安全防御——二、ENSP防火墙实行学习_ensp模拟防火墙旁挂控制实行_ensp两个
安全防御[*]一、防火墙接口以及模式设置
[*] * 1、untrust区域
[*]2、trust地域
[*]3、DMZ地域
[*]4、接口对演示
[*]二、防火墙的策略
[*] * 1、定义与原理
[*]2、防火墙策略设置
[*] * 2.1 安全策略工作流程
[*]2.2 查询和创建会话
[*]3、实行策略设置
[*] * 3.1 trust-to-untrust
[*]3.2 trust-to-dmz
[*]3.3 untrust-to-dmz
[*]三、防火墙的地域
一、防火墙接口以及模式设置
我们利用实行举行解说:
https://img-blog.csdnimg.cn/8ac7fade65dd4c38833d2ec944708607.png
1、untrust地域
起首我们自行完成安全防御一,进入到如下界面:
https://img-blog.csdnimg.cn/032cd7cb291844e5aed64d9a7e9dc11b.png
这里我们的ENSP拓扑依旧是简单拓扑:
https://img-blog.csdnimg.cn/09f8c69a1f584bdeae4448d0e7f320d4.png
在这里呢,我们经常会发现时常超时,重连,虽然我们不建议设置永不超时,但是我们在实行界面就没那么多硬性要求:
我们可以通过如下命令设置永不超时:
起首我们进入到系统视图:
user-interface console 0
idle-timeout 0 0
https://img-blog.csdnimg.cn/c5a0202c9c804839a4e057fd169e1ec4.png
这里会弹出一个告诫,不消管。
好的,下面我们将这个拓扑图完善来供我们学习:
https://img-blog.csdnimg.cn/e6d465658e0c4a3a84c4ab48f805616f.png
这里我们可以看到我们在这里预计划分三个地域:trust以及untrust、DMZ地域三个地域。
下面我们进入Web界面点击网络,查看网络板块内容:
https://img-blog.csdnimg.cn/b9950c04861941349ea9c040c7de4de0.png
这里我们可以看到有六个口,也可看到模式,防火墙既可以做交换也可以做路由,这里默认为路由,点进去我们也可看到:
https://img-blog.csdnimg.cn/ee2c4e715def4624bf38685c123daea6.png
这里我们可以修改接口模式范例,当我们修改为交换,那么这个口就会变成2层口。
https://img-blog.csdnimg.cn/9a39be93fb1b4a52968cc9ea3d4fd538.png
这里我们也可看到有其他种范例,旁路检测以及接口对:
假如利用旁路检测,那么交换机就会像PC一样,挂在交换机旁边一样。比较少见。
接口对我们之后再讲,先将路由以及交换搞清楚。
下面我们继续完善拓扑,使其可以举行模拟访问:
https://img-blog.csdnimg.cn/545c8de755a0442a80335e99b5247f3c.png
我们将PC的网关以及Server网关都分别放在交换机SW1以及SW2上,剩下的我们直接做互联即可。
下面我们将网段举行规划:
https://img-blog.csdnimg.cn/1e76aabec2a749f98c3731138350445c.png
对G1/0/0举行设置:
https://img-blog.csdnimg.cn/23c37b985b594dfabc58a4cb689bac9c.png
这里我们可以看到有许多选项,虚拟系统这里不要动,假如改为defult,那么它将会和之前谁人口在一起了。
安全地域我们将它放在untrust,接口模式为路由,这里我们将IP地点改为100.1.1.1/24:
https://img-blog.csdnimg.cn/3e72dbc06c164be184ea145126a424bd.png
下面不消管,这里有个启动接口访问,我们将它点掉,这里是不允许访问的。
https://img-blog.csdnimg.cn/4e4d274add1142a2ba36b8ff46be10bd.png
同时,我们也可看到接口带宽有入方向带宽以及出方向带宽两种。一般运营商会拉互联网线路,假如是20M,那就选入方向与出方向选择20M,推荐运营商给多少,放多少。企业级是一样的,拨号式不一样,这里我们举行做实行,就不写了。
https://img-blog.csdnimg.cn/52c056223dca41a1baea2c9366e2b87c.png
这里我们可以看到已经设置完毕,下面我们对R1举行设置:
sys ISP
int g0/0/0
ip address 100.1.1.2 24
quit
这里我们在R1旁边放一个服务器,真实一些:
https://img-blog.csdnimg.cn/7b082f710dff46a8b9240ce9c67f8e62.png
并给服务器设置IP地点:
https://img-blog.csdnimg.cn/71aa2faf915444e7a9efc45dd6170081.png
