【ensp】防火墙概述与命令总结

0713 防火墙的基本概述：

防火墙分为：

• 框式防火墙

• 盒式防火墙

• 软件防火墙（公有云、私有云）

我们目前学习的是状态检测防火墙：

• 通过检查首包的五元组，来保证出入数据包的安全

• 隔离不同的网络区域

• 通常用于两个网络之间，有选择性针对性的隔离流量

• 阻断外网主动访问内网，但回包不算主动访问

安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：

1. local：本地区域，所有IP都属于这个区域
2. trust：受信任的区域
3. DMZ：是介于管制和不管制区域之间的区域，一般放置服务器
4. untrust：一般连接Internet和不属于内网的部分

ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作

firewall zone [区域名]  //进入安全区域 add interface GigabitEthernet [接口号] //添加接口到此区域display zone //查看区域划分情况

安全策略：

与ACL类似，动作只有两种：permit和deny

每一个想要通过防火墙的数据包都需要被安全策略检查，如果不写安全策略，ping都经过不了防火墙

如何去写安全策略：

security-policyrule name [策略名]source-zone [区域名]source-address [源地址] [掩码] //此条可以略destination-zone [区域名]destination-address [源地址] [掩码]  //此条可以略service [协议名] //需要放行的协议action permit //此条策略的动作是放行

防火墙策略命中即转发

一些今天的名词：

• ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情

• SPU：防火墙特有的，用于实现防火墙的安全功能

• 五元组：源/目地址、源/目端口号、协议

• ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理

• ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接
  ftp的主动模式（port）：server主动向client发起数据通道的连接
  ftp被动模式（pasv）：server等待client发起数据通道的连接

0714 防火墙的NAT策略：

NAT转换有两种转换：
源NAT：

no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网
pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问
ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问

目标NAT：

server nat //服务器映射

值得注意的是：
如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略
如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略

实验总结概述：
如何做nat：

server nat：

nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]

pat与no-pat做法：

nat address-group [地址组名]mode patsection [初始地址] [结束地址]
nat-policy //进入nat策略，将前一步的地址池应用在nat策略中source-zone [区域名]source-address [源地址] [掩码]destination-zone [区域名]destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换action source-nat address-group NAT //应用地址组//之后就是看需要写安全策略

域内nat做法：

访问需要通过公网地址访问

第一步：将接口划分好所属区域，做好基础配置
第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）
nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www 
//此步为服务器映射
nat address-group NATmode patsection 0 205.1.1.1 205.1.1.1
第三步：进入nat策略，将前一步的地址池应用在nat策略中
nat-policyrule name NATsource-zone dmzdestination-zone dmzsource-address 172.16.1.1 mask 255.255.255.255destination-address 172.16.1.2 mask 255.255.255.255//此步规定什么样的地址允许做NAT转换action source-nat address-group NAT
第四步：设置安全策略，允许地址通过，并说明区域
security-policydefault packet-filter intrazone enable//设置防火墙区域间流量也检查rule name NATsource-zone dmzdestination-zone dmzsource-address 172.16.1.1 mask 255.255.255.255  destination-address 172.16.1.2 mask 255.255.255.255service httpservice tcpaction permit

友情提示：丢包时请看看自己的路由有没有写对

域间双向nat做法：
大致与域内双向NAT相同，只不过需要放行回访的流量，不过需要注意回访流量的源目地址

0715 防火墙的双机热备：

VGMP（VRRP的升级版）：统一管理VRRP组的，华为私有协议
状态有：
active（主）
standby（从）
心跳线：同步会话表项，值得注意的是配置接口线缆必须一样，编号区域也要一样

在防火墙上配置VGMP：

FW1：
interface GigabitEthernet1/0/1ip address 10.1.1.253 255.255.255.0vrrp vrid 10 virtual-ip 10.1.1.254 active 
interface GigabitEthernet1/0/0ip address 20.1.1.253 255.255.255.0vrrp vrid 20 virtual-ip 20.1.1.254 active interface GigabitEthernet1/0/6ip address 12.1.1.1 255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.2hrp enable //注意做好了再打这条命令FW2:
interface GigabitEthernet1/0/1ip address 10.1.1.252 255.255.255.0vrrp vrid 10 virtual-ip 10.1.1.254 standby
interface GigabitEthernet1/0/0ip address 20.1.1.252 255.255.255.0vrrp vrid 20 virtual-ip 20.1.1.254 standbyinterface GigabitEthernet1/0/6ip address 12.1.1.2 255.255.255.0
hrp interface GigabitEthernet 1/0/6 remote 12.1.1.1
hrp enable 

