防火墙安全策略

目录

一、防火墙种类

二、防火墙流量控制手段

1、包过滤技术(传统)

2、状态检测技术

(1)、状态检测机制

三、安全实验

1、拓扑

2、需求

3、配置思路

4、关键配置截图

5、验证


一、防火墙种类

对于防火墙来说就是针对哪个方向的某些流量禁掉。

防火墙种类:本身还是基于ACL对流量进行分类识别

1、包过滤防火墙

2、代理防火墙

3、状态检测防火墙

二、防火墙流量控制手段

1、包过滤技术(传统)

包过滤技术(传统):对于转发的数据包,先获取包头信息(网络层【源IP、目的IP】和传输层【源端口、目的端口】头部),然后和设定的规则进行比较(和本地ACL进行比较是否匹配),根据比较的结果对数据包进行转发或丢弃。

ICMP不具备传输层协议,直接封装在网络层上,没有源目端口,但是网络层IP有一个协议字段标识上层使用协议。

一个协议之上,有不同的应用,传统ACL不能精细化上层应用,包过滤的问题:

(1)、不能精细化识别上层应用,只能粗略检测匹配协议。

2、状态检测技术

状态检测技术:除了基础的ACL,还支持多维度的条件精细策略(安全策略),安全策略就是按一定的规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略,规则的本质是包过滤。

ACL是基于五元组(源目IP、源目端口、协议号)

安全策略是基于五元组,匹配流量有:

(1)、条件:源目IP、源目端口、协议号、service服务、流量区域、应用、用户、时间段

(2)、动作:允许、禁止

<USG6000V1>system-view 从用户视图进入系统视图

[USG6000V1]sysname AF 改名

接口配置IP:

[AF]interface GigabitEthernet 0/0/0

[AF-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[AF]interface GigabitEthernet 1/0/0

[AF-GigabitEthernet1/0/0]ip address 192.168.1.254 24

配置区域,接入加入区域:

[AF]firewall zone trust 进入区域

[AF-zone-trust]add interface GigabitEthernet 0/0/0 接入加入区域

[AF]firewall zone untrust

[AF-zone-untrust]add interface GigabitEthernet 1/0/0

这个时间PC1去ping PC2,不通,原因是防火墙默认不同区域间是禁止访问的。

进入安全视图

[AF]security-policy

[AF-policy-security]default action permit 配置默认动作允许通过

放通策略后:

如果出现业务有影响,现网情况允许,放通所有策略来排查是否有策略影响。

配置策略

[AF-policy-security]rule name PC1-to-PC2

[AF-policy-security-rule-PC1-to-PC2]source-zone trust

[AF-policy-security-rule-PC1-to-PC2]destination-zone untrust

[AF-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 mask 255.255.255.0

[AF-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 24

[AF-policy-security-rule-PC1-to-PC2]service icmp

[AF-policy-security-rule-PC1-to-PC2]action deny

拒绝PC1到PC2的icmp协议后,ping失效

(1)、状态检测机制

状态检测机制:流量首包过来有安全策略允许通过,那么防火墙会创建一条会话表项,同时把流量转发,源目IP镜像流量也属于同一条流,五元组相同,五元组不同就会创建不同会话。

ICMP应用进程端口号,和TCP、UDP不太一样。

[AF]display firewall session table 看防火墙会话表项

2023-08-13 00:16:08.350

Current Total Sessions : 5

icmp VPN: public --> public 10.1.1.1:49184 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49952 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49696 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50464 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50208 --> 192.168.1.1:2048

三、安全实验

1、拓扑

2、需求

(1)、AR2属于ISP1(pri 40)区域

(2)、AR3属于ISP2(pri 45)区域

(3)、AR1可以访问ISP1和ISP2区域所有的主机

(4)、禁止AR1去telnet AR3

3、配置思路

(1)、IP地址(路由->防火墙)

(2)、防火墙接口加区域

(3)、路由器上的网关(默认路由)

(4)、安全策略

4、关键配置截图

这个策略两个条件,相同条件满足其中一个就可以(或的关系),不同条件至少满足其中一个(与的关系)

security-policy

rule name AR1-to-ISP1

source-zone trust

destination-zone ISP1

destination-zone ISP2

source-address 10.1.1.0 mask 255.255.255.0

destination-address 172.16.1.0 mask 255.255.255.0

destination-address 192.168.1.0 mask 255.255.255.0

action permit

5、验证

AR1可以访问ISP1和ISP2

telnet策略:

