資源描述:
《華為防火墻配置培訓》由會員上傳分享�����,免費在線閱讀�,更多相關內(nèi)容在教育資源-天天文庫�。
1���、SecPath防火墻技術介紹學習目標防火墻的域和模式攻擊防范����、包過濾��、ASPF����、NAT、黑名單的使用方法學習完本課程����,您應該能夠了解:2防火墻的模式路由模式為防火墻的以太網(wǎng)接口(以GigabitEthernet0/0為例)配置IP地址。[SecPath]interfaceGigabitEthernet0/0[SecPath-GigabitEthernet0/0]ipaddress192.168.0.1255.255.255.0透明模式當防火墻工作在透明模式下時�����,其所有接口都將工作在第二層�,即不能為接口配置IP地址。這樣���,用戶若要對
2�����、防火墻進行Web管理�,需在透明模式下為防火墻配置一個系統(tǒng)IP地址(SystemIP)����。用戶可以通過此地址對防火墻進行Web管理。缺省情況下���,防火墻工作在路由模式���。(1)配置防火墻工作在透明模式。[SecPath]firewallmode?routeRoutemodetransparentTransparentmode[SecPath]firewallmodetransparentSetsystemipaddresssuccessfully.TheGigabitEthernet0/0hasbeeninpromiscuousopera
3�、tionmode!TheGigabitEthernet0/1hasbeeninpromiscuousoperationmode!AlltheInterfaces'sipshavebeendeleted.Themodeissetsuccessfully.從以上顯示的系統(tǒng)提示信息可以看出,防火墻已經(jīng)工作在透明模式下����,且所有接口上的IP地址已經(jīng)被刪除。(2)為防火墻配置系統(tǒng)IP地址�����。[SecPath]firewallsystem-ip192.168.0.1255.255.255.0Setsystemipaddresssuccessful
4�����、ly.說明:當防火墻切換到透明模式時,系統(tǒng)為防火墻分配了一個缺省系統(tǒng)IP地址169.0.0.1/8���,可以使用上述命令更改系統(tǒng)IP地址���。3防火墻的模式可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡���,防火墻的接口就是所連接子網(wǎng)的網(wǎng)關��。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息���,然后通過查找轉(zhuǎn)發(fā)表,根據(jù)出接口找到出口域���,再根據(jù)這兩個域確定域間關系�����,然后使用配置在這個域間關系上的安全策略進行各種操作����。透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址���,整個設備出于現(xiàn)有的子網(wǎng)內(nèi)部,對于網(wǎng)絡中的其他
5�����、設備���,防火墻是透明的���。報文轉(zhuǎn)發(fā)的出接口,是通過查找橋接的轉(zhuǎn)發(fā)表得到的��。在確定域間之后�����,安全模塊的內(nèi)部仍然使用報文的IP地址進行各種安全策略的匹配�����。相比較而言�����,路由模式的功能更強大一些;而在用戶的網(wǎng)絡無法變更的情況下��,可以考慮采用透明模式�。4防火墻的屬性配置命令打開或者關閉防火墻firewall{enable
6、disable}設置防火墻的缺省過濾模式firewalldefault{permit
7�����、deny}顯示防火墻的狀態(tài)信息displayfirewall5在接口上應用訪問控制列表將訪問控制列表應用到接口上指明在接口上是OUT還是IN
8�����、方向Ethernet0訪問控制列表101作用在Ethernet0接口在out方向有效Serial0訪問控制列表3作用在Serial0接口上在in方向上有效6基于時間段的包過濾“特殊時間段內(nèi)應用特殊的規(guī)則”Internet上班時間(上午8:00-下午5:00)只能訪問特定的站點���;其余時間可以訪問其他站點7時間段的配置命令timerange命令timerange{enable
9��、disable}[undo]settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr顯
10���、示isintr命令displayisintr顯示timerange命令displaytimerange8訪問控制列表的組合一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則,有兩種匹配順序:auto和config����。規(guī)則沖突時��,若匹配順序為auto(深度優(yōu)先)����,描述的地址范圍越小的規(guī)則�����,將會優(yōu)先考慮�。深度的判斷要依靠通配比較位和IP地址結合比較access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.10.0.0.255兩條規(guī)則結合則表示禁止一個大網(wǎng)段(202.38
11����、.0.0)上的主機但允許其中的一小部分主機(202.38.160.0)的訪問。規(guī)則沖突時��,若匹配順序為config��,先配置的規(guī)則會被優(yōu)先考慮�����。9防火墻在測試環(huán)境中����,劃分了最常用的三個安全區(qū)域:Untrust區(qū)域——用于連接外部網(wǎng)絡���;DMZ區(qū)域——放
