防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙信任域:(可以对关键词过滤 工作在应用层)
Local 本地域——本地(生产环境下一般不用)
Trust 信任域名——内网(对应内部接口)
DMZ 非军事化区域 (对应服务器区域)
Untrust 非信任区域 (外部网络)
Management 管理区域
防火墙的安全级别高于路由器
写防火墙规则
包过滤——源目标协议
下一代防火墙——可以对应用层(软件)进行过滤
配置方式:使用命令行配置网络层面(vlan,路由协议)
高级配置,采用web页面命配置
规则配置:acl basic(2000-2999)只能对我们的源地址过滤
acl advanced (3000-3999)过滤源地址目标地址,协议,端口过滤
[fw]acl basic 2000
[fw-acl-ipv4-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255
[fw-acl-ipv4-basic-2000] rule 0 permit source 20.0.0.0 0.0.0.255
[FW]security-zone name Untrust(创建域)
[FW-security-zone-Untrust] import interface GigabitEthernet 1/0/2(将接口加入到对应的域)
[fw]zone-pair security source any destination any(在生产环境不要这样写)
[fw-zone-pair-security-Any-Any] packet-filter 2000(应用规则acl)
[fw]zone-pair security source untrust destination trust(从外部到内部)
[fw]zone-pair security sourcet trust destination untrus(从内部到外部)
[fw-zone-pair-security-Untrust-Trust] packet-filter 2000
