安全防御——一、防火墙的基本概念

news2024/11/24 19:07:42

安全防御

  • 一、了解防火墙
    • 1、防火墙的区域及发展史
    • 2、下一代防火墙
  • 二、win10添加环回网卡ENSP连接真机
    • 1、导入设备包并登录
    • 2、创建环回网卡并配置IP地址
    • 3、解决云未显示环回网卡的问题
    • 4、绑定网卡并登录Web界面

一、了解防火墙

路由交换终归结底是连通性设备
五元组(源、目的IP、协议、源、目的端口号)
网络在远古时期没有防火墙大家都是连通的,any to any

防御对象:

  • 授权用户
  • 非授权用户

防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备
远古防火墙通过ACL,NAT来实现,现在防火墙通过session,server-map来实现。

1、防火墙的区域及发展史

防火墙的区域:

  • 区域的划分,根据安全等级来划分
  • 区域拥有不同的安全等级,内网(trust)一般是100满分,外网(untrust)一般是0-1,DMZ(50)

防火墙发展史

  • 包过滤的防火墙——访问控制列表技术——三层技术
    • 简单,速度慢
    • 检查的颗粒度粗
  • 代理防火墙——中间人技术——应用层
    • 降低包过滤颗粒度的一种做法,区域之间通信使用固定设备
    • 代理技术只能针对特定的应用来实现,应用间不能通用
    • 技术复杂,速度慢
    • 能防御应用层威胁,内容威胁
  • 状态防火墙——会话追踪技术——三层、四层
    首包匹配——策略表
    转发匹配——会话表(和目标通信的一系列包)
    在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
    会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
    • 首包机制
    • 细颗粒度
    • 速度快

ACL关注流量的去回,防火墙策略则只需要考虑首包即可。
UTM——深度包检查技术——应用层——统一威胁管理
将防火墙,代理进行整合。
把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。

  • 把原来分散的设备进行统一管理,有利于节约资金和学习成本
  • 统一有利于各设备之间协作
  • 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢

2、下一代防火墙

2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall) ,解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner(一家I咨询公司)对下一代防火墙进行了定义,明确下代防火墙应具备的功能特性。
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:

  • 1、传统防火墙的功能
    NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT、VPN等。
  • 2、IPS 与防火墙的深度集成
    NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成“而不仅仅是“"联动”例,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能Gartner发现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
  • 3、应用感知与全栈可视化
    具备应用感知能力,并能够基于应用实施违细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最里要的能力,传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
  • 4、利用防火墙以外的信息,增强管控能力
    防火墙能够利用其他T系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全第略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。

下面我们讲ENSP华为模拟器环境下的usg6000防火墙配置完毕之后我们结合模拟器学习防火墙的区域以及配置:

二、win10添加环回网卡ENSP连接真机

1、导入设备包并登录

ENSP怎么去玩防火墙,首先我们构建简单拓扑:
在这里插入图片描述
在这里插入图片描述
首先我们启动防火墙可以看到如下界面:
在这里插入图片描述
这里我们找到防火墙usg6000的设备包并导入:
在这里插入图片描述
下面我们启动防火墙,启动占内存且比较慢,请稍等:
在这里插入图片描述
有时可能会很多#号,这里我的操作是打开Oracle VM VirtualBox,点到导入的设备包并启动:
在这里插入图片描述
这样我是很快就打开了,在启动防火墙之前打开Oracle VM VirtualBox。
下面我们进行登录操作:账户与密码
账户:admin
密码:Admin@123(密码输入不会显示)
输入正确账户密码后会提醒修改密码输入 y 回车后提醒如下:
输入旧密码Admin@123
输入新密码(密码格式必须是大写加小写与数字长度达到八位)Admin@1234
确认新密码Admin@1234
在这里插入图片描述
这样我们就可以正常登录到防火墙命令行界面里。
下面我们创建云并以及网卡接口:
在这里插入图片描述
下拉即可看到网卡:
在这里插入图片描述
这里不能配置公网网卡,否则瘫痪。

2、创建环回网卡并配置IP地址

这里我的环境是Win10操作系统!
首先我们在运行窗口(win + R键)打开设备管理器(devmgmt.msc)
在这里插入图片描述
点击操作-添加过时硬件:
在这里插入图片描述
这里我们点击下一步:
在这里插入图片描述
点击安装我手动从列表选择的硬件(高级)
在这里插入图片描述
点击网络适配器
在这里插入图片描述
选择微软并点击环回适配器并创建:
在这里插入图片描述
下面点到下一步直到完成。
我们可以在适配器上进行查看到此网卡:
在这里插入图片描述
以太网2,我们可以看到其类型为环回适配器,这里我们已经在win10上创建环回网卡完成。
同时这里我们也可以对网卡更名,并手动配置IP地址:
在这里插入图片描述
上图为更改网卡设备名称之后,这里需要注意,以上操作均需要管理员身份即权限。
在这里插入图片描述
点击属性,下面我们手动配置此网卡IP地址:
在这里插入图片描述
双击因特网协议版本4即TCP/IPv4:
在这里插入图片描述
将自动获取IP地址改为使用以下IP地址,这里自动配置IP地址。
下方DNS服务器配置我则使用的是腾讯云DNS服务器,119.29.29.29即为DNS服务器IP地址。
自此我们创建环回网卡,手动配置IP地址已经成功完成。

