目录
1.什么是防火墙?
2.状态防火墙的工作原理?
3.防火墙实验
1.什么是防火墙?
防火墙(英语:Firewall),也称防护墙,是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2.状态防火墙的工作原理?
状态防火墙----会话追踪技术,主要检查的是三层和四层的数据流量。
在ACL的基础上增加"session表",数据包需要查看会话表来匹配(仅首包需要查看策略表)。
会话表:会话表使用hash算法来处理定长值,使用类似于交换机的处理芯片“CAM”处理,处理速度与交换机的处理速度相差不大。
优点:
- 首包机制
- 细颗粒度
- 速度快
3.防火墙实验
1)拓扑图
2)实验步骤
先选择网卡
登录防火墙修改ip地址,并开启服务,这样在之后我们才能用web登录sug6000v
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.223.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
可以用自己的电脑ping测试一下
输入IP地址登录
配置untrust区域
配置缺省路由
配置 turust区域
sw1配置
[view]int vlan 2
[view-Vlanif2]ip ad 10.1.255.1 24
[view-GigabitEthernet0/0/1]port link-type access
[view-GigabitEthernet0/0/1]port default vlan 2
[view]int vlan 3
[view-Vlanif3]ip ad 10.1.3.1 24[view-GigabitEthernet0/0/2]port link-type access
[view-GigabitEthernet0/0/2]port default vlan 3
为使pc端可以ping,在静态这里做一个回包路由
DMZ
因为DMZ有两条路线,所以需要做聚合(这里将1/0/2和1/0/3聚合)
建立网关
测试一下
配置安全策略
测试