Skip to main content

moregeek program

防火墙基础之h3c防火墙分支与分支之间双向地址转换​_晚风挽着浮云的博客-多极客编程

分支与分支之间双向地址转换

原理概述:

防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

监控审计

如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。

日志记录与事件通知

进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。

实验拓扑:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全

基础配置:

FW1:

#
nat address-group 1 name 1
address 120.1.1.2 120.1.1.2
#
xbar load-single
password-recovery enable
lpu-type f-series
#
vlan 1
#
interface NULL0
#
interface GigabitEthernet1/0/0
port link-mode route
combo enable copper
ip address 100.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 192.168.50.1 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
combo enable copper
ip address 120.1.1.2 255.255.255.0
nat outbound 2000 address-group 1 no-pat description SNAT
#
interface GigabitEthernet1/0/3
port link-mode route
combo enable copper
nat server global 2001 inside 192.168.50.2 description DNA T

配置接口:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_02

配置路由:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_03

配置安全策略:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_04

配置NAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_05

SNAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_06

DNAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_H3C防火墙_07

FW2:

#
nat address-group 1 name 1
address 110.1.1.2 110.1.1.2
#
xbar load-single
password-recovery enable
lpu-type f-series
#
vlan 1
#
interface NULL0
#
interface GigabitEthernet1/0/0
port link-mode route
combo enable copper
ip address 100.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 192.168.60.1 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
combo enable copper
ip address 110.1.1.2 255.255.255.0
nat outbound 2000 address-group 1 no-pat description SNAT
#
interface GigabitEthernet1/0/3
port link-mode route
combo enable copper
nat server global 2001 inside 192.168.60.2 description DNA T

配置接口:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_08

配置路由:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_09

配置安全策略:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_10

配置NAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_11

SNAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_12

DNAT:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_H3C防火墙_13

路由器配置:

#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 120.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
combo enable copper
ip address 110.1.1.1 255.255.255.0
#
ip route-static 192.168.50.0 24 120.1.1.1
ip route-static 192.168.60.0 24 110.1.1.1

交换机配置:

SW1:

#
vlan 10
#
vlan 20
#
vlan 50
#
stp global enable
#
dhcp server ip-pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114
#
dhcp server ip-pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
dns-list 222.222.222.222
#
interface NULL0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
#
interface Vlan-interface50
ip address 192.168.50.254 255.255.255.0
#
interface FortyGigE1/0/53
port link-mode bridge
#
interface FortyGigE1/0/54
port link-mode bridge
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 10
combo enable fiber
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 20
combo enable fiber
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 50
combo enable fiber

SW2:

#
vlan 30
#
vlan 40
#
vlan 60
#
stp global enable
#
dhcp server ip-pool vlan30
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
dns-list 114.114.114.114
#
dhcp server ip-pool vlan40
gateway-list 192.168.40.254
network 192.168.40.0 mask 255.255.255.0
dns-list 222.222.222.222
#
interface NULL0
#
interface Vlan-interface30
ip address 192.168.30.254 255.255.255.0
#
interface Vlan-interface40
ip address 192.168.40.254 255.255.255.0
#
interface Vlan-interface60
ip address 192.168.60.254 255.255.255.0
#
interface FortyGigE1/0/53
port link-mode bridge
#
interface FortyGigE1/0/54
port link-mode bridge
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 30
combo enable fiber
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 40
combo enable fiber
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 60
combo enable fiber

查看DHCP获取情况:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_网络安全_14


防火墙基础之H3C防火墙分支与分支之间双向地址转换​_H3C防火墙_15

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_信息安全_16

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_安全策略_17

验证实验:

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_安全策略_18

防火墙基础之H3C防火墙分支与分支之间双向地址转换​_H3C防火墙_19


防火墙基础之H3C防火墙分支与分支之间双向地址转换​_安全策略_20


防火墙基础之H3C防火墙分支与分支之间双向地址转换​_H3C防火墙_21

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人

©著作权归作者所有:来自51CTO博客作者晚风挽着浮云的原创作品,请联系作者获取转载授权,否则将追究法律责任

这份数据安全自查checklist请拿好,帮你补齐安全短板的妙招全在里面!_京东云官方的博客-多极客编程

企业数据安全自查Checklist!快来对照表单,看看你的数据安全及格了吗?一、京东云安全Checklist建议京东云安全拥有业界领先的安全研究团队,经过多年实践与经验积累,京东云已面向不同业务场景制定了完善详细的安全配置Checklist。京东云安全Checklist可以根据用户的需求进行补充和调整,用户也可以基于该Checklist进行自定义。1、网络设备安全Checklist网络设备安全配置

利用京东云web应用防火墙实现web入侵防护_京东云官方的博客-多极客编程

摘 要本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云、其它公有云或者IDC)进行Web完全防护的全过程。该指南包括如下内容:1 准备环境1.1 在京东云上准备Web网站1.2 购买京东云Web应用防火墙实例2 配置Web应用防火墙2.1 增加Web应用防火墙实例的网站配置2.2 在云平台放行WAF回源IP2.3 本地验证配置2.4 修改域名解析配置3 测

