安全防御——二、ENSP防火墙实验学习

千千梦丶琪 · 2024-7-18 03:59:04

安全防御

一、防火墙接口以及模式配置
1. * 1、untrust区域
复制代码
- 2、trust区域
- 3、DMZ区域
- 4、接口对演示
二、防火墙的计谋
1. * 1、定义与原理
复制代码
- 2、防火墙计谋配置
- 1. * 2.1 安全策略工作流程
  复制代码
  - 2.2 查询和创建会话
- 3、实验计谋配置
- 1. * 3.1 trust-to-untrust
  复制代码
  - 3.2 trust-to-dmz
  - 3.3 untrust-to-dmz
三、防火墙的区域

一、防火墙接口以及模式配置

我们利用实验举行讲解：

1、untrust区域

起首我们自行完成安全防御一，进入到如下界面：

这里我们的ENSP拓扑仍旧是简单拓扑：

在这里呢，我们经常会发现时常超时，重连，固然我们不发起配置永不超时，但是我们在实验界面就没那么多硬性要求：
我们可以通过如下命令配置永不超时：
起首我们进入到系统视图：

user-interface console 0
idle-timeout 0 0

复制代码

这里会弹出一个告诫，不用管。
好的，下面我们将这个拓扑图完善来供我们学习：

这里我们可以看到我们在这里预计划分三个区域：trust以及untrust、DMZ区域三个区域。
下面我们进入Web界面点击网络，查看网络板块内容：

这里我们可以看到有六个口，也可看到模式，防火墙既可以做交换也可以做路由，这里默认为路由，点进去我们也可看到：

这里我们可以修改接口模式类型，当我们修改为交换，那么这个口就会酿成2层口。

这里我们也可看到有其他种类型，旁路检测以及接口对：
假如利用旁路检测，那么交换机就会像PC一样，挂在交换机旁边一样。比较少见。
接口对我们之后再讲，先将路由以及交换搞清楚。
下面我们继续完善拓扑，使其可以举行模仿访问：

我们将PC的网关以及Server网关都分别放在交换机SW1以及SW2上，剩下的我们直接做互联即可。
下面我们将网段举行规划：

对G1/0/0举行配置：

这里我们可以看到有很多选项，虚拟系统这里不要动，假如改为defult，那么它将会和之前谁人口在一起了。
安全区域我们将它放在untrust，接口模式为路由，这里我们将IP地址改为100.1.1.1/24：

下面不用管，这里有个启动接口访问，我们将它点掉，这里是不允许访问的。

同时，我们也可看到接口带宽有入方向带宽以及出方向带宽两种。一样平常运营商会拉互联网线路，假如是20M，那就选入方向与出方向选择20M，保举运营商给多少，放多少。企业级是一样的，拨号式不一样，这里我们举行做实验，就不写了。

这里我们可以看到已经配置完毕，下面我们对R1举行配置：

[r1]sys ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24
[ISP-GigabitEthernet0/0/0]quit
[ISP]

复制代码

这里我们在R1旁边放一个服务器，真实一些：

并给服务器配置IP地址：

这里开启HTTP，任意挂一个目次。
再对R1举行网关接口配置：

[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip address 200.1.1.1 24
[ISP-GigabitEthernet0/0/1]quit
[ISP]

复制代码

这里我们已经将untrust配置完毕，我们举行测试：

我们可以看到是ping不通的，这里是因为我们未放行ping端口，下面我们将防火墙G1/0/0接口的ping打开：

好的，下面我们再举行测试：

我们可以看到现在是通了，下面我们还得写个路由出来，使untrust区域的服务器可以通讯。

配置下一跳以及出接口，点击确定。

这里即可生成一个静态路由，我们可以通过服务器来举行测试：

2、trust区域

下面我们整trust区域，回到接口举行配置：

这里我们即可看到接口IP地址配置完毕。
紧接着我们配置SW1：

[sw1]vlan 2
[sw1-vlan2]quit
[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1-GigabitEthernet0/0/1]quit
[sw1]int vlan 2
[sw1-Vlanif2]ip add 10.1.255.1 24
[sw1-Vlanif2]quit
[sw1]vlan 3
[sw1-vlan3]quit
[sw1]int vlan 3
[sw1-Vlanif3]ip address 10.1.3.1 24
[sw1-Vlanif3]quit
[sw1]int g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 3
[sw1-GigabitEthernet0/0/2]quit
[sw1]

复制代码

将PC放在VLAN3里面，并在SW1里面我们可以举行配置vlan3，来放置PC的网关，下面我们举行配置PC端IP地址。

下面我们举行测试trust区域，还是先放开ping：

利用SW1来ping防火墙：

利用PC测试的话，我们固然仍旧的先想到需要防火墙来举行回包，以是我们仍旧先做一个回包路由：

下面我们利用PC来ping：

这里就证明内网可以举行通讯了。
3、DMZ区域

起首我们对DMZ区域举行规划，DMZ区域中服务器1的网关放在防火墙上，交换机有两个口，那么我们要做聚合：

这里我们先在防火墙上做聚合，登录防火墙Web界面（起首这里我们认识到应该给G1/0/2以及G1/0/3接口做聚合）：
做聚合的话，那么接口肯定是交换口：

点击新建

对新建接口举行命名，这里自定义，以及选择类型为接口汇聚，选择接口模式为交换，并将2口与3口放入：

然后下面有一个接口类型，这里我们选择access与trunk在于：有几个网关以及vlan，这里假如只有一个网关，也就是一个vlan，那么我们选择access接口即可，这里我们更改拓扑，再添加一个服务器，搞两个网关，那么我们则需要用到trunk。

