防火墙详解(USG6000V)

news2024/11/16 23:18:42

0、防火墙组网模式

防火墙能够工作在三种模式下分别是路由模式透明模式旁路检测模式混合模式

0.1、路由模式

路由模式:防火墙全部以第三层对外连接,即接口具有IP 地址。一般都用在防火墙是边界的场景下

防火墙需要的部署/配置:

  1. 接口IP地址,区域划分
  2. 写内网的回包路由
  3. 安全策略
  4. 由内到外的NAT
  5. 服务器映射

0.2、透明模式

透明模式:防火墙都以二层对接(接口无IP 地址),只是让流量经过它而已,它对于子网用户和路由器来说是完全透明的,用户完全感觉不到防火墙的存在。

特点:可以避免改变拓扑结构造成的麻烦。就像放置一个交换机一样,不用修改其他设备的已有配置,与路由模式相同的是,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。

防火墙需要的部署/配置:

  1. 接口配置VLAN,划分区域
  2. 安全策略
  3. 增强设备的管理接口,用于控制管理设备和设备的自我升级

0.3、旁路检测模式

旁路检测模式:与核心设备进行连接,镜像复制核心设备的流量。可以检测传输的数据包,可以做上网管理行为,例如TCP协议中,可以伪装服务器给中断发一个rst标记位的数据包,形成中断(具有滞后性)

0.4、混合模式

混合模式:具有二层和三层的接口(某些接口具有IP 地址,某些接口无IP 地址),这种模式更加灵活,主要用于透明模式作双机备份的情况


 防火墙主要有以下七点功能:

以USG6000V防火墙为讲解,其管理页面为:

通过上图,我们可以将管理页面划分为6个子页面:面板页面、监控页面、策略页面、对象页面、网络页面和系统页面

初始账号:admin

初始密码:Admin@123

1、系统页面

1.1、管理员模块

 在系统页面中的管理员模块,我们可以看到有两大部分:

  1. 管理员:实际的管理员账号
  2. 管理员角色:为管理员定义的权限身份

1.1.1 管理员

点击“新建”,即可创建一个管理员账号(自选择身份)

本地认证:用户密码信息存储在防火墙本地,有防火墙判断是否通过认证

服务器认证:对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。

服务器/本地认证:正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。

信任主机:只有信任主机中的地址或者网段才能登录控制设备(最多可以添加10条信任主机,如果没有配置,则不做限制)

1.1.2 管理员角色

点击“新建”定义一个拥有自定义权限的身份

 2、网络页面

2.1、接口模块

2.1.1 接口模式和类型

在接口模块中,可以对防火墙的接口进行一个配置操作,其配置页面如下:

在接口修改页面中,我们可以看到四个模式和多个类型

它们又可分为物理接口虚拟接口

物理接口:

  1. 三层接口:可以配置IP地址
  2. 二层接口:普通二层口、接口对,旁路检测接口

接口对:可相当于“透明网线”,可以将一个或多个接口配置称为接口对,则数据从一个接口进时,将不需要查看MAC地址表,而是直接从另一个接口出(当设备断电时,会直接将两个接口短接)

虚拟接口:

  1. 环回接口
  2. 子接口
  3. Vlanif
  4. Tunnel
  5. 链路聚合

字母前的数字代表接口数量

GE:千兆以太网接口

XG:万兆以太网光接口

BYPASS:单位一般用“对”,两个BYPASS接口为一对。当设备断电时,会自动将两个接口缎短接,形成环路从而不影响网络。如4GE-BYPASS可理解为两对千兆BYPASS接口

2.1.2 接口虚拟系统VRF

虚拟系统的作用:将一个防火墙的硬件在逻辑上划分成多个防火墙系统,从而可以实现将一台设备当成多台设备来使用

在防火墙的接口列表中,Virtual-if0接口是虚拟系统互通使用的接口,每创建一个虚拟系统,会自动生成一个虚拟接口,仅需配置IP地址即可

2.1.3 接口默认网关

默认网关的作用的是自动生成一个指向该网关地址的缺省路由

2.1.4 接口启用访问管理

在启用访问管理这块,可以控制允许哪些协议访问

注意:“启动访问管理”的优先级高于安全策略,即如果安全策略未放通,但是如果这边启动了,则可以正常访问

2.2、接口对模块

接口对默认是trunk干道

2.3、安全区域模块

初始区域列表有四个:trust、untrust、local、dmz

trust:信任区域,一般放置内网

untrust:非信任区域,一般放置外网

local:防火墙上所有接口都属于接口

dmz:非军事化管理区域,介于管理严格和不严格之间,放置一些对外开放的区域

优先级:0-100

将接口划分到某个区域,代表的是将接口所连接的网络划分到该区域,而接口本身永远属于local

优先级的作用:定义方向

  • 出方向(outbound):从优先级高的区域到优先级低的区域
  • 入方向(inbound):从优先级低的区域到优先级高的区域

3、策略页面

3.1、安全策略

在安全策略列表中初始有一条测略,该策略不可被删除,只能修改其中的动作为“允许”或“拒绝”,即安全策略隐含一条拒绝所有的策略。

条件匹配中的所有匹配项为“与”关系,而匹配项中的多选项为“或”关系

        在传统的包过滤技术中,安全策略本质上就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,是逐包对比,效率较低。      