https://img-blog.csdnimg.cn/e5db7b5015d041d38573c73a4490fb0b.png
这里开启HTTP,随便挂一个目次。
再对R1举行网关接口设置:
int g0/0/1
ip address 200.1.1.1 24
quit
这里我们已经将untrust设置完毕,我们举行测试:
https://img-blog.csdnimg.cn/72fa8fffb615445484dd390683c6d290.png
我们可以看到是ping不通的,这里是由于我们未放行ping端口,下面我们将防火墙G1/0/0接口的ping打开:
https://img-blog.csdnimg.cn/939c564013fd4a848c163b0491fafe0c.png
https://img-blog.csdnimg.cn/44f043d55c404fffb42d0c2562d8a1a2.png
好的,下面我们再举行测试:
https://img-blog.csdnimg.cn/956ce6283ba94504af9dd5cf9de42cec.png
我们可以看到现在是通了,下面我们还得写个路由出来,使untrust地域的服务器可以通信。
https://img-blog.csdnimg.cn/422257d884d547699e3a0dea2009af74.png
https://img-blog.csdnimg.cn/68d228823c5241a2b2ed9982069332d1.png
https://img-blog.csdnimg.cn/0bec28754b664b6e83e7befa88c53a96.png
设置下一跳以及出接口,点击确定。
https://img-blog.csdnimg.cn/744f55301ba7492f98144330c61802e4.png
这里即可天生一个静态路由,我们可以通过服务器来举行测试:
https://img-blog.csdnimg.cn/380740ec480b4349a5888f0bd7a01367.png
2、trust地域
下面我们整trust地域,回到接口举行设置:
https://img-blog.csdnimg.cn/c1ad97ec2b0941b5a26a0dbc166eb703.png
https://img-blog.csdnimg.cn/8da30ab95fbf441280e616dc91c3de35.png
https://img-blog.csdnimg.cn/b1980a72ba6b4941948c291ce5a00210.png
这里我们即可看到接口IP地点设置完毕。
紧接着我们设置SW1:
vlan 2
quit
int g0/0/1
port link-type access
port default vlan 2
quit
int vlan 2
ip add 10.1.255.1 24
quit
vlan 3
quit
int vlan 3
ip address 10.1.3.1 24
quit
int g0/0/2
port link-type access
port default vlan 3
quit
将PC放在VLAN3内里,并在SW1内里我们可以举行设置vlan3,来放置PC的网关,下面我们举行设置PC端IP地点。
https://img-blog.csdnimg.cn/cd61a18afcbe4ccf81cce34a6a210037.png
下面我们举行测试trust地域,照旧先放开ping:
https://img-blog.csdnimg.cn/b951724a1f9f4317ba7e2f266d882e70.png
利用SW1来ping防火墙:
https://img-blog.csdnimg.cn/9ab9975617ac4bc19c2ed53a16cd7947.png
利用PC测试的话,我们当然依旧的先想到需要防火墙来举行回包,所以我们依旧先做一个回包路由:
https://img-blog.csdnimg.cn/d17bc5ef11ff47f0bdd799104076b4d7.png
https://img-blog.csdnimg.cn/f836dda0eebe4ae094ef89e3dc5b638a.png
下面我们利用PC来ping:
https://img-blog.csdnimg.cn/33c9fff1ab2949b997ce7154119d1ebe.png
这里就证明内网可以举行通信了。
3、DMZ地域
起首我们对DMZ地域举行规划,DMZ地域中服务器1的网关放在防火墙上,交换机有两个口,那么我们要做聚合:
https://img-blog.csdnimg.cn/c5a39524e1d641f99b27c9e01751ec02.png
这里我们先在防火墙上做聚合,登录防火墙Web界面(起首这里我们熟悉到应该给G1/0/2以及G1/0/3接口做聚合):
做聚合的话,那么接口肯定是交换口:
https://img-blog.csdnimg.cn/aa458e3e86894e2fad286fe07b105a7b.png
点击新建
https://img-blog.csdnimg.cn/8eb50ddff2b64d6492ed8949fd07007e.png
