• 防火墙基础之H3C防火墙分支与分支之间双向地址转换

    分支与分支之间双向地址转换

    原理概述:

    防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理​与筛选的软件和硬件​设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

    防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

    所谓“防火墙”是指一种将内部网​和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术​基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络​与公用网络​的互联环境之中,尤其以接入Internet网络为最甚。

    防火墙主要是借助硬件​和软件​的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

    防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客​访问你的网络。是指设置在不同网络(如可信任的企业内部网​和不可信的公共网​)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策​控制(允许、拒绝、监测)出入网络的信息流​,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网​和Internet之间的任何活动,保证了内部网络的安全。

    防火墙对流经它的网络通信​进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机​上被执行。防火墙还可以关闭不使用的端口​。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

    网络安全的屏障

    一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网​络的安全性​,并通过过滤​不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境​变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议​进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP​选项中的源路由攻击和ICMP​重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

    强化网络安全策略

    通过以防火墙为中心的安全方案配置​,能将所有安全软件​(如口令​、加密​、身份认证​、审计​等)配置在防火墙上。与将网络安全​问题分散到各个主机​上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

    监控审计

    如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况​的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

    防止内部信息的外泄

    通过利用防火墙对内部网络的划分,可实现内部网重点网段​的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响​。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞​。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS​等服务。Finger显示了主机​的所有用户​的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度​,这个系统是否有用户​正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机​的域名​和IP地址​就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务​性的企业内部网络技术体系VPN​(虚拟专用网)。

    日志记录与事件通知

    进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。

    实验拓扑:

    基础配置:

    FW1:

    1. #
    2.  
    3. nat address-group 1 name 1
    4.  
    5.  address 120.1.1.2 120.1.1.2
    6.  
    7. #
    8.  
    9.  xbar load-single
    10.  
    11.  password-recovery enable
    12.  
    13.  lpu-type f-series
    14.  
    15. #
    16.  
    17. vlan 1
    18.  
    19. #
    20.  
    21. interface NULL0
    22.  
    23. #
    24.  
    25. interface GigabitEthernet1/0/0
    26.  
    27.  port link-mode route
    28.  
    29.  combo enable copper
    30.  
    31.  ip address 100.1.1.1 255.255.255.0
    32.  
    33. #
    34.  
    35. interface GigabitEthernet1/0/1
    36.  
    37.  port link-mode route
    38.  
    39.  combo enable copper
    40.  
    41.  ip address 192.168.50.1 255.255.255.0
    42.  
    43. #
    44.  
    45. interface GigabitEthernet1/0/2
    46.  
    47.  port link-mode route
    48.  
    49.  combo enable copper
    50.  
    51.  ip address 120.1.1.2 255.255.255.0
    52.  
    53.  nat outbound 2000 address-group 1 no-pat description SNAT
    54.  
    55. #
    56.  
    57. interface GigabitEthernet1/0/3
    58.  
    59.  port link-mode route
    60.  
    61.  combo enable copper
    62.  
    63.  nat server global 2001 inside 192.168.50.2 description DNA                                                                                                                      T

    配置接口:

    配置路由:

    配置安全策略:

    配置NAT:


    SNAT:

    DNAT:

    FW2:

    1. #
    2.  
    3. nat address-group 1 name 1
    4.  
    5.  address 110.1.1.2 110.1.1.2
    6.  
    7. #
    8.  
    9.  xbar load-single
    10.  
    11.  password-recovery enable
    12.  
    13.  lpu-type f-series
    14.  
    15. #
    16.  
    17. vlan 1
    18.  
    19. #
    20.  
    21. interface NULL0
    22.  
    23. #
    24.  
    25. interface GigabitEthernet1/0/0
    26.  
    27.  port link-mode route
    28.  
    29.  combo enable copper
    30.  
    31.  ip address 100.1.1.2 255.255.255.0
    32.  
    33. #
    34.  
    35. interface GigabitEthernet1/0/1
    36.  
    37.  port link-mode route
    38.  
    39.  combo enable copper
    40.  
    41.  ip address 192.168.60.1 255.255.255.0
    42.  
    43. #
    44.  
    45. interface GigabitEthernet1/0/2
    46.  
    47.  port link-mode route
    48.  
    49.  combo enable copper
    50.  
    51.  ip address 110.1.1.2 255.255.255.0
    52.  
    53.  nat outbound 2000 address-group 1 no-pat description SNAT
    54.  
    55. #
    56.  
    57. interface GigabitEthernet1/0/3
    58.  
    59.  port link-mode route
    60.  
    61.  combo enable copper
    62.  
    63.  nat server global 2001 inside 192.168.60.2 description DNA                                                                                                                      T

    配置接口:

    配置路由:

    配置安全策略:

    配置NAT:

    SNAT:

    DNAT:

    路由器配置:

    1. #
    2.  
    3. interface GigabitEthernet0/0
    4.  
    5.  port link-mode route
    6.  
    7.  combo enable copper
    8.  
    9.  ip address 120.1.1.1 255.255.255.0
    10.  
    11. #
    12.  
    13. interface GigabitEthernet0/1
    14.  
    15.  port link-mode route
    16.  
    17.  combo enable copper
    18.  
    19.  ip address 110.1.1.1 255.255.255.0
    20.  
    21. #
    22.  
    23.  ip route-static 192.168.50.0 24 120.1.1.1
    24.  
    25.  ip route-static 192.168.60.0 24 110.1.1.1

