1、硬件防火墙定义

一般来说,由一个软件和硬件组成,它放置在内部网和外部网的连接处,或者专用网与公共网的连接处,充当一个安全网关,从而为内部网或专用网构造一道安全的网络屏障,它可以保护内部网或专用网免受非法用户的侵入。四层防火墙主要处理网络层的数据包,七层防火墙主要处理应用层的数据包

历史: 第一代:包过滤防火墙 第二代:代理防火墙 第三代:状态检测防火墙 第四代:统一威胁管理(UTM) 第五代:下一代防火墙(NGFW)

2、防火墙重要参数

并发连接数 是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对比多个连接的访问控制能力和连接状态跟踪能力

每秒新建连接数 每一秒内防火墙所能处理的http新建连接请求的数量

吞吐量 是指防火墙每一秒内处理数据包的最大能力。分非加密流量 与VPN流量

功能 OSPF动态路由,智能多线负载,SSL VPN,防病毒,上网行为

3、安全区域划分及访问

四个安全区域: Trust、DMZ、Untrust、Local

Trust区: 可信任区域,主要指企业内网

Untrust区:

非可信任区域,主要指互联网

DMZ区域: 非军事化管理区域,主要指企业对互联网开放的服务器,如WEB,邮件,OA等

Local区域: 指防火墙自身,所有防火墙主动发出的报文 ,都认为是从Local区域发出

数据包从低级别区域向高级别区域访问时为入方向(Inbound),反之数据包从高级别区域向低级别区域访问时为出方向(Outbound)。 入方向的流量,必须作访问控制,才能通行 出方向的流量,默认放行 Untrust区域为低级别区域,优先级通过设置在10以下 DMZ域名为中级别区域,优先级通常设置在50左右 Trust区域为高级别区域,优先级通常设置在100左右 Local区域为高级别区域,优先级通常设置在100左右 Mnagement区域为高级别区域,优先级通常设置在100左右 还可以自定义安全区域,根据业务用途设置优先级

4、防火墙NAT上网

公司内部电脑ip段为10.10.10.0/24 互联网的出口ip为202.202.202.1/24 公司电脑要能上网

6850交换机配置:

[H3C]vlan 2
[H3C-vlan2]exit

[H3C]int vlan 2
[H3C-Vlan-interface2]ip add 10.10.1.1 24
[H3C-Vlan-interface2]quit

[H3C]int g1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route 
The configuration of the interface will be restored to the default. Continue? [Y/N]:y
[H3C-GigabitEthernet1/0/1]%Nov 24 14:16:05:447 2023 H3C IFNET/3/PHY_UPDOWN: Physical state on the interface GigabitEthernet1/0/1 changed to down.
%Nov 24 14:16:05:447 2023 H3C IFNET/5/LINK_UPDOWN: Line protocol state on the interface GigabitEthernet1/0/1 changed to down.

[H3C-GigabitEthernet1/0/1]ip %Nov 24 14:16:07:506 2023 H3C IFNET/3/PHY_UPDOWN: Physical state on the interface GigabitEthernet1/0/1 changed to up.
%Nov 24 14:16:07:506 2023 H3C IFNET/5/LINK_UPDOWN: Line protocol state on the interface GigabitEthernet1/0/1 changed to up.
add 10.10.200.2 24
[H3C-GigabitEthernet1/0/1]quit

[H3C]int g1/0/48
[H3C-GigabitEthernet1/0/48]port access vlan 2
[H3C-GigabitEthernet1/0/48]%Nov 24 14:16:30:928 2023 H3C IFNET/3/PHY_UPDOWN: Physical state on the interface Vlan-interface2 changed to up.
%Nov 24 14:16:30:928 2023 H3C IFNET/5/LINK_UPDOWN: Line protocol state on the interface Vlan-interface2 changed to up.
[H3C-GigabitEthernet1/0/48]quit

[H3C]ip route-static 0.0.0.0 0 10.10.200.1

路由器配置:

#定义接口IP及静态路由
[H3C]int g1/0/1
[H3C-GigabitEthernet1/0/1]ip add 10.10.200.1 24
[H3C-GigabitEthernet1/0/1]quit
[H3C]int g1/0/0
[H3C-GigabitEthernet1/0/0]ip add 10.10.2.1 24
[H3C-GigabitEthernet1/0/0]quit
[H3C]int g1/0/23
[H3C-GigabitEthernet1/0/23]ip add 2.2.2.1 24
[H3C-GigabitEthernet1/0/23]quit
[H3C]ip route-s
[H3C]ip route-static 10.10.1.2 24 10.10.200.2

#开放管理网段
[H3C]security-zone name management
[H3C-security-zone-Management]import interface GigabitEthernet 1/0/0
[H3C-security-zone-Management]exit

[H3C]acl advanced 3999
[H3C-acl-ipv4-adv-3999]rule permit ip
[H3C-acl-ipv4-adv-3999]exit

[H3C]zone-pair security source management destination local
[H3C-zone-pair-security-Management-Local]packet-filter 3999
[H3C-zone-pair-security-Management-Local]exit

[H3C]zone-pair security source local destination management
[H3C-zone-pair-security-Local-Management]packe
[H3C-zone-pair-security-Local-Management]packet-filter 3999
[H3C-zone-pair-security-Local-Management]exit
[H3C]save force
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
声明:欢迎大家光临本站,学习IT运维技术,转载本站内容,请注明内容出处”来源刘国华教育“。如若本站内容侵犯了原著者的合法权益,请联系我们进行处理。