学习日志8.7--防火墙安全策略

news2024/12/24 22:00:24

安全区域之间的数据流动方向,是根据安全级别的优先级来定义的,如果是从优先级高的地方到优先级低的地方,比如说从Local(100)发送到Trust(85)是outbound,如果是从优先级低的地方到优先级高的地方,比如说从untrust(5)到trust(85)是inbound。在任何两个安全区域之间都能设置安全关卡,通过关卡来控制流量的允许接入还是拒绝。我们把这个安全关卡叫做“安全策略”。那再默认情况下安全关卡(安全策略)是拒绝的。

通过一个试验来体会一下。

实验拓扑图结构,将PC1划分在Trust的安全区域上,将PC2划分在Untrust的安全区域上设置PC2的网关IP是192.168.2.254

命令:[FW01]display zone,查看防火墙的安全区域的配置情况
需要把g1/0/1接口添加到Trust的安全区域上,直接把之前自定义的安全区域test1删除
已经删除,将接口g1/0/1添加到Trust安全区域上然后再防火墙的g1/0/2接口上配置IP地址信息,再添加到防火墙的Untrust安全区域上。
添加完毕。

配置完以后,如果让PC2去ping他的网关,我们知道从上一节的结果来看是ping不通的,因为和g1/0/2划分在Local的安全区域他具有自己的安全策略。相当于从untrust(5)区域传输到Local(100)区域,是从低优先级到高优先级的流量传输,是inbound,在进入两个区域之间有安全关卡又叫做安全策略。而安全策略在默认情况下是deny(拒绝)的,需要通过配置来把他打开。防火墙的loacl在inbound方向的流量控制是通过service-manage来实现。

在service-manage的控制下能实现多种流量的传输,像http、https、ping、snmp等的流量传输
命令:[FW01-GigabitEthernet1/0/2]service-manage ping permit,允许ping的流量传输
然后进行PC2ping防火墙的测试

开启这个ping的安全策略之后,主机PC2就可以开始ping防火墙。

说明现在可以从trust或则untrust通过inbound的流量方向访问到local,但是现在不能通过outbound的流量方式从local访问到trust或则是untrust。防火墙pingPC1,流量以outbound的方式从local到trust不通防火墙pingPC2,流量以outbound的方式从local到untrust不通。

所以说service-manage只是控制local的inbound方向的安全策略。service-manage是表示接口相关的安全区域的网络内的主句允许在Inbound方向访问Local区域。

通过这个实验来引出介绍防火墙的安全策略

我们说防火墙安全策略的构成,一个流量在安全策略中,如果满足安全策略的条件,就允许通过,否则就拒绝直接丢弃。允许通过的流量在进行深度的检测(配置文件)。

安全策略是在防火墙的不通安全区域的不通方向之间做流量管控,流量进入防火墙之后,防火墙会根据安全策略进行流程执行,按照配置的顺序进行优先匹配,匹配的优先顺序也可以通过命令来进行调整。一旦匹配到策略,就直接根据策略进行动作操作,允许还是拒绝,不会再匹配到下一策略

如果说在防火墙开机之后没有设置做过任何安全策略,或者说已经设置安全策略但是没有匹配,最后会匹配到缺省动作,匹配到默认的安全策略,默认的安全策略是deny(拒绝)的。但是默认策略是可以进行修改的。命令:[FW01]display security-policy rule all,查看当前配置的安全策略规则规则ID0,动作是默认,状态是开启,操作是拒绝
命令:[FW01]security-policy,进入安全策略视图
查看策略没有配置任何策略。
命令:[FW01-policy-security]default action permit,修该默认动作是允许
修改之后默认状态变为了premit(允许)。

下面用防火墙去ping主机
用防火墙去pingPC1流量是从local到trust方向是outbound方向,现在可以ping成功
用防火墙去pingPC2流量从local到untrust方向是outbound方向,现在可以ping成功。