实验拓扑：

0717 防火墙的GRE封装：

VPN（虚拟专用网络）：廉价、专用、虚拟，基本原理：隧道技术 今天学习了GRE VPN（通用路由封
装）：
三要素：
乘客协议：IPV4、IPV6
封装协议：gre
运输协议：IPV4、IPV6

gre在防火墙上应用：

FW1:
第一步：指向Tunnel转换源目地址，此时协议为ICMP，所以封装icmp
rule name Trust-Gresource-zone trustdestination-zone Gresource-address 1.1.1.1 mask 255.255.255.255destination-address 2.2.2.2 mask 255.255.255.255service icmpaction permit
第二步：（可省略）
rule name Local-untrustsource-zone localdestination-zone untrustsource-address 202.103.1.1 mask 255.255.255.255destination-address 202.103.2.1 mask 255.255.255.255service greaction permit
第三步：对方回包时，从untrust到local
（因为此时源地址为防火墙接口地址，接口地址皆属于local区域）
此时源为gre封装过后的源目地址，协议为gre，
此动作意为接收到源为fw2的目标为fw1的gre协议的包拆封
rule name Untrust-localsource-zone untrustdestination-zone localsource-address 202.103.2.1 mask 255.255.255.255destination-address 202.103.1.1 mask 255.255.255.255service greaction permit
第四步：当第三步动作后，解封的数据包还属于Gre区域（即Tunnel区域），
数据包的目的地址为trust区域，此包是个icmp流量的协议，
放行后1.1.1.1就收到了经过重重策略的数据包...rule name gre-trustsource-zone Gredestination-zone trustsource-address 2.2.2.2 mask 255.255.255.255destination-address 1.1.1.1 mask 255.255.255.255service icmpaction permitFW2的配置与FW1大致相同

那如何双向封装的？此时有一个实验拓扑：

配置其实和上图差不多

FW1:
nat address-group NATmode patsection 0 202.1.1.10 202.1.1.10
nat-prule name NATsource-zone Gresource-zone trustdestination-zone untrust //规定从哪些地方来的流量做转换source-address 172.16.1.1 mask 255.255.255.255source-address 172.16.2.1 mask 255.255.255.255source-address 192.168.1.1 mask 255.255.255.255destination-address 100.1.1.1 mask 255.255.255.255action source-nat address-group NAT
security-policyrule name Trust_Gre  //因为首先如果想隧道传输，你首先需要从trust区域到gre区域source-zone trustdestination-zone Gresource-address 192.168.1.1 mask 255.255.255.255destination-address 172.16.1.1 mask 255.255.255.255destination-address 172.16.2.1 mask 255.255.255.255service icmpaction permitrule name Untrust_local //此处写剥掉gre封装的策略source-zone untrust  //为什么是到local是因为我们访问（gre封装）的是防火墙的ipdestination-zone local  //防火墙的全部ip都属于local区域source-address 202.1.2.1 mask 255.255.255.255source-address 202.1.3.1 mask 255.255.255.255destination-address 202.1.1.1 mask 255.255.255.255service greaction permitrule name Gre_trust //剥掉gre封装之后它属于隧道（tunnel）所属的区域，此处为Gresource-zone Gre  //但如果目标不是gre区域的，我们就需要写一个到目标区域的策略destination-zone trustsource-address 172.16.1.1 mask 255.255.255.255source-address 172.16.2.1 mask 255.255.255.255destination-address 192.168.1.1 mask 255.255.255.255service icmp //剥掉了gre协议，我们使用ping来访问目标，所以此处开放的是icmpaction permitrule name T_un  //此处是规定什么样的流量可以使用nat策略访问100.1.1.1source-zone Gre source-zone trustdestination-zone untrustsource-address 172.16.1.1 mask 255.255.255.255source-address 172.16.2.1 mask 255.255.255.255source-address 192.168.1.1 mask 255.255.255.255destination-address 100.1.1.1 mask 255.255.255.255service icmpaction permit

此处仅有FW1的配置

防火墙中的telnet配置：

telnet enable //打开telnet功能
aaa  //进入aaa视图
manager-user [用户名] //创建管理用户[ ]password cipher [密码] //它的密码为[ ]service-type telnet //它的服务类型为telnetlevel [权限等级]  //权限为[ ]
user-int vty 0 4authentiction-mode aaauser privilege [权限等级]protocol inbound telnet //允许登进的协议为telnet

防火墙中ssh配置:

stelnet enable //打开stelnet功能
ssh user cake
ssh user cake service-type stelnet
ssh user cake authentication-type password //创建ssh用户
aaa  //进入aaa视图
manager-user [用户名] //创建管理用户[ ]password cipher [密码] //它的密码为[ ]service-type telnet //它的服务类型为telnetlevel [权限等级]  //权限为[ ]
user-int vty 0 4authentiction-mode aaauser privilege [权限等级]protocol inbound telnet //允许登进的协议为telnet
rsa local....[ 后面全靠问，忘记命令了]  //ssh密钥