一、结合以下问题对当天内容进行总结
1. 什么是防火墙?
2. 状态防火墙工作原理?
二、复现上课俩个演示实验
一、结合以下问题对当天内容进行总结
1 什么是防火墙?
防火墙是一种隔离(非授权用户和授权用户之间部署)并过滤(对受保护 网络有害的流量或数据包)的设备
根据区域概念来处理流量
防火墙与路由器、交换机是有区别的不同的俩类设备。路由器用来连接不同的网络,通过路由协议 保证互联互通,确保将报文转发到目的地,交换机则通常用来组建局域网,作为局域网通信的重要枢 纽,通过二层/三层交换快速转发报文,我们发现俩者都是负责转发的设备。而防火墙主要部署在网络边 界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙 的本质是控制。
防火墙区域:
安全区域等级 内网(trust)100
外网(untrust)0
服务器区(DMZ) 50
2. 状态防火墙工作原理?
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
首包过来发现没有会话表会通过对比策略来生成会话表,建立会话。只有首包可以建立,重传不能建立会话
二、复现上课俩个演示实验
实验复现
一,添加ip地址
pc1:110.1.1.2 24
server1:20.1.1.2 24
server2:50.1.1.2 24
server3: 50.1.2.2 24
防火墙:g1/0/0,g1/0/1
R1:
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/01
[ISP-GigabitEthernet0/0/1]ip add 20.1.1.1 24
[ISP]ip route-static 0.0.0.0 0 10.1.1.1
二,配置交换机
SW1:
[SW1]vlan 2
[SW1-vlan2]int vlan2
[SW1-Vlanif2]ip add 100.1.1.2 24
[SW1-Vlanif2]vlan 3
[SW1-vlan3]int vlan3
[SW1-Vlanif3]ip add 110.1.1.1 24
[SW1-Vlanif3]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 3
[SW1]ip route-static 0.0.0.0 0 100.1.1.1
SW2
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport g0/0/2
[SW2-Eth-Trunk1]trunkport g0/0/1
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]port link-type trunk
[SW2-Eth-Trunk1]port trunk allow-pass vlan 10 11
[SW2-Eth-Trunk1]vlan 10
[SW2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 10
[SW2]vlan 11
[SW2]int g0/0/04
[SW2-GigabitEthernet0/0/4]port link-type access
[SW2-GigabitEthernet0/0/4]port default vlan 11
三,防火墙做接口汇聚
添加en_trunk接口
添加vlanif10以及11接口
下方勾选可ping
四,制定安全策略
trust区域可访问untrust区域
untrust区域访问DMZ区域的server2服务器
防火墙制定两条静态路由
可访问trust区
为pc1回包
五,测试
PC1ping防火墙g1/0/1
PC1访问untrust区域
ISP ping server2
ping server3(50.1.2.2)
