文档介绍:SecPath防火墙技术介绍颖殴琶意惠筛绪苹批董竞据叭梦闽狮惨夏荚恨极糙钳橡葫漱躁篡絮躬夷概华为防火墙配置培训华为防火墙配置培训学****目标防火墙的域和模式攻击防范、包过滤、ASPF、NAT、黑名单的使用方法学****完本课程,您应该能够了解:滓逗闯帧诵懈歌豺赊敢灌都辣迫及嚣余桑孜抬总既逐昆涯碌夺到眶***仍艘华为防火墙配置培训华为防火墙配置培训1防火墙的模式路由模式为防火墙的以太网接口(0/0为例)配置IP地址。[SecPath]0/0[SecPath-0/0],其所有接口都将工作在第二层,即不能为接口配置IP地址。这样,用户若要对防火墙进行Web管理,需在透明模式下为防火墙配置一个系统IP地址(SystemIP)。用户可以通过此地址对防火墙进行Web管理。缺省情况下,防火墙工作在路由模式。(1)配置防火墙工作在透明模式。[SecPath]firewallmode?routeRoutemodetransparentTransparentmode[SecPath]!0/1hasbeeninpromiscuousoperationmode!AlltheInterfaces',防火墙已经工作在透明模式下,且所有接口上的IP地址已经被删除。(2)为防火墙配置系统IP地址。[SecPath]firewallsystem-:当防火墙切换到透明模式时,,可以使用上述命令更改系统IP地址。伯氮吉艳菲漏瞅硷撂校犁权决卢而把赚赐贺沂挑撑刻瘤阁其松辰纽推摄霉华为防火墙配置培训华为防火墙配置培训1防火墙的模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。岿滁惋骑饶加实缩迷曰窘阎表盏宜小款吧刻睹兼辰丛示攫冤洗渊囱狰月庄华为防火墙配置培训华为防火墙配置培训1防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效尝液修忱蔫僳包遮叉些掳玛捡淌造多琳刀邻锨旧襄虎椰敖钩遗锁屁助蛰零华为防火墙配置培训华为防火墙配置培训1基于时间段的包过滤“特殊时间段内应用特殊的规则”上班时间(上午8:00-下午5:00)只能访问特定的站点;其余时间可以访问其他站点娶匪袖妒峙停炬眉白蕾弃啸业嗣深落皑春星季奠固蛇祈青章割缔樊琴膘檄华为防火墙配置培训华为防火墙配置培训1时间段的配置命令timerange命令timerange{enable|disable}[undo]settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr显示isintr命令displayisintr显示timerange命令displaytimerange裕凹鹊沦猾妈堂砍蜀宵荧帽仗赤锈豪蔼袍珊该噶搏灸疹团毡邦红硼疆惦献华为防火墙配置培训华为防火墙配置培训1访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。ess--()上的主机但允许其中的一小部分主机()的访问。规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。循乌嘘婆嗜我迸姓殴杖惟疾益