防火墻是網(wǎng)絡(luò)設(shè)備中一個(gè)很重要的設(shè)備,從字面意思理解,用來隔離火災(zāi),阻止火勢從一個(gè)區(qū)域蔓延到另一個(gè)區(qū)域。引入到通信領(lǐng)域,防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。
防火墻入門基礎(chǔ)之登錄Web配置界面,看完小白也可配置,超簡單
目前防火墻主要分為三種,包過濾、應(yīng)用代理、狀態(tài)監(jiān)測
包過濾防火墻:現(xiàn)在靜態(tài)包過濾防護(hù)墻市面上已經(jīng)看不到了,取而代之的是動(dòng)態(tài)包過濾技術(shù)的防火墻。
代理防火墻:因?yàn)橐恍┨厥獾膱?bào)文可以輕松突破包過濾防火墻的保護(hù),比如SYN攻擊、ICMP洪水攻擊,所以代理服務(wù)器作為專門為用戶保密或者突破訪問權(quán)限的數(shù)據(jù)轉(zhuǎn)發(fā)通道應(yīng)用防火墻出現(xiàn)了。其實(shí)用了一種應(yīng)用協(xié)議分析的新技術(shù)。
狀態(tài)監(jiān)測防火墻:基于動(dòng)態(tài)包過濾發(fā)展而來,加入了一種狀態(tài)監(jiān)測的模塊,近一點(diǎn)發(fā)展會(huì)話過來功能,會(huì)話狀態(tài)的保留是有時(shí)間限制的。
在國內(nèi)也出現(xiàn)一些比較好的產(chǎn)品,例如華為的USG系列,深信服等等。華為防火墻產(chǎn)品主要包括USG2000、USG5000、USG6000和USG9500四大系列,涵蓋低、中、高端設(shè)備,型號(hào)齊全功能豐富,完全能夠滿足各種網(wǎng)絡(luò)環(huán)境的需求。
防火墻入門基礎(chǔ)之登錄Web配置界面,看完小白也可配置,超簡單
在學(xué)習(xí)防護(hù)墻之前先要了解關(guān)于安全區(qū)域的概念,安全區(qū)域是一個(gè)或多個(gè)接口的集合,是防火墻區(qū)別于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識(shí)報(bào)文流動(dòng)的“路線”,當(dāng)報(bào)文在不同的安全區(qū)域之間流動(dòng)時(shí),才會(huì)觸發(fā)安全檢查。
華為防火墻默認(rèn)情況下提供了三個(gè)安全區(qū)域,分別是Trust、DMZ和Untrust,光從名字看就知道這三個(gè)安全區(qū)域很有內(nèi)涵。
防火墻入門基礎(chǔ)之登錄Web配置界面,看完小白也可配置,超簡單
防火墻有多種部署模式,每個(gè)部署模式適用于不同的應(yīng)用場景。主要的應(yīng)用場景分為以下幾種:
1、部署透明模式
適用于用戶不希望改變現(xiàn)有網(wǎng)絡(luò)規(guī)劃和配置的場景。透明模式中,防火墻是“不可見的”,不需配置新的IP地址,只利用防火墻做安全控制。
2、部署路由模式
適用于需要防火墻提供路由和NAT功能的場景。路由模式中,防火墻連接不同網(wǎng)段的網(wǎng)絡(luò),通常為內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng),且防火墻的每一個(gè)接口都分配IP地址。
3、部署混合模式
如果防火墻在網(wǎng)絡(luò)中既有二層接口,又有三層接口,那么防火墻處于混合模式。
4、部署旁路(Tap)模式
用戶希望試用防火墻的監(jiān)控、統(tǒng)計(jì)、入侵防御功能,暫時(shí)不將防火墻直連在網(wǎng)絡(luò)里,可以選用旁路模式。
防火墻入門基礎(chǔ)之登錄Web配置界面,看完小白也可配置,超簡單
由于華為防護(hù)墻管理口默認(rèn)地址是192.168.0.1。由于我這里使用的模擬器,我需要把地址改成和我物理機(jī)地址同一個(gè)網(wǎng)段才行。
防火墻入門基礎(chǔ)之登錄Web配置界面,看完小白也可配置,超簡單
通過上圖可以看到GE0/0/0是防火墻的管理口。執(zhí)行如下命令修改IP地址。
然后通過瀏覽器訪問https://192.168.56.12:8443。如下圖