对新建接口举行命名,这里自界说,以及选择范例为接口汇聚,选择接口模式为交换,并将2口与3口放入:
https://img-blog.csdnimg.cn/7d14448e802d43569478e0addbfb3f8f.png
https://img-blog.csdnimg.cn/2243b573ab684c579a0c104a1ea3743d.png
然后下面有一个接口范例,这里我们选择access与trunk在于:有几个网关以及vlan,这里假如只有一个网关,也就是一个vlan,那么我们选择access接口即可,这里我们更改拓扑,再添加一个服务器,搞两个网关,那么我们则需要用到trunk。
https://img-blog.csdnimg.cn/87c45515b37042c2800dd95b9be3cc6e.png
那么我们这里利用trunk:
https://img-blog.csdnimg.cn/0b4eb89dc2014b50a7949903cce9932b.png
这里有一个trunk vlan id,这里我们就添加一个vlan,10和11,也就是10-11:
https://img-blog.csdnimg.cn/b5d91485aca642cb97af131e9eeb45d9.png
然后我们点击确定,即可看到我们刚才创建的链路聚合:
https://img-blog.csdnimg.cn/5a756d74f8ce43cfb191563452c5688e.png
但是这里并没有给它划入地域,因此:
https://img-blog.csdnimg.cn/c1ff074ae79b4880bfa272da369b0594.png
https://img-blog.csdnimg.cn/2578245b6ff7408faddbebcdcafae403.png
我们将它划入DMZ地域,点击确定即可看到:
https://img-blog.csdnimg.cn/074cf4b907524a2383c937943a8a6328.png
到这里我们在防火墙上设置聚合,下面我们在交换机上做链路聚合:
sys DMZ
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2
quit
int Eth-Trunk 1
port link-type trunk
port trunk allow-pass vlan 10 to 11
quit
vlan 11
vlan 10
quit
int g0/0/4
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 11
quit
下面我们在防火墙上创建网关:
好的,起首我们来创建vlan10网关:
https://img-blog.csdnimg.cn/659fc8e376254a7ebaaca4a485abcc40.png
https://img-blog.csdnimg.cn/450ca5760c2b486f9adcab528e71df9d.png
创建接口名称,选择接口范例为vlan接口,安全地域选择dmz地域,vlan ID选择10,IP地点利用10.1.10.1/24,同时开放ping放开:
https://img-blog.csdnimg.cn/ce0b5df27c8448e0945b1226aede006c.png
https://img-blog.csdnimg.cn/cba787fb88924c6fae2435130c8f5701.png
下面我们创建vlan11网关:
https://img-blog.csdnimg.cn/a297d774f7bd41f490e2dbd60355a0bb.png
https://img-blog.csdnimg.cn/821353c05cfa447f82511ae23bf0d2a0.png
https://img-blog.csdnimg.cn/cee797206e58435586e8e76d112439d6.png
这里我们已经创建成功,下面我们给服务器设置IP地点来完成我们的测试:
https://img-blog.csdnimg.cn/0fb124fad28a4b979301af0096b21dd5.png
https://img-blog.csdnimg.cn/178df43b77e946bfb0281f29021f5bd8.png
下面我们举行测试:
https://img-blog.csdnimg.cn/b6d465ec6ad14e01ba19958ba596d6a1.png
https://img-blog.csdnimg.cn/6a5ac45d57c247ed9f469946520318f2.png
好的,到这里我们已经将各个地域内部买通,下面我们将地域之间买通:
4、接口对演示
华为叫做接口对,有的厂商叫虚拟网线。
二层转发要查MAC表,接口对不要查,直接转发。
我们完善拓扑通过实行来演示:
https://img-blog.csdnimg.cn/afe11b64c52e4e7e967c3ff3f94a7b9b.png
下面我们到Web界面举行设置:
起首我们将4和5模式改为接口对:
https://img-blog.csdnimg.cn/ab7417180abd4757b3ed4f2e5ce732d4.png
