文档介绍:HCNA-RS笔记 安全基础
2014年4月12日
9:27
一, 防火墙产品基础
防火墙在网络环境中的位置,一般部署在内网和外网隔离的位置,主要防止外部网络对内部网络
的非法访问和攻击行为的防护,通过软件的访问策略来实现。
1。防火墙的三种类型:
包过滤防火墙——只检查数据包上的IP地址信息,根据设置好的访问规则来进行过滤。
代理型防火墙——具备***功能,可以对应用层协议(如http、ftp、smtp)进行过滤和控
制,并记录日志。
状态检测型防火墙——检查每条会话连接的状态,是否与会话列表匹配,否则进行控制管理。
华为防火墙出厂默认有5个区域:Local区域、Trust区域、Untrust区域、DMZ区域、Vzone区域
安全区域的优先级(安全级别):优先级值越大安全级别越高,不同区域的安全级别值不能相
同。
防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值
来表示inbound或outbound的方向。
安全级别高的区域向级别低的区域访问是出站方向
安全级别低的区域向级别高的区域访问是入站方向
防火墙的同一安全区域内的端口之间访问不需要安全策略检查,不同安全区域的端口之间进行访
问,需要有安全策略的检查和控制管理。
路由模式——相当于路由器的位置个功能,放在网络中是以三层设备的角色,接口都必须配置IP地
址。
透明模式——在原有的网段中放置防火墙进行过滤工作,但是不改变原有的网段配置,防火墙仅
作为一个二层设备连接,相当于一个二层交换机,接口不能配置IP地址。
混合模式——有两个防火墙,主要为了实现备份和冗余,一个是路由模式,一个是透明模式,不
推荐。
二,防火墙的基本功能-ACL应用
ACL——访问控制列表
主要功能:。
,同时也可以应用到过滤路由信息。
实现在路由器上基于端口应用ACL,进行基本的包过滤功能。
ACL的动作:Permit允许和Deny拒绝
ACL通过匹配预先指定的规则,进行相关的动作,实现过滤数据包的功能。
基于端口上应用ACL进行过滤:
ACL应用到路由器的端口上,需要指定数据的方向,出站还是入站方向。
inbound表示接口收到的数据进行过滤
outbound表示接口发出的数据进行过滤
分区 HCNA-4 的第 1 页
outbound表示接口发出的数据进行过滤
ACL规则的匹配原则:
按照规则顺序号进行匹配,一旦匹配条件,将不再继续向下检查ACL的规则语句。
如果没有一条规则匹配,默认全部拒绝。
ACL尾部有一条隐含拒绝策略,此规则不显示。
常见的IPv4 ACL分类:
,华为设备编号2000-2999,只能指定源地址作为匹配条件。
,华为设备编号3000-3999,可以指定源地址、源端口、目标地址、目标端口和协议号
,华为编号4000