3、解决云未显示环回网卡的问题

使用dos 指令重置网络,以管理员身份运行Dos窗口,输入:netsh winsock reset
在这里插入图片描述
搜索并以管理员身份运行:
在这里插入图片描述
接下来在上面输入如下命令:

netsh winsock reset

之后我们将电脑重启即可,云即可看到环回网卡并绑定:
在这里插入图片描述

4、绑定网卡并登录Web界面

下面我们回到ENSP:
在这里插入图片描述
首先我们添加UDP的连接网卡如上图。

在这里插入图片描述
点击增加:
在这里插入图片描述
这里我们即可看到绑定成功:
在这里插入图片描述
下面我们添加端口映射:
在这里插入图片描述
点击增加,映射表即可看到:
在这里插入图片描述
下面我们连接防火墙:
在这里插入图片描述
登录并修改防火墙接口IP地址:

<USG6000V1>sys
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]display this 
2023-11-03 13:37:07.110 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.0.1 255.255.255.0
 alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]undo ip address 
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.20.5 24
[USG6000V1-GigabitEthernet0/0/0]display this 
2023-11-03 13:37:31.800 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.20.5 255.255.255.0
 alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]service-manage ?
  all     ALL  service 
  enable  Service manage switch on/off 
  http    HTTP service 
  https   HTTPS service 
  ping    Ping service 
  snmp    SNMP service 
  ssh     SSH service 
  telnet  Telnet service 
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 
[USG6000V1-GigabitEthernet0/0/0]quit
[USG6000V1]

这里我们将防火墙设备的g0/0/0接口IP地址已经改为192.168.20.5,改到192.168.20.0同一网段即可。
下面我们进行测试主机是否可以连接成功:
首先我们进行ping环回网卡IP地址:
在这里插入图片描述
即可看到是可以连接到的,下面ping防火墙IP地址:
在这里插入图片描述
这里我们即可看到是可以成功连接的。
我们在浏览器直接访问防火墙接口IP地址登录:
在这里插入图片描述
这里我们可以看到显示不是私密连接,这里是因为这里签名使用的是华为自己的。
我们点击高级,继续访问即可:
在这里插入图片描述
下面我们就可以看到已经到了登录界面:
在这里插入图片描述
这里我们使用admin用户名,已经开局更改后的密码进行登录:
在这里插入图片描述
即可登录成功。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1167853.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

会声会影2024出来了吗?会声会影2024这款视频剪辑软件怎么样?

众所周知&#xff0c;每每有新兴行业逐渐崛起壮大的时候&#xff0c;随机而来的就是这个行业创造出的衍生行业&#xff0c;比如说现在的短视频平台或者是视频剪辑行业&#xff0c;都是很明显例子&#xff0c;今天我们就针对剪辑软件来和大家聊一聊&#xff0c;会声会影2024这款…

低代码开发,一场深度的IT效率革命

目录 一、前言 二、低代码迅速流行的理由 三、稳定性和生产率的最佳实践 四、程序员用低代码开发应用有哪些益处&#xff1f; 1、提升开发价值 2、利于团队升级 五、总结 一、前言 尽管IT技术支撑了全球的信息化浪潮&#xff0c;然而困扰行业已久的软件开发效率并未像摩尔定律那…

双生幻想礼包码,双生幻想兑换码在哪里输入?

兑换码是玩家享受珍贵福利和钻石资源的捷径&#xff0c;即刻获得&#xff01;如果你尚未了解&#xff0c;千万不要错过我们的最新兑换码&#xff01;不容错过的真实有效双生幻想礼包兑换码大全&#xff0c;小编已亲测&#xff0c;真实可行。双生幻想是一款风靡的二次元角色战斗…

AHD摄像头和普通摄像头

AHD摄像头和普通摄像头是两种常见的监控摄像设备&#xff0c;它们在技术原理、视频传输质量和适应环境等方面存在一些区别。本文将详细介绍AHD摄像头和普通摄像头的区别。 一、技术原理的区别 AHD&#xff08;Analog High Definition&#xff09;摄像头采用模拟高清技术&…

使用Docker搭建一个“一主两从”的 Redis 集群(超详细步骤)

目录 1、Redis 单机版安装1.1 拉取 Redis1.2 创建数据卷目录1.3 修改 redis.conf1.4 启动 Redis 容器1.5 进入容器连接 Redis 2、Redis 一主两从集群搭建2.1 复制三份 redis.conf2.2 启动 master2.3 启动 两个redis slave2.4 三者关系查看2.5 数据测试 1、Redis 单机版安装 1.…