        而下一代防火墙(NGFW)的安全策略中,可以执行两块内容。第一块内容是访问控制,即允许或拒绝通过;第二块内容是在允许通过的情况下,可以进行内容的安全一体化检测。

        并且NGFW的安全策略涉及的维度更多

防火墙的状态检测和会话表技术:主要机制是以数据流为单位,仅针对首包进行检测,检测通过后会将数据包的特征记录在本地会话表中,在其老化时间内,数据流的其他数据包来到防火墙后不会再匹配安全策略,而是匹配会话表并根据会话表来进行转发。

所以我们在新建安全策略时,只需放行去时的流量,不用考虑后续回包。回包会根据去时的会话表记录转发回来

注意:为防止回来的信息是冒充的,所以回来的数据包需要符合协议定义的后续报文的要求,这就属于状态检测技术

例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求

会话表技术:提高转发效率的关键,其主要是采用老化机制

老化时间问题:

  1. 会话表老化时间过长,会导致占用资源和一些会话(原会话/新会话)无法正常建立
  2. 老化时间过短,会导致一些需要长时间发送一次的报文强行中断,影响正常业务

命令行查看会话表老化时间
<USG6000V1>display firewall session table

会话表技术还弥补了包过滤防火墙的一个安全缺陷,比如当我们进行安全策略时,以包过滤的角度来写就需要部署两条安全测略(来和去),但是回来的安全策略有一个严重的问题就就是回去的信息可能是存在欺骗的,即我可以去访问你的任何端口,包括3389、23、22、445等危险端口,防火墙根本拦截不了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1908966.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

自动连点鼠标器是什么?好用的鼠标连点器分享

你听说过自动鼠标连点器吗&#xff1f;自动连点鼠标器是一种软件工具&#xff0c;用于自动模拟鼠标点击操作。这种工具可以设置为在特定位置和时间间隔内自动点击鼠标&#xff0c;减轻手动点击的负担。自动连点器通常可以在很多生活场景中帮助我们节省时间成本&#xff0c;今天…

OS Copilot测评

1.按照第一步管理重置密码时报错了,搞不懂为啥?本来应该跳转到给的那个实例的,我的没跳过去 2.下一步重置密码的很丝滑没问题 3安全组新增入库22没问题 很方便清晰 4.AccessKey 还能进行预警提示 5.远程连接,网速还是很快,一点没卡,下载很棒 6.替换的时候我没有替换<>括…

Python | Leetcode Python题解之第224题基本计算器

题目&#xff1a; 题解&#xff1a; class Solution:def calculate(self, s: str) -> int:ops [1]sign 1ret 0n len(s)i 0while i < n:if s[i] :i 1elif s[i] :sign ops[-1]i 1elif s[i] -:sign -ops[-1]i 1elif s[i] (:ops.append(sign)i 1elif s[i] …

嵌入式Linux系统编程 — 7.4 fork、vfork函数创建子进程

目录 1 父进程与子进程概念 2 fork创建子进程 3 系统调用 vfork()函数 4 vfork与 fork函数如何选择 1 父进程与子进程概念 进程与子进程是操作系统中的一个基本概念&#xff0c;用于描述进程之间的层级关系。下面是对这一概念的简要说明&#xff1a; 父进程&#xff1a;在…

线程池的合理使用

线程池的合理使用 一、简介二、为什么要使用线程池三、核心参数四、如何合理配置线程参数1.1 corePoolSize && maximumPoolSize1.2 Handler 拒绝策略1.2.1AbortPolicy&#xff1a;优势&#xff1a;劣势&#xff1a; 1.2.2 DiscardPolicy&#xff1a;优势&#xff1a;劣…

3Python的Pandas:数据选取

1.数据选取操作 1.1. 选取单列 df[Q1]df[Q2]1.2. 选取多列 df[[team,Q1]]df.loc[:,[team,Q1]]1.3.选择行 使用指定索引选择 df[df.indexAck]选择前n行 df[0:3]df.iloc[:10,:]1.4. 前n行&#xff0c;每隔m选择一个 df[0:10:3]1.5. 条件选择 df[df.Q1>90]df[(df.teamC…

linxu驱动入门基础课一(GPIO控制LED灯)基于RK3568

虽然GPIO控制LED 是最简单的linux驱动&#xff0c;但是是初学者入门必须跨过的门槛&#xff0c;里面很多基础知识点&#xff0c;有GPIO的控制原理&#xff0c;字符设备驱动&#xff0c;设备树&#xff0c;gpio和pinctrl子系统&#xff0c;内核模块原理等等&#xff0c;这些知识…

