做网站的时候想要满屏,app要有网站做基础,公司网站彩页怎么做,东莞建设教育网站第二天重要的一个点是区域这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作
防火墙的分类#xff1a; 单一主机防火墙#xff1a;专门有设备作为防火墙
路由集成#xff1a;核心设备#xff0c;可流量转发
分…第二天重要的一个点是区域这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作
防火墙的分类 单一主机防火墙专门有设备作为防火墙
路由集成核心设备可流量转发
分布式防火墙部署多个
吞吐量 --- 防火墙同一时间处理的数据量
防火墙发展历史 说白了就是ACL
五元组是用来标识一条数据流的协议类型是网络层
缺点
1.很多安全风险集中在应用层所以仅关注三四层的数据无法做到完全隔离安全风险
2.逐包进行包过滤检测将导致防火墙的转发效率过低成为网络中的瓶颈
在ACL列表中华为体系下末尾是没有隐含规则的即就是如果匹配不到ACL列表则认为ACl列表不存在之前可以通过则还可以通过但是在防火墙的安全策略中为了保证安全末尾会隐含一条拒绝所有的规则即就是只要没有放通的流量都是不能通过的 1.因为需要防火墙进行先一步安全识别所以转发效率会降低原来的三次握手会变成六次握手
2.可伸缩性差每一种应用程序需要代理的话都需要开发对应的代理功能如果没有开发则无法代理 “会话包技术” ---首包检测 入侵检测设备为独立的设备检测日志的
IDS---一种侧重于风险管理的安全机制---滞后性
旁路部署为电路思想中的并联部署 旁路不影响本来的情况 针对主题为流量 针对主体为文件 因为众多的专用设备导致企业在部署安全防护时需要同时部署大量的设备进行防护则设备维护成本大大提高所有设备都需要对流量进行检测所以效率很低 在UTM中各功能模块是串联工作的所以检测效率并没有得到提升但是因为集成在一台设备中所以维护成本得到了降低 改进点核心相较于之前UTM中各模块的串联部署变为了并联部署仅需要一次检测所有功能板块都可以做出相应的处理大大提高了工作效率
多点部署范围问题性能问题 防火墙的其他功能 网络环境支持三层交换机特点---像路由器也像交换机
二层口只能解封装二层不能配ip
三层口能配ip 防火墙的控制
带内管理---通过网络环境对设备进行控制---telnetsshweb---登录设备和被登录设备需要联通 带外管理---console线连接mini usb线备用 华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时默认配置有ip地址192.168.0.1/24并且该接口默认开启了DHCP和Web登录的功能方便进行web管理 防火墙管理员 用户权限等级 本地认证 --- 用户信息存储在防火墙上登录时防火墙根据输入的用户名和密码进行判断如果通过认证则成功登录
服务器认证 --- 和第三方的认证服务器对接登录时防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证通过则反馈给防火墙防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息则用户信息不需要重复创建。
服务器/本地认证---优先使用服务器认证如果服务器认证失败则也不进行本地认证。只有在服务器对接不上的时候才用本地认证
信任主机添加一个ip或一个网段则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机 防火墙的组网
物理接口
二层口---不能配IP
普通的二层口
接口对---”透明网线“深信服---可以将两个接口绑定成为接口对如果流量从一个接口进入则必定从另一个接口出去不需要查看MAC地址表。---其实一个接口也可以做接口对从该接口进再从该接口出
旁路检测接口---主要用于防火墙的旁路部署用于接收防火墙的镜像流量
三层口---可以配IP
虚拟接口
环回接口
子接口
链路聚合
telnet接口
VLAN接口
Bypass --- 4个千兆口其实是两队bypass口容错机制内部直通---如果设备故障则两个接口直通保证流量不中断
虚拟系统 --- VRF技术相当于逻辑上将一台设备分割为多太设备平行工作互不影响。需要通过接口区分虚拟系统的范围
管理口和其余物理接口默认不在同一个虚拟接口中 高于安全策略
接口队默认为truck 不同的虚拟空间之间通信使用的虚拟接口只需要配置IP地址即可新创建一个虚拟系统会自动生成一个虚拟的接口
安全区域
Trust --- 一般企业内网会被规划在Trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域则代表该接口所连接的所有网络都被规划到该区域
Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的凡是需要设备响应并处理的报文均可以认为是有Local区接收。我们无法修改Local区的配置并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以这个区域就代表的是严格管理和松散管理之间的部分管理区域 优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向outbound 流量从优先级低的区域到优先级高的区域 --- 入方向 (inbound) 路由模式--- 1接口区域配置完成
2内网配置回包路由
3是否需要配置服务器映射
4配置内网访问外网的NAT
5、针对内外网的安全策略
透明模式--- 旁路模式--- 混合模式---
