防火牆是乙個連線兩個或多個網路區域,並且基於策略限制區域間流量的裝置。本質就是在各網路區域之間做監控。
[fw] firewall session link-state check //開啟狀態監測功能
安全區域(zone):指乙個或多個介面的集合。防火牆通過介面連線各網路裝置來劃分網路,標識報文在網路中的流動方向。安全區域也通常指某介面所連線的網路。
防火牆通過安全區域標識報文流動的路線,並在路線上設定不同的「規則」,來控制報文在各安全區域間的流動。安全區域可以手動建立,建立時需要設定優先順序(priority),如下
[fw]display zone //檢視安全區域
# 自定義安全區域
[fw]firewall zone *** //新增安全區域
[fw-zone-test]set priority xx //配置優先順序
[fw-zone-test]add inte***ce gigabitethernet ***
# 防火牆上的介面只要劃分到安全區域內才能up
不同安全區域的優先順序不同,華為預設提供4個安全區域:local(100)、trust(85)、dmz(50)、untrust(5)
預設安全區域不可被刪除。報文在不同安全區域之間流動時,防火牆通過設定「規則」來決定允許通過或進行攔截,有包過濾和狀態檢測兩種機制。local:防火牆的介面都屬於local,使用者不能改變local區域本身的任何配置,且不能向local中新增任何介面。凡是裝置構造並主動發出的報文均可認為是從local區域發出的,凡是需要裝置響應並處理的報文均可認為是local區域接收的。
hw預設任何策略流量全部阻止(包括local接收和發出的流量)
包過濾:根據設定的靜態規則來判斷某個報文是否被允許通過,且只針對單個報文。
狀態檢測:基於連線狀態的檢測機制,將通訊雙方之間互動的、屬於同一連線的所有報文都作為整體資料流來對待,關注同一資料流中報文之間的聯絡。
由於包過濾防火牆只針對單個報文來設定「規則」,無法動態關注報文的流動,所以需要盡可能放寬「規則」,很容易造成安全風險。會話:會話是通訊雙方建立的連線在防火牆上的具體體現,代表通訊雙方的連線狀態,一條會話就表示一條連線,而「五元組」唯一標識乙個會話。
狀態檢測與會話建立: 防火牆收到首包時(首包滿足放行「規則」),會建立會話,後續報文只需要匹配會話即可被放行,不需要再對照放行「規則」。
開啟狀態檢測功能後,syn首包、icmp request首包和udp報文會建立會話(前提是防火牆上的規則允許這些報文通過),後續報文匹配會話即可。
防火牆學習筆記之防火牆概述
1 邏輯區域過濾器,將網路區域分成兩大部分,被防火牆保護的區域 信任區,另外乙個區域為非信任區 2 隱藏內網網路結構 3 自身安全保障 4 主動防禦攻擊 根據訪問控制方式,可以分為包過濾防火牆,防火牆,狀態監測防火牆,前兩種已經被淘汰,1 包過濾防火牆 根據五元組 源目ip 源目埠號 協議 通過在防...
windows防火牆概述
防火牆的作用 控制網路1和網路2之間傳輸的資訊流.所謂控制是指允許網路1與網路2之間傳輸某種型別的資訊流,阻斷另一型別的資訊流網路1與網路2之間的傳輸過程.允許與阻斷操作的依據是為防火牆配置的安全策略.安全的網路系統既要能夠保障正常的資料交換過程,又要能夠阻止用於實施攻擊的資料交換過程 由此出現的防...
防火牆 Firewalls 概述
防火牆可以做什麼 預防拒絕服務攻擊 預防非法修改 訪問內部資料 只允許對內部網路的授權訪問 下面介紹三種不同型別的防火牆 無狀態分組過濾器 stateless packet filters 過濾規則格式 協議型別 源ip位址 源埠號 目的ip位址 目的埠號 操作。兩種過濾規則集設定方法 1 黑名單 ...