APP明暗主题设置

1.preference.xml 增加一个暗色主题 SwitchPreference 2.每个 Activity 的 setContentView 前面增加 setTheme SharedPreferences sharedPreferences PreferenceManager.getDefaultSharedPreferences(this); if (sharedPreferences.getBoolean("switch_dark_theme"…

Windows下编译OpenSSL静态库

目录 1. 版本与下载地址 2. 下载与安装VS2015 3. 下载与安装Perl 4. 测试ActivePerl是否安装正确 5. 下载OpenSSL 6. 编译32位OpenSSL静态库 6.1 解压openssl-1.0.2l.tar.gz 6.2 打开VS2015 x86本机工具命令提示符 6.3 输入命令进入到openssl的目录中 6.4 执行配置命…

加密与安全_密钥体系的三个核心目标之不可否认性解决方案

文章目录 Pre概述不可否认性数字签名&#xff08;Digital Signature&#xff09;证书是什么证书使用流程 PKICA证书层级多级证书证书链是如何完成认证的&#xff1f; 其他疑问1. Alice能直接获取Bob的公钥&#xff0c;是否还需要证书&#xff1f;2. 为什么即使能直接获取公钥也…

世界人工智能大会 | 江行智能大模型解决方案入选“AI赋能新型工业化创新应用优秀案例”

日前&#xff0c;2024世界人工智能大会暨人工智能全球治理高级别会议在上海启幕。本次大会主题为“以共商促共享&#xff0c;以善治促善智”&#xff0c;汇聚了上千位全球科技、产业界领军人物&#xff0c;共同探讨大模型、数据、新型工业化等人工智能深度发展时代下的热点话题…

CLIP编码器调用时刚开始正常,然后输出全部变为NaN

碰到了这个问题&#xff1a;输入是正常的&#xff0c;输出全是NaN 网上办法不多&#xff0c;找了半天终于看到问题所在&#xff0c;但是没有说在哪里改的&#xff0c;故记录一下。 改一下模型精度就正常了&#xff0c;默认的是fp16&#xff0c;改为fp32即可 具体步骤如下&…

渲染引擎之ECS架构介绍

1.什么是ECS&#xff1f; 我们先简单地介绍一下什么是ECS&#xff1a; E -- Entity 实体&#xff0c;本质上是存放组件的容器C -- Component 组件&#xff0c;引擎所需的所有数据结构S -- System 系统&#xff0c;根据组件数据处理逻辑状态的管理器 ECS全称Entity-Component-…

免费压缩pdf文件大小软件收费吗?pdf如何压缩文件大小?12款压缩应用推荐!

在数字化时代&#xff0c;PDF文件因其跨平台、格式统一的特点而广受欢迎。然而&#xff0c;随着文件内容的增加&#xff0c;PDF文件的大小也逐渐增大&#xff0c;给存储和传输带来了诸多不便。因此&#xff0c;寻找一款合适的PDF压缩软件成为了许多用户的需求。本文将详细介绍1…

阿里开源语音理解和语音生成大模型FunAudioLLM

近年来&#xff0c;人工智能&#xff08;AI&#xff09;的进步极大地改变了人类与机器的互动方式&#xff0c;例如GPT-4o和Gemin-1.5等。这种转变在语音处理领域尤为明显&#xff0c;其中高精度的语音识别、情绪识别和语音生成等能力为更直观、更类人的交互铺平了道路。阿里开源…

# 昇思25天学习打卡营第10天 | 使用静态图加速

昇思25天学习打卡营第10天 | 使用静态图加速 文章目录 昇思25天学习打卡营第10天 | 使用静态图加速动态图的开启方式静态图的开启方式基于全局context的开启方式基于修饰器的开启方式 总结打卡 AI编译框架分为两种运行模式&#xff1a; 动态图模式&#xff1a; 计算图的构建和计…

C语言 | Leetcode C语言题解之第224题基本计算器

题目&#xff1a; 题解&#xff1a; int calculate(char* s) {int n strlen(s);int ops[n], top 0;int sign 1;ops[top] sign;int ret 0;int i 0;while (i < n) {if (s[i] ) {i;} else if (s[i] ) {sign ops[top - 1];i;} else if (s[i] -) {sign -ops[top - 1…

android文本长按复制

android文本长按复制 &#x1f4d6;1. 长按直接复制✅步骤一&#xff1a;定义一个TextView✅步骤二&#xff1a;为TextView注册长按事件✅步骤三&#xff1a;弹出系统复制功能 &#x1f4d6;2. 长按弹框确认复制✅步骤一&#xff1a;定义一个TextView✅步骤二&#xff1a;封装P…

3d模型设计要注意什么?---模大狮模型网

展览3D模型设计作为现代展示和艺术表达的重要手段&#xff0c;不仅仅是简单的视觉元素&#xff0c;更是整个展览体验的核心。在这个领域&#xff0c;设计师需要综合考虑美学、功能性以及技术实现的多重因素。本文将探讨在展览3D模型设计过程中需要注意的关键要点。 一、美学与视…