    交换机配置:

    SW1:

    1. #
    2.  
    3. vlan 10
    4.  
    5. #
    6.  
    7. vlan 20
    8.  
    9. #
    10.  
    11. vlan 50
    12.  
    13. #
    14.  
    15.  stp global enable
    16.  
    17. #
    18.  
    19. dhcp server ip-pool vlan10
    20.  
    21.  gateway-list 192.168.10.254
    22.  
    23.  network 192.168.10.0 mask 255.255.255.0
    24.  
    25.  dns-list 114.114.114.114
    26.  
    27. #
    28.  
    29. dhcp server ip-pool vlan20
    30.  
    31.  gateway-list 192.168.20.254
    32.  
    33.  network 192.168.20.0 mask 255.255.255.0
    34.  
    35.  dns-list 222.222.222.222
    36.  
    37. #
    38.  
    39. interface NULL0
    40.  
    41. #
    42.  
    43. interface Vlan-interface10
    44.  
    45.  ip address 192.168.10.254 255.255.255.0
    46.  
    47. #
    48.  
    49. interface Vlan-interface20
    50.  
    51.  ip address 192.168.20.254 255.255.255.0
    52.  
    53. #
    54.  
    55. interface Vlan-interface50
    56.  
    57.  ip address 192.168.50.254 255.255.255.0
    58.  
    59. #
    60.  
    61. interface FortyGigE1/0/53
    62.  
    63.  port link-mode bridge
    64.  
    65. #
    66.  
    67. interface FortyGigE1/0/54
    68.  
    69.  port link-mode bridge
    70.  
    71. #
    72.  
    73. interface GigabitEthernet1/0/1
    74.  
    75.  port link-mode bridge
    76.  
    77.  port access vlan 10
    78.  
    79.  combo enable fiber
    80.  
    81. #
    82.  
    83. interface GigabitEthernet1/0/2
    84.  
    85.  port link-mode bridge
    86.  
    87.  port access vlan 20
    88.  
    89.  combo enable fiber
    90.  
    91. #
    92.  
    93. interface GigabitEthernet1/0/3
    94.  
    95.  port link-mode bridge
    96.  
    97.  port access vlan 50
    98.  
    99.  combo enable fiber
    100.  
    101. SW2
    102.  
    103. #
    104.  
    105. vlan 30
    106.  
    107. #
    108.  
    109. vlan 40
    110.  
    111. #
    112.  
    113. vlan 60
    114.  
    115. #
    116.  
    117.  stp global enable
    118.  
    119. #
    120.  
    121. dhcp server ip-pool vlan30
    122.  
    123.  gateway-list 192.168.30.254
    124.  
    125.  network 192.168.30.0 mask 255.255.255.0
    126.  
    127.  dns-list 114.114.114.114
    128.  
    129. #
    130.  
    131. dhcp server ip-pool vlan40
    132.  
    133.  gateway-list 192.168.40.254
    134.  
    135.  network 192.168.40.0 mask 255.255.255.0
    136.  
    137.  dns-list 222.222.222.222
    138.  
    139. #
    140.  
    141. interface NULL0
    142.  
    143. #
    144.  
    145. interface Vlan-interface30
    146.  
    147.  ip address 192.168.30.254 255.255.255.0
    148.  
    149. #
    150.  
    151. interface Vlan-interface40
    152.  
    153.  ip address 192.168.40.254 255.255.255.0
    154.  
    155. #
    156.  
    157. interface Vlan-interface60
    158.  
    159.  ip address 192.168.60.254 255.255.255.0
    160.  
    161. #
    162.  
    163. interface FortyGigE1/0/53
    164.  
    165.  port link-mode bridge
    166.  
    167. #
    168.  
    169. interface FortyGigE1/0/54
    170.  
    171.  port link-mode bridge
    172.  
    173. #
    174.  
    175. interface GigabitEthernet1/0/1
    176.  
    177.  port link-mode bridge
    178.  
    179.  port access vlan 30
    180.  
    181.  combo enable fiber
    182.  
    183. #
    184.  
    185. interface GigabitEthernet1/0/2
    186.  
    187.  port link-mode bridge
    188.  
    189.  port access vlan 40
    190.  
    191.  combo enable fiber
    192.  
    193. #
    194.  
    195. interface GigabitEthernet1/0/3
    196.  
    197.  port link-mode bridge
    198.  
    199.  port access vlan 60
    200.  
    201.  combo enable fiber

    查看DHCP获取情况:

    验证实验:

    备注:如有错误,请谅解!

    此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人

  • 相关阅读:
    HAL库(STM32CubeMX)之看门狗学习及实操(STM32F767IGTX)
    python自动化测试
    光谱下的养殖业:数据可视化的现代变革
    公元是什么意思,公历和农历
    SpringBoot日志链路追踪实现
    探秘磁盘的奥秘:物理结构、缓存和虚拟内存的作用
    【14】c++设计模式——>工厂模式
    SpringMVC:@RequestMapping注解
    爬虫实战:从网页到本地,如何轻松实现小说离线阅读
    Python基础(四)
  • 原文地址:https://blog.csdn.net/weixin_57636278/article/details/133470414