再用两个主机互相ping

也能互相通信。

说明再没有配置安全策略的时候会匹配到默认策略,而默认策略一般默认的动作是deny拒绝,现在通过修改默认配置,可以让默认策略的动作变为允许,相当于将所有方向的关卡打开不设置拦截。

一般在整个的安全项目调试的的时候,将防火墙的安全策略打开让他的默认动作是允许,这样在调试路由的时候,就能知道到底是不是路由的问题导致的互相之间无法进行通信,如果不通就是路由器相关方面的问题,和防火墙的安全策略就没有关系,等路由调试好之后,将默认的安全策略动作改为拒绝就好了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1990783.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

回归预测|基于雪消融优化极端梯度提升树的数据回归预测Matlab程序SAO-XGBoost多特征输入单输出 含基础模型

回归预测|基于雪消融优化极端梯度提升树的数据回归预测Matlab程序SAO-XGBoost多特征输入单输出 含基础模型 文章目录 前言回归预测|基于雪消融优化极端梯度提升树的数据回归预测Matlab程序SAO-XGBoost多特征输入单输出 含基础模型 一、SAO-XGBoost模型二、实验结果三、核心代码…

SolidEdge二次开发(C#)-遍历装配体

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 1、前言2、在SolidEdge中创建一个装配体模型3、遍历的代码 1、前言 SolidEdge二次开发过程中,针对装配体的遍历是采用递归方法来完成的,能获…

Android adb启动任意app的几种方式

使用adb启动应用程序主要有两种方式:一种是已知应用程序的包名和主Activity,另一种是不知道应用程序的包名和主Activity。 已知应用程序的包名和主Activity 在这种情况下,我们可以通过输入特定的adb命令来启动应用程序。具体步骤如下&#x…

STM32 GPIO 模块

B站视频地址:芯片内部GPIO模块细节 操作 LED 灯,4个步骤 使能 GPIO 模块(GPIO 模块,默认不工作)选择 PIN2 的功能:连接到 GPIO 模块配置 GPIO 模块,让引脚,作为输出引脚配置 GPIO …

kubernets学习笔记——kubernets的相关概念

目录 理解 Kubernets 技术1、什么是 Kubernets2、为什么使用 Kubernets Kubernets 重要概念1、先看 Kubernets 架构图2、集群(cluster)3、主节点(Master)  3.1、API 服务器(Kubernets API Server)  3.2…

VC 与 VS(visual studio) 的对应版本

VC 与 VS 对应版本的关系: VC9:对应的是 Visual Studio 2008 版本。在这个版本中,开发环境提供了一系列的新特性和改进,为开发者提供了更高效的编程体验。例如,增强了对 C 标准的支持,优化了调试工具等。 …

Postgresql数据库中通过函数实现将不确定列的数据插入到表中

在数据库操作中,经常会遇到需要将不确定列的数据插入到表中的情况。这个文章将详细介绍如何在 PostgreSQL 中通过函数来实现这一需求,记录一下。 一、需求概述 在实际应用中,可能会接收到一个包含数据的 JSON 字符串,需要将其插…

体外诊断 | 从说明书看研发:阳性判断值研究

来源于《甲型流感病毒、乙型流感病毒和新型冠状病毒(2019-nCoV) 核酸检测试剂盒(PCR-荧光探针法)审评报告》(CSZ2200276) 来源于《血清淀粉样蛋白A/C 反应蛋白二联检测试剂盒(荧光免…

vue3--实现vue2插件JSONPathPicker的路径获取功能

背景 最近在进行vue2项目升级为vue3。 在项目中需要获取json某些字段的路径,vue2中使用JSONPathPicker ,但是该插件不支持vue3,vue3中也没有相应的模块有该功能。 实现目标: 原vue2中JSONPathPicker实现的功能: 查…

多智能体协作之 AutoGen Studio

目录 一、AutoGen Studio 安装 二、AutoGen Studio 使用 2.1 Skills 2.1.1 generate_and_save_images 2.1.2 generate_and_save_pdf 2.2 Models 2.3 Agents 2.4 Workflows 2.5 Playground 本文主要对 AutoGen Studio 进行介绍。 一、AutoGen Studio 安装 通过 pip 进…