https://img-blog.csdnimg.cn/16a240fbd30340bcbfcd5443aee37465.png
https://img-blog.csdnimg.cn/5ab9c5c481fb4330a28bead2a3be4e73.png
https://img-blog.csdnimg.cn/5e93895a000347f69e291e8068b23ede.png
https://img-blog.csdnimg.cn/7042de293b004f5490b34a3097ad90fe.png
之后我们来到接口对:
https://img-blog.csdnimg.cn/f38918e0bb374fe2a65d142d3e8c5f55.png
https://img-blog.csdnimg.cn/87d5f19d7b7f42cea288f2b3c0d3f2ec.png
https://img-blog.csdnimg.cn/55fc3f223963468b83b327f055482db6.png
这样PC2流量只能去PC3。
接口对利益就是速度快,必须要做接口对的环境就是穿过防火墙做链路聚合。
以上实行不光用了路由模式,又用了交换模式,利用灵活。
旁路检测等于说把交换机功能废掉了,只用IPS也就是审计功能,等于说防火墙大部分功能废掉了,只能被动吸收流量。
二、防火墙的策略
1、界说与原理
防火墙的根本作用是掩护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以举行正当的通信。
安全策略是控制装备对流量转发以及对流量举行内容安全一体化检测的策略,作用就是对通过防火墙的数据流举行查验,符合安全策略的正当数据流才气通过防火墙。
2、防火墙策略设置
2.1 安全策略工作流程
https://img-blog.csdnimg.cn/f3bc69e1fec74e0ea36b522d811d19c0.png
2.2 查询和创建会话
https://img-blog.csdnimg.cn/6091c62bbae44cfaa3001e6cd1efb729.png
3、实行策略设置
https://img-blog.csdnimg.cn/4017a7e72de049a19df1747d9c790749.png
3.1 trust-to-untrust
下面我们登录Web界面防火墙设置,点到策略模块:
https://img-blog.csdnimg.cn/fb7f39e90dbe449fbd156baccd35ddd5.png
这里我们可以看到这内里有一条默认策略,就是拒绝所有。
接下来我们举行一块一块搞,起首trust要访问untrust:
https://img-blog.csdnimg.cn/282c9cf2426a4de6bd871d724817b468.png
这里我们添加了名称、源目标安全地域,源地点,这里新建了个地点组:
https://img-blog.csdnimg.cn/2bb14d40270949a192da33b7bc0ca8fe.png
起首,以上设置已经充足我们实利用用,假如在生产环境下,需要根据项目需求,来详细划分地域,VLAN以及服务,应用,URL,时间段,内容安全等等。
https://img-blog.csdnimg.cn/1d506f498cce4b14af39114a7710a65c.png
这里我们trust-to-untrust策略就已经设置完毕了。
下面我们利用PC1举行访问测试:
https://img-blog.csdnimg.cn/b6396602f3764f6b98d999888f89bb3a.png
这里我们可以看到未能访问,我们这里需要做一个回包路由:
ISP:
ip route-static 0.0.0.0 0 100.1.1.1
起首,这里出现了一点问题,网段在地点组打错了,所以我们起首:
https://img-blog.csdnimg.cn/965c190657f84fe9b1609892b57290b2.png
选择地点,地点组:
https://img-blog.csdnimg.cn/3808f311302b4eee93a7f915efe92395.png
https://img-blog.csdnimg.cn/9488f4dff9a0485eb5f4134374082d55.png
https://img-blog.csdnimg.cn/06880c47adb244b589606962b177b781.png
这里我们成功修改了地点组内里的地点,这时我们可以在策略看是否完成更改:
https://img-blog.csdnimg.cn/faaf25fe4790492c8b5bac74c2d8246d.png
我们可以看到已经自动更改,现在,我们添加路由来使PC访问untrust地域内部的服务器:
SW1:
ip route-static 0.0.0.0 0 10.1.255.2
好的,下面我们来举行测试,利用PC来ping服务器:
https://img-blog.csdnimg.cn/4969adc64e2845b48e945edce8cf7dc1.png
同时,我们在Web界面也可看到:
https://img-blog.csdnimg.cn/dafb1daa8de2429ebf534c2bde0ddf24.png
