1.安全區域:防火牆的不同介面劃入不同區域,實現區域級別的隔離,每個區域是乙個或者多個介面的集合,最後通過設定策略進行區域間的訪問控制。
安全區域 trust:85
非安全區域 untrust:5
非安全區域 dmz:50
本身介面 local:100
安全級別:數字越大,級別越高
2.按照工作模式劃分:
(1)路由模式:裝置介面具有ip位址通過三層與外連線,需要改變網路拓撲
(2)透明模式:裝置介面無ip位址通過二層對外連線,類似於交換機
(3)混合模式:裝置既存在工作在路由模式的介面(介面具有ip位址),又存在工作 在透明模式的介面(介面無ip位址)
3.防火牆區別
(1)傳統防火牆:包過濾防火牆,也屬於靜態防火牆
基於五元組:源ip,目的ip,源埠,目的埠,傳輸層協議(tcp/udp)
施過濾主要是基於資料報中的ip層所承載的上層協議的協議號、源/目的ip位址、源/目的埠號和報文傳遞的方向等資訊。
透明防火牆模式下,還可以根據報文的源/目的mac位址、以太型別等進行過濾。
存在的問題
:
1、主備組網圖
說明:
2、配置
(1)區域劃分
[usg6000v] firewall zone trust
[usg6000v-zone-trust] add inte***ce gigabitethernet 1/0/1
(2)建立vrrp備份組
[usg6000v] inte***ce gigabitethernet 1/0/4
vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active(standby)
(3)心跳線
用來同步資料
[usg6000v] firewall zone dmz
[usg6000v-zone-dmz] add inte***ce gigabitethernet 1/0/3
[usg6000v] hrp inte***ce gigabitethernet 1/0/3 remote 30.1.1.2
(4)**策略
hrp_a[usg6000v]security-policy
hrp_a[usg6000v–policy security] rule name policy_sec
hrp_a[usg6000v–policy security-rule-policy_sec] source-zone trust
hrp_a[usg6000v–policy security-rule-policy_sec] destination-zone untrust
hrp_a[usg6000v–policy security-rule-policy_sec] action permit
hrp_a[usg6000v–policy security-rule-policy_sec] quit
(5)啟用hrp備份功能
[usg6000v] hrp enable
檢視命令:
hrp_a[usg6000v] display vrrp
hrp_a[usg6000v] display hrp state
hrp_a[usg6000v] display firewall session table
3.三個協議vrrp:負責單介面的故障檢測和流量引導。
vgmp:管理vrrp備份組,控制狀態統一切換,保證上下行流量同步切換到備用防火牆(防止來回路徑不一致)。
hrp:雙機之間的同步資料(會話表,servermap表項,黑名單,arp等)。
心跳線:跑vgmp和hrp協議。
防火牆相關
iptables防火牆 1 基本操作 檢視防火牆狀態 service iptables status 停止防火牆 service iptables stop 啟動防火牆 service iptables start 重啟防火牆 service iptables restart 永久關閉防火牆 chk...
防火牆相關
檢視防火牆服務狀態 systemctl status firewalld 關閉防火牆 systemctl stop firewalld 開啟防火牆 systemctl start firewalld 禁止防火牆開啟啟動 systemctl disable firewalld 重啟防火牆使配置生效 s...
Linux防火牆相關知識 入門
管理防火牆的兩種方式 檢視伺服器的防火牆,是哪個版本的?檢視防火牆服務狀態 開啟 service firewalld start 重啟 service firewalld restart 關閉 firewall cmd permanent remove port 8080 tcp 永久刪除8080埠...