没有拦截,安全策略从上往下匹配,命中其中一条,就会执行当前动作,不会往下。

把拒绝策略上移动到放通策略之前:把。。。移到before。。。之前

[FW1-policy-security]rule move AR1-NOto-AR3 before AR1-to-ISP1

无法telnet,拒绝策略匹配成功

除了telnet其他没有问题:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/222200.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

COSP营造户外骑行新业态:2024深圳户外骑行展在深圳福田召开

随着人们生活水平的提高&#xff0c;绿色健康的生活方式备受关注&#xff0c;户外骑行作为一种绿色、健康的运动方式&#xff0c;越来越受到人们的青睐。此次展会将展示各种类型的户外骑行装备&#xff0c;包括自行车、头盔、手套、鞋类、骑行服等。深圳是中国户外骑行展会的重…

最新国内免费使用GPT4教程,GPT语音对话使用,Midjourney绘画

一、前言 ChatGPT3.5、GPT4.0、GPT语音对话、Midjourney绘画&#xff0c;相信对大家应该不感到陌生吧&#xff1f;简单来说&#xff0c;GPT-4技术比之前的GPT-3.5相对来说更加智能&#xff0c;会根据用户的要求生成多种内容甚至也可以和用户进行创作交流。 然而&#xff0c;GP…

油猴脚本教程案例【键盘监听】-编写 ChatGPT 快捷键优化

文章目录 1. 元数据1. name2. namespace3. version4. description5. author6. match7. grant8. icon 2. 编写函数.1 函数功能2.1.1. input - 聚焦发言框2.1.2. stop - 取消回答2.1.3. newFunction - 开启新窗口2.1.4. scroll - 回到底部 3. 监听键盘事件3.1 监听X - 开启新对话…

随机问卷调查数据的处理(uniapp)

需求&#xff1a;问卷调查 1.返回的数据中包含单选、多选、多项文本框、单文本框、图片上传 2.需要对必填的选项进行校验 3.非必填的多项文本框内容 如果不填写 不提交 表单数据格式 res{"code": 0,"msg": null,"data": [{"executeDay&…

持续集成交付CICD:HELM 手动完成前端项目应用发布与回滚

目录 一、实验 1.环境 2.K8S master节点部署HELM3 3.K8S master节点安装git 4. Harbor镜像确认 5. HELM 手动完成前端项目应用发布与回滚 6.代码上传到GitLab 二、问题 1.Ingress中 path 的类型有何区别 2. HELM创建项目报错 一、实验 1.环境 &#xff08;1&#x…

Flink cdc3.0同步实例(动态变更表结构、分库分表同步)

文章目录 前言准备flink环境docker构建mysql、doris环境数据准备 通过 FlinkCDC cli 提交任务整库同步同步变更路由变更路由表结构不一致无法同步 结尾 前言 最近Flink CDC 3.0发布&#xff0c; 不仅提供基础的数据同步能力。schema 变更自动同步、整库同步、分库分表等增强功…

MyBatis:动态 SQL 标签

MyBatis 动态 SQL 标签if 标签where 标签trim 标签choose 、when 、otherwise 标签foreach 标签附 动态 SQL 标签 MyBatis 动态 SQL 标签&#xff0c;是一组预定义的标签&#xff0c;用于构建动态的 SQL 语句&#xff0c;允许在 SQL 语句中使用条件、循环和迭代等逻辑。通过使…

HW03 -实物图像识别-改进:图像增强、网络架构,K折交叉验证

修改模型架构或者进行图像增强 # Normally, We dont need augmentations in testing and validation. # All we need here is to resize the PIL image and transform it into Tensor. test_tfm transforms.Compose([transforms.Resize((128, 128)),transforms.ToTensor(),#t…

Vue中的加密方式(js-base64、crypto-js、jsencrypt、bcryptjs)

目录 1.安装js-base64库 2. 在Vue组件中引入js-base64库 3.使用js-base64库进行加密 4.Vue中其他加密方式 1.crypto-js 2.jsencrypt 3.bcryptjs 1.安装js-base64库 npm install js-base64 --save-dev 2. 在Vue组件中引入js-base64库 import { Base64 } from js-ba…

大型语言模型:SBERT — Sentence-BERT

slavahead 一、介绍 Transformer 在 NLP 方面取得了进化进步&#xff0c;这已经不是什么秘密了。基于转换器&#xff0c;许多其他机器学习模型已经发展起来。其中之一是BERT&#xff0c;它主要由几个堆叠的变压器编码器组成。除了用于情感分析或问答等一系列不同的问题外&#…

AI数字人互动大屏支持多种场景交互!