快速批量重命名:高效修改文件名并转换为大写扩展名

在文件管理中&#xff0c;批量重命名文件是一个常见的需求。通过快速批量重命名&#xff0c;我们可以高效地修改文件名并将扩展字母转换为大写形式。这样做不仅可以提高文件的可读性&#xff0c;还可以更好地组织和管理文件。用云炫文件管理器可以快速批量重命名&#xff0c;能…

数据结构——基于顺序表实现通讯录

一、. 基于动态顺序表实现通讯录 1.1 功能要求 1&#xff09;⾄少能够存储100个⼈的通讯信息 2&#xff09;能够保存⽤⼾信息&#xff1a;名字、性别、年龄、电话、地址等 3&#xff09;增加联系⼈信息 4&#xff09;删除指定联系⼈ 5&#xff09;查找制定联系⼈ 6&…

Spring Cloud智慧工地源码,利用计算机技术、互联网、物联网、云计算、大数据等新一代信息技术开发,微服务架构

智慧工地系统充分利用计算机技术、互联网、物联网、云计算、大数据等新一代信息技术&#xff0c;以PC端&#xff0c;移动端&#xff0c;设备端三位一体的管控方式为企业现场工程管理提供了先进的技术手段。让劳务、设备、物料、安全、环境、能源、资料、计划、质量、视频监控等…

UI设计工具都哪些常用的,推荐这5款

对于UI设计师来说&#xff0c;日常工作无非是围绕“需求分析”→设计实施→“开发交付”这三个环节来进行。 然而&#xff0c;在每个环节中&#xff0c;设计师使用的工具却完全不同。在这里&#xff0c;我收集整理了UI设计师在日常工作中常用的五种工具&#xff0c;希望能为新…

二叉树刷题——递归

JZ36 二叉搜索树与双向链表&#xff08;牛客&#xff09; 描述 输入一棵二叉搜索树&#xff0c;将该二叉搜索树转换成一个排序的双向链表。如下图所示 数据范围&#xff1a;输入二叉树的节点数 0≤10000≤n≤1000&#xff0c;二叉树中每个节点的值 0≤10000≤val≤1000 要求&…

Android 11 Framework 增加自定义API到系统中

基于 Android 11 源码 根据网上的教程, 自己先捣鼓一波: frameworks\base\services 创建 hzyd文件夹 Android.bp内容: android_library_import {name: "services.hzyd",aars: ["MobileSDK-release.aar"],sdk_version: "current", }修改 fra…

携程AI布局:三重创新引领旅游行业智能化升级

2023年10月24日&#xff0c;携程全球合作伙伴峰会在新加坡召开&#xff0c;携程集团联合创始人、董事局主席梁建章做了名为《旅游业是独一无二的最好的行业》的演讲&#xff0c;梁建章在演讲中宣布了携程生成式 AI、内容榜单、ESG 低碳酒店标准三重创新的战略方向。这些创新将为…

Python 获取cpu、内存利用率

获取cpu、内存利用率 # -*- coding: latin1 -*- import psutil cpuPercent 0 psutil.cpu_percent() while True:vm psutil.virtual_memory()memoryPercent vm.percentcpuPercent psutil.cpu_percent(1) *10print("cpuPercent:"str(cpuPercent)" %")prin…

三、IPSec VPN原理

IPSec 1、IPSec起源和定义2、IPSec原理2.1、IPSec协议框架2.1.1、安全联盟2.1.2、安全协议2.1.3、安全协议报文头结构2.1.4、封装模式2.1.5、加密和验证2.1.6、IKE安全机制 2.2、IPSec基本原理2.2.1、定义IPSec保护的数据流2.2.2、IKEv2协商安全联盟的过程 2.3、IPSec增强原理2…

java配置GDAL

<gdal.version>3.7.0</gdal.version><!-- gdal--><dependency><groupId>org.gdal</groupId><artifactId>gdal</artifactId><version>${gdal.version}</version></dependency> GDAL环境安装 downlo…

华为OD机试 - 数组组成的最小数字 - 逻辑分析(Java 2023 B卷 100分)

目录 专栏导读一、题目描述二、输入描述三、输出描述四、解题思路五、Java算法源码六、效果展示1、输入2、输出3、说明 华为OD机试 2023B卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试&#xff08;JAVA&#xff09;真题&#xff08;A卷B卷&#…

考研数据结构线性表看这篇就够了之顺序表(一)

目录 一.线性表 1.1 线性表的概念 1.2线性表的种类 1.2.1 静态线性表 1.2.2 线性表的动态存储 二动态顺序表的操作 2.1. 定义结构体与函数 2.2 初始化 2.2.1实参和形参的区别 2.2.2 用实参改变形参 题外话 int *p和int* p的区别 2.3 销毁 2.4 尾插 2.4.1 首先要判…

继承、菱形继承与虚拟继承

继承、菱形继承与虚拟继承 一、概念二、定义格式三、继承方式四、派生类继承基类成员访问方式的变化五、基类和派生类对象赋值转换1、概念2、示意图3、示例代码4、特点 六、继承中的作用域1、概念2、示例代码3、运行结果 七、派生类的默认成员函数1、调用方法2、示例代码3、运行…