谈安全测试的重要性_京东云官方的博客-多极客编程

1 什么是安全测试安全测试是一种软件测试,可发现软件应用程序中的漏洞,威胁,风险并防止来自入侵者的恶意攻击。 安全测试的目的是确定软件系统的所有可能漏洞和弱点,这些漏洞和弱点可能导致信息,收入损失,组织雇员或外部人员的声誉受损。安全测试的目标是识别系统中的威胁并衡量其潜在漏洞,以使系统不会停止运行或被利用。 它还有助于检测系统中所有可能的安全风险,并帮助开发人员通过编码解决这些问题。1.1 安全测

page cache(页面缓存)_javaedge的博客-多极客编程

工作中,你可能经常遇到Page Cache相关场景,如:服务器load飙升服务器I/O吞吐飙升业务响应时延出现突出的毛刺业务平均访问时延明显增加这些都可能由于Page Cache使用不当导致,其不当使用不仅会增加系统I/O吞吐,还会引起业务性能抖动。但很多 crud boy对Page Cache理解仅停留在概念上,完全不知道Page Cache怎么和应用系统联系。要理解Page Cache,最直观

物理网卡、网卡接口、内核、ip等属性的关系_javaedge的博客-多极客编程

物理网卡明明是块小板子,为何跟和eth0对应?为何还能给物理网卡配置IP地址?1 类比人=》物理网卡人的姓名=》网卡接口名称人的档案信息(保存在公安机构)=》网卡接口的配置信息公安机构=》内核你的朋友知道这名字对应你,但对派出所,不能依赖你名字识别你,因为人可能改名,也可能重名,所以人都有身份证号。派出所会根据你的档案信息做出对应处理,如户籍是杭州,某些事就得交给杭州办。网卡也一样,用户可通过网卡

database recovery (数据库恢复技术)_holtzhang的博客-多极客编程

      Many organizations rely on databases to process and track operations, sales, logistics, and other activities vital to their continued viability. For this reason, it’s essential that you include

https加密对中小微客户的价值?_密信mesign的博客-多极客编程

使用 SSL证书保护您的网站已经成为必选项,即使对于不直接处理网络上敏感客户信息的企业网站,应用SSL证书实现HTTPS加密已成为必备。我们都知道,HTTPS加密能够实现数据传输安全和服务器身份可信,那么对于各类企业而言,除了产品功能上的价值,还能为客户带来哪些重要的附加价值呢?HTTPS加密对中小微客户的价值一般中小微企业可能会认为,自己的网站、小程序等应用上,并没有太多敏感数据,不需要数据传输

这份数据安全自查checklist请拿好,帮你补齐安全短板的妙招全在里面!_京东云官方的博客-多极客编程

企业数据安全自查Checklist!快来对照表单,看看你的数据安全及格了吗?一、京东云安全Checklist建议京东云安全拥有业界领先的安全研究团队,经过多年实践与经验积累,京东云已面向不同业务场景制定了完善详细的安全配置Checklist。京东云安全Checklist可以根据用户的需求进行补充和调整,用户也可以基于该Checklist进行自定义。1、网络设备安全Checklist网络设备安全配置

利用京东云web应用防火墙实现web入侵防护_京东云官方的博客-多极客编程

摘 要本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云、其它公有云或者IDC)进行Web完全防护的全过程。该指南包括如下内容:1 准备环境1.1 在京东云上准备Web网站1.2 购买京东云Web应用防火墙实例2 配置Web应用防火墙2.1 增加Web应用防火墙实例的网站配置2.2 在云平台放行WAF回源IP2.3 本地验证配置2.4 修改域名解析配置3 测

page cache(页面缓存)_javaedge的博客-多极客编程

工作中,你可能经常遇到Page Cache相关场景,如:服务器load飙升服务器I/O吞吐飙升业务响应时延出现突出的毛刺业务平均访问时延明显增加这些都可能由于Page Cache使用不当导致,其不当使用不仅会增加系统I/O吞吐,还会引起业务性能抖动。但很多 crud boy对Page Cache理解仅停留在概念上,完全不知道Page Cache怎么和应用系统联系。要理解Page Cache,最直观

物理网卡、网卡接口、内核、ip等属性的关系_javaedge的博客-多极客编程

物理网卡明明是块小板子,为何跟和eth0对应?为何还能给物理网卡配置IP地址?1 类比人=》物理网卡人的姓名=》网卡接口名称人的档案信息(保存在公安机构)=》网卡接口的配置信息公安机构=》内核你的朋友知道这名字对应你,但对派出所,不能依赖你名字识别你,因为人可能改名,也可能重名,所以人都有身份证号。派出所会根据你的档案信息做出对应处理,如户籍是杭州,某些事就得交给杭州办。网卡也一样,用户可通过网卡

database recovery (数据库恢复技术)_holtzhang的博客-多极客编程

      Many organizations rely on databases to process and track operations, sales, logistics, and other activities vital to their continued viability. For this reason, it’s essential that you include