PCIe 物理尺寸和形状

PCIe 物理尺寸和形状 1. PCIe Riser (PCIe 插槽)2. Riser 卡与 PCIe 卡2.1. PCIe 卡尺寸 3. Form factors (规格,物理尺寸和形状)4. Peripheral Component Interconnect Express (PCI Express, PCIe or PCI-e)5. HHHL and FHHL5.1. HHHL DPU Layout and Interface I…

TM1652段码屏芯片全解析——概况,性能,MCU连接,样例代码

首先,作为四年前就有的LED段码控制芯片,相关的资料及样例程序少的可怜。硬件驱动 作为固定使用的 软件资源,其共享性远低于软件领域的驱动库。人的才智不应浪费在这种不具创造性的重复实验上。 要点总结: TM1652概述&#xff1a…

k-means算法原理

1 算法简介 k-means(k均值)算法由不同学者于20世纪50-60年代在不同领域提出的一种聚类算法。随后该算法不断得到了改进,成为了一种非常广泛应用的聚类算法。k-means算法是将样本按距离划分为k个簇的一种聚类算法。 2 算法的基本原理 2.1 相…

TypeError: Cannot read property ‘xxx‘ of undefined

1.首先贴出控制台的报错信息 2.从报错信息看的一脸疑惑,xxx属性或方法确实定义了,引入后怎么就报错了,一开始还怀疑是小程序缓存导致的,清理缓存重新编译还是报错,然后怀疑是分包导致的,后来看到我的代码是…

一、stm32在cubemx配置硬件crc与rng测试演示

一、crc配置 1、配置crc界面 2、crc主要调用的函数 这两个都可以生成crc,存在一些区别,但都可以生成crc其结果都是一样的。 二、rng配置 1、rng配置的界面 2、rng生成函数 这三个函数都可以生成随机数,其中开启中断后可调用回调函数&am…

在Linux中宏观的看待线程

线程一旦被创建,几乎所有的资源都是被所有的线程共享的。线程也一定要有自己私有的资源,什么样的资源应该是线程私有的? 1.PCB属性私有 2.要有一定的私有上下文结构 3.每个线程都要有独立的栈结构 ps -aL ##1. Linux线程概念 ###什么是线程…

深度学习每周学习总结N6:使用Word2vec实现文本分类

🍨 本文为🔗365天深度学习训练营 中的学习记录博客🍖 原作者:K同学啊 | 接辅导、项目定制 目录 0. 总结:1.加载数据2. 构建词典3. 生成数据批次和迭代器4.模型搭建及初始化5. 定义训练与评估函数6. 拆分数据集并运行模…

界面控件(无ui文件)

目录 菜单栏 工具栏 状态栏 停靠部件和核心部件 菜单栏 MainWindow::MainWindow(QWidget *parent): QMainWindow(parent) {// 菜单栏,获取当前窗口的菜单栏,没有会自动创建一个QMenuBar *mb this->menuBar();// 添加菜单QMenu *menuFile mb-&g…

【ML】Pre-trained Language Models及其各种微调模型的实现细节和特点

Pre-trained Language Models及其各种微调模型的实现细节和特点 1. Pre-trained Language Models2. semi-supervised Learning3. zero-shot4. Parameter-Efficient Fine-Tuning4.1 含义:4.2 实现方式: 5. LoRA5.1 LoRA 的主要特点:5.2 LoRA 的…

【QT 5 QT 6 构建工具qmake-cmake-和-软件编译器MSVCxxxvs MinGWxxx说明】

【QT 5报错:/xxx/: error: ‘class Ui::frmMain’ has no member named ‘xxx’-和-软件编译器MSVCxxxvs MinGWxxx说明】 1、前言2 、qt 中 Qmake CMake 和 QBS1-qmake2-Cmake3-QBS4-官网一些说法5-各自特点 3、软件编译套件1-Desktop Qt 6.7.2 llvm-mingw 64-bit2-…