-route​
#​
nat-policy​
 rule name DNAT​
 source-zone untrust​
 source-address 100.1.1.2 mask 255.255.255.255​
 destination-address 192.168.20.1 mask 255.255.255.255​
 action destination-nat static address-to-address address-group net​
 rule name SNAT​
 source-zone trust​
 action source-nat easy-ip​
#​
quota-policy​
#​
pcp-policy​
#​
dns-transparent-policy​
#​
rightm-policy​
#​
return

配置接口:

防火牆基礎之分支與分支之間互通​

配置預設路由:

防火牆基礎之分支與分支之間互通​

配置安全政策:

防火牆基礎之分支與分支之間互通​

配置NAT:

防火牆基礎之分支與分支之間互通​

驗證明驗:​

防火牆基礎之分支與分支之間互通​

實驗結束;

網絡安全 資訊安全 安全政策
上一篇: Redis服務入侵記0x00 簡要說明0x01 CentOS 7安裝Redis0x02 通過計劃任務反彈shell0x03 通過寫入SSH公鑰遠端連接配接0x04 通過寫入檔案擷取webshell0x05 通過主從複制擷取shell
下一篇: 在Rust web服務中使用Redis 言簡意赅

繼續閱讀