互动大屏&#xff08;技术支持&#xff1a;zhibo175&#xff09;本身具有令人瞩目的效果&#xff0c;再配置丰富多彩的多媒体&#xff0c;如引人注目的广告、特效或游戏等&#xff0c;可起到很好的引流作用。在空间开阔且客流密集的场所&#xff0c;使用各种形态的大面积屏幕&a…

【AIGC重塑教育】AI大模型驱动的教育变革与实践

文章目录 &#x1f354;现状&#x1f6f8;解决方法✨为什么要使用ai&#x1f386;彩蛋 &#x1f354;现状 AI正迅猛地改变着我们的生活。根据高盛发布的一份报告&#xff0c;AI有可能取代3亿个全职工作岗位&#xff0c;影响全球18%的工作岗位。在欧美&#xff0c;或许四分之一…

【2023 英特尔On技术创新大会直播 |我与英特尔的初次相遇】—— AIPC探索下一代的物联网时代

&#x1f308;个人主页: Aileen_0v0 &#x1f525;系列专栏:英特尔技术学习专栏 &#x1f4ab;个人格言:"没有罗马,那就自己创造罗马~" 目录 硅谷经济的发展与挑战 Intel开发者云与AI技术的应用 AI压缩技术的发展与应用 英特尔与阿里巴巴在AI领域的合作 AIPC时代的…

flink sql1.18.0连接SASL_PLAINTEXT认证的kafka3.3.1

阅读此文默认读者对docker、docker-compose有一定了解。 环境 docker-compose运行了一个jobmanager、一个taskmanager和一个sql-client。 如下&#xff1a; version: "2.2" services:jobmanager:image: flink:1.18.0-scala_2.12container_name: jobmanagerports:…

C语言——数组

一、数组介绍 C 语言支持数组数据结构&#xff0c;它可以存储一个固定大小的相同类型元素的顺序集合。数组是用来存储一系列数据&#xff0c;但它往往被认为是一系列相同类型的变量。 ps&#xff1a;再C99之前的标准不支持变长数组&#xff0c;C99及之后的标准支持变长数组&a…

软件系统质量保证计划书

本计划描述了信息系统项目质量保证工作相关的一些情况&#xff0c;是软件质量保证过程和方针在项目中的具体实施计划。 计划中阐述了质量保证工作的基本目标&#xff1b;项目的基本情况&#xff1b;质量保证工作所需的资源&#xff1b;质量保证的主要工作&#xff1b;工作量估算…

openGuass:极简版安装

目录 一、openGauss简介 二、初始化安装环境 1.创建安装用户 2.修改文件句柄设置 ​3.修改SEM内核参数 4.关闭防火墙 6.禁用SELINUX 7.安装依赖软件 8.重启服务器 三、安装数据库 1.下载安装包 2.创建安装目录 3.解压安装包 4.执行安装 5.验证安装 四、gsql工具…

循环神经网络中的梯度消失或梯度爆炸问题产生原因分析(二)

上一篇中讨论了一般性的原则&#xff0c;这里我们具体讨论通过时间反向传播&#xff08;backpropagation through time&#xff0c;BPTT&#xff09;的细节。我们将展示目标函数对于所有模型参数的梯度计算方法。 出于简单的目的&#xff0c;我们以一个没有偏置参数的循环神经…

医院设置反馈投诉建议二维码的好处

将投诉建议的记录单制作成二维码,放在导医台、挂号窗口、门诊门口、电梯等公共区域,群众在就医过程中遇到的种种难点、堵点&#xff0c;皆可通过扫码进行评价、投诉,医院会及时收到信息安排员工第一时间与投诉人联系沟通解决&#xff0c;做到“码”上建议&#xff0c;马上落实。…

什么牌子的猫罐头健康又实惠?五大猫罐头推荐排行榜

新手养猫很容易陷入疯狂购买的模式&#xff0c;但有些品牌真的不能乱买&#xff01;现在的大环境不太好&#xff0c;我们需要学会控制自己的消费欲望&#xff0c;把钱花在刀刃上&#xff01;现在宠物市场真的很内卷&#xff0c;很多品牌都在比拼产品的数据和营养成分。很多铲屎…