1、防火墙定义
1)FW是一个用于控制网络间的之间的设备。
2)安全区域
Trust:连接内网
Untrust:连接internet
Dmz(非军事区):放置内网对外公开的服务器
Local:网管
安全区域之间的策略
2、配置
[SRG]int g0/0/0
[SRG-GigabitEthernet0/0/0]ip add 202.1.1.1 24
[SRG-GigabitEthernet0/0/0]int g0/0/1
[SRG-GigabitEthernet0/0/1]ip add 10.1.1.1 24
[SRG-GigabitEthernet0/0/1]int g0/0/2
[SRG-GigabitEthernet0/0/2]ip add 172.16.1.1 24
[SRG]firewall zone trust
[SRG-zone-trust]undo add interface GigabitEthernet0/0/0
[SRG-zone-trust]add int g0/0/1
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/0
[SRG]firewall zone dmz
[SRG-zone-dmz]add int g0/0/2
Outbound:安全级别高——>安全级别低的
Inbound:安全级别低——>安全级别高的
[SRG]firewall packet-filter default per int trust untrust dir out
[SRG]firewall packet-filter default permit interzone untrust dmz dir in
3、防火墙技术
1)包过滤:ACL
根据数据包3/4层信息(SIP/DIP、Sport、dport、协议号)对数据进行控制
优点:容易实现
缺点:不能知道数据连接状态,导致通信失败。
对应用层攻击不能防范
对用户认证不能实现
2)状态防火墙
当连接穿过防火墙时,防火墙会记录每个连接的状态,用于放通后续返回来的数据。
状态动态产生,连接结束,动态消失。
优点:非常安全,是目前防火墙主流技术。
缺点:针对应用层攻击及认证无能为力。
3) 代理服务器
每个连接都分成二个连接,首先客户端先访问代理服务器,代理服务检查没问题,再去连接目标服务器。
优点:非常安全,执行3-7层检查。
缺点:效率低,因为每个包都要做应用层检测。
