防火墻學習筆記一、防火墻基礎防火墻通常位于兩個信任程度不同的網路間（如：企業內部和internet之間），可以對兩個網絡之間的通信進行控制，從而保護內部網絡的安全。防火墻特征：邏輯區域過濾器使用NAT技術可以隱藏內部的網絡結構自身的安全是有保障的可以主動防御攻擊防火墻的組成：硬件+軟件+控制策略控制策略分為兩種：寬松的控制策略：除非明確禁止，否則就允許限制的控制策略：除非明確允許，否則就禁止按形態分類：硬件防火墻、軟件防火墻按保護對象分類：單機防火墻、網絡防火墻按防火墻的實現方式，分為三類：包過濾防火墻：只檢測數據的報頭，缺點是：無法關聯數據包之間的關系無法適應多通道協議（比如：VPN）不檢測應用層的數據代理型防火墻：所有的數據包都要經過防火墻才能訪問到server，訪問速度很慢狀態檢測防火墻：現在運用的防火墻主要都是狀態檢測防火墻華為防火墻的工作模式：路由模式：所有接口均有IP透明模式：所有接口均無IP混合模式：有的接口有IP，有的接口沒有IP防火墻的局限性：防外不防內不能防御全部的安全威脅，特別是新產生的危險在提供深度監測功能和處理轉發性能之間需要做平衡當使用端到端的加密時，防火墻不能對加密的隧道進行處理防火墻本身會存在一些瓶頸，如抗攻擊能力，會話限制等防火墻的基本管理：開啟防火墻的Telnet功能：User-interfacevty04開啟0~4的虛擬鏈路以允許5臺終端可以Telnet到防火墻Authentication-modepasswordcipher123以密碼訪問方式開啟Telnet功能（密碼為：123）Authentication-modeaaa以aaa認證方式開啟Telnet功能aaa認證的默認賬號為：admin默認密碼：Admin@123(A為大寫)如何使用特定的用戶賬號了Telnent登陸防火墻：aaa進入3alocal-userlewispasswordcipher123在3a中創建一個用戶賬號：lewis密碼為：123用戶的權限問題：級別范圍：0-150：參觀級別新建用戶的默認級別1：監控級別2：配置級別3-15：管理級別提升用戶權限的三種方法：1、針對具體的賬戶來提升權限aaa進入3aLocal-userlewislevel3將用戶lewis的賬號級別提升到管理級別Undolocal-userlewislevel取消對lewis賬號的權限更改，恢復默認2、針對局部賬號來提升權限Superpasswordlevel3cipherAdmin@456設定super的秘密為：Admin@456（super密碼：必須包含大小寫英文+符號+數字）Super3[密碼]終端用super指令并輸入密碼，臨時提升已登陸的賬號權限等級到3級3、設置虛擬鏈路的用戶權限User-interfacevty04進入0~4的虛擬鏈路Userprivilegelevel3設置虛擬鏈路的用戶權限為等級3，設置后使用0~4虛擬鏈路登陸的任何賬號都具有等級3的權限Displayuser查看有哪些用戶登錄了防火墻Displayuser-interface查看有哪些虛擬鏈路登錄了防火墻

三、防火墻的過濾策略區域內流量過濾：實驗要求：pc1不能訪問pc2可以采用ACL來做，但這里使用過濾策略來做Policyzonetrust進入trust區域的策略設置Policy1創建并進入策略1Policysource（可簡略寫成：policysource0）反掩碼精確匹配源地址為：Policydestination0反掩碼精確匹配目標地址為：Actiondeny禁止通過（源地址為且目標地址為的訪問被禁止）區域間流量過濾：實驗要求：防火墻DMZ和untrust區域間默認過濾inbounddeny，路由器AR1保持默認配置（untrust區域模擬外網條件），配置網絡使untrust區的client1能夠ping通DMZ區的Server1服務器，并能訪問服務器上的WEB和FTP資源。第一步創建服務集ipservice-settoservertypeobject創建一個名為“toserver”的服務器，類型為objectservice0protocolicmpping所使用的ICMP協議對應service0service1protocoltcpdestination-port80www所使用的tcp協議的80端口對應service1service2protocoltcpdestination-port21ftp所使用的tcp協議的21端口對應service2第二步開啟策略Policyinterzonedmzuntrustinbound進入dmz和untrust區域間inbound方向的策略設置Policy10創建序號為10的策略Policyserviceservice-settoserver把服務集toserver中的服務設置為當前策略的源Policydestination00設置當前策略的目標IPActionpermit允許滿足策略條件（源、目的條件都滿足）的數據包通過第三步開啟防火墻的ASPF（應用層的安全檢查）技術（針對FTP的特殊處理）Firewallinterzonedmzuntrust進入防火墻的dmz和untrust區域間設置Detectftp使用ASPF技術，檢測到是ftp使用的就放行通過第四步運用靜態一對一技術映射服務器0為外網IPNatserverglobalinside0

四、防火墻的NAT技術數據包在傳輸的過程中，可以改變源或目的地址靜態NAT轉換PAT（NAT超載）Nataddress-group1創建NAT地址轉換組Nat-policyinterzonetrustuntrustoutbound進入trust和untrust區域間的outbound方向的NAT策略設置Policy1若當前沒有編號為1的策略，則創建策略1，并進入設置Actionsource-nat設置當前策略的動作為：源地址轉換Policysourcemask24設置地址轉換針對的源地址范圍Address-group1設置轉換成哪個NAT地址組Easy-ip技術Nat-policyinterzonetrustuntrustoutbound進入trust和untrust區域間的outbound方向的NAT策略設置Policy2若當前沒有編號為2的策略，則創建策略2，并進入設置Actionsource-nat設置當前策略的動作為：源地址轉換Policysourcemask24設置地址轉換針對的源地址范圍Easy-ipg0/0/3使用Easy-ip技術進行源地址轉換，將內網IP轉