掷中5次,这里trust-to-untrust策略成功设置完成。
3.2 trust-to-dmz
起首我们在地点组内创建DMZ地域IP地点:
https://img-blog.csdnimg.cn/b6b88c425a4e4f159bc07de4059d6d94.png
https://img-blog.csdnimg.cn/435253dc38f34a24bd7df99862122db8.png
点击确认即可查看我们创建的地点组:
https://img-blog.csdnimg.cn/de50a2ec53ff42b9a5bf851f4de677fb.png
下面我们写策略:
https://img-blog.csdnimg.cn/f28dec75ed794ea7997a419d7f2b0b56.png
在此次实行中我们需要设置策略名称,源目标地点,以及开启的服务,然后点击确认。
https://img-blog.csdnimg.cn/a8eec5b8174142a984ba7d5494c402da.png
接下来我们来测试:
利用trust地域中的PC举行ping:
https://img-blog.csdnimg.cn/27e20e65868d40c1b0c990c0543aae2c.png
这里我们trust-to-dmz策略创建完毕,这里也可看到掷中:
https://img-blog.csdnimg.cn/6e7d7d42ac2e4adfa16340bdc8ff37a5.png
3.3 untrust-to-dmz
这里我们dmz有两个服务,我们让他访问一个就行,起首,我们创建DMZ可以供untrust地域访问的服务器IP地点:
https://img-blog.csdnimg.cn/70b3f89f6c45463588eff2156357f5d6.png
点击新建地点:
https://img-blog.csdnimg.cn/11ceac378169407bb7fc09a2e1e38dab.png
这里我们供untrust地域访问服务器为10.1.10.2:
https://img-blog.csdnimg.cn/17d6365f22ab48d8ba3ed80448e436d0.png
好的,下面我们来设置策略:
https://img-blog.csdnimg.cn/7c1d784dbbae4f3eaa276fe766a745e3.png
创建untrust-to-
dmz策略名,源安全地域为untrust,目标安全地域为dmz,以及目标地点选择之前创建的地点,DMZ-10.1.10.2,服务开放icmp。
https://img-blog.csdnimg.cn/291c985ecedb47f9a6b7d99b91b0ba3d.png
下面我们利用untrust服务器举行访问dmz地域:
起首我们ping开放的10.1.10.2:
https://img-blog.csdnimg.cn/64f8fe9ae50640baa6be478738a279e2.png
下面我们ping未开放的10.1.11.2:
https://img-blog.csdnimg.cn/63bddf727da84299955a3553917f7178.png
同时,在Web界面显示掷中次数:
https://img-blog.csdnimg.cn/321ae518a43941bc9e9ba94e59710017.png
到这里我们就将策略全部设置完成。
三、防火墙的地域
地域就是防火墙研究流量管控不是接口,是地域。地域之间流量活动要求在防火墙上做放行策略。创建地域在上面实行中已经完全实践过了。
会话和包是有区别的,访问baidu之后一系列的包都是一个流,每个包属于流的一部分,会话追踪技能,防火墙可以将包所有流全部辨认出来。
防火墙重要关注首包,首包来到防火墙后起首查看会话表,然后匹配安全策略,匹配,之后,创建会话。第二个包来了之后匹配会话然后放行。
会话表的一个计算是利用hash表举行计算,对包的三层四层举行hash,然后我们去比对会话表。
假设第二个包跑第一个包前面,那第二个包不可以创建会话表,由于往返路径不一致导致防火墙的丢包征象。
接下来我将给各位同学划分一张学习计划表!
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,本领越强机会才越多。
由于入门学习阶段知识点比较杂,所以我讲得比较笼统,大家假如有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相干资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货重要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技能文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗出测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗出测试工具镜像文件大全
⑦ 2023暗码学/隐身术/PWN技能手册大全
假如你对网络安全入门感爱好,那么你需要的话可以点击这里
页:
[1]