那么我们这里利用trunk：

这里有一个trunk vlan id，这里我们就添加一个vlan，10和11，也就是10-11：

然后我们点击确定，即可看到我们刚才创建的链路聚合：

但是这里并没有给它划入区域，因此：

我们将它划入DMZ区域，点击确定即可看到：

到这里我们在防火墙上配置聚合，下面我们在交换机上做链路聚合：

[sw2]sys DMZ
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]trunkport g0/0/1
[DMZ-Eth-Trunk1]trunkport g0/0/2
[DMZ-Eth-Trunk1]quit
[DMZ]int Eth-Trunk 1
[DMZ-Eth-Trunk1]port link-type trunk
[DMZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[DMZ-Eth-Trunk1]quit
[DMZ]vlan 11
[DMZ-vlan11]vlan 10
[DMZ-vlan10]quit
[DMZ]int g0/0/4
[DMZ-GigabitEthernet0/0/4]port link-type access
[DMZ-GigabitEthernet0/0/4]port default vlan 10
[DMZ-GigabitEthernet0/0/4]int g0/0/3
[DMZ-GigabitEthernet0/0/3]port link-type access
[DMZ-GigabitEthernet0/0/3]port default vlan 11
[DMZ-GigabitEthernet0/0/3]quit
[DMZ]

复制代码

下面我们在防火墙上创建网关：
好的，起首我们来创建vlan10网关：

创建接口名称，选择接口类型为vlan接口，安全区域选择dmz区域，vlan ID选择10，IP地址利用10.1.10.1/24，同时开放ping放开：

下面我们创建vlan11网关：

这里我们已经创建成功，下面我们给服务器配置IP地址来完成我们的测试：

下面我们举行测试：

好的，到这里我们已经将各个区域内部买通，下面我们将区域之间买通：
4、接口对演示

华为叫做接口对，有的厂商叫虚拟网线。
二层转发要查MAC表，接口对不要查，直接转发。
我们完善拓扑通过实验来演示：

下面我们到Web界面举行配置：
起首我们将4和5模式改为接口对：

之后我们来到接口对：

这样PC2流量只能去PC3。
接口对好处就是速率快，必须要做接口对的环境就是穿过防火墙做链路聚合。
以上实验不但用了路由模式，又用了交换模式，利用灵活。
旁路检测即是说把交换机功能废掉了，只用IPS也就是审计功能，即是说防火墙大部分功能废掉了，只能被动接收流量。
二、防火墙的计谋

1、定义与原理

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以举行合法的通讯。
安全计谋是控制设备对流量转发以及对流量举行内容安全一体化检测的计谋，作用就是对通过防火墙的数据流举行查验，符合安全计谋的合法数据流才气通过防火墙。
2、防火墙计谋配置

2.1 安全计谋工作流程

2.2 查询和创建会话

3、实验计谋配置

3.1 trust-to-untrust

下面我们登录Web界面防火墙配置，点到计谋模块：

这里我们可以看到这里面有一条默认计谋，就是拒绝所有。
接下来我们举行一块一块搞，起首trust要访问untrust：

这里我们添加了名称、源目标安全区域，源地址，这里新建了个地址组：

起首，以上配置已经足够我们实验利用，假如在生产环境下，需要根据项目需求，来具体划分区域，VLAN以及服务，应用，URL，时间段，内容安全等等。

这里我们trust-to-untrust计谋就已经配置完毕了。
下面我们利用PC1举行访问测试：

这里我们可以看到未能访问，我们这里需要做一个回包路由：
ISP：

[ISP]ip route-static 0.0.0.0 0 100.1.1.1
[ISP]

复制代码

起首，这里出现了一点问题，网段在地址组打错了，以是我们起首：

选择地址，地址组：

这里我们成功修改了地址组里面的地址，这时我们可以在计谋看是否完成更改：

我们可以看到已经自动更改，现在，我们添加路由来使PC访问untrust区域内部的服务器：
SW1：

[sw1]ip route-static 0.0.0.0 0 10.1.255.2
[sw1]

复制代码

好的，下面我们来举行测试，利用PC来ping服务器：

同时，我们在Web界面也可看到：

命中5次，这里trust-to-untrust计谋成功配置完成。
3.2 trust-to-dmz

起首我们在地址组内创建DMZ区域IP地址：

点击确认即可查看我们创建的地址组：

下面我们写计谋：

在此次实验中我们需要配置计谋名称，源目标地址，以及开启的服务，然后点击确认。

接下来我们来测试：
利用trust区域中的PC举行ping：

这里我们trust-to-dmz计谋创建完毕，这里也可看到命中：

3.3 untrust-to-dmz

这里我们dmz有两个服务，我们让他访问一个就行，起首，我们创建DMZ可以供untrust区域访问的服务器IP地址：

点击新建地址：

这里我们供untrust区域访问服务器为10.1.10.2：

好的，下面我们来配置计谋：

创建untrust-to-
dmz计谋名，源安全区域为untrust，目标安全区域为dmz，以及目标地址选择之前创建的地址，DMZ-10.1.10.2，服务开放icmp。

下面我们利用untrust服务器举行访问dmz区域：
起首我们ping开放的10.1.10.2：

下面我们ping未开放的10.1.11.2：

同时，在Web界面体现命中次数：

到这里我们就将计谋全部设置完成。
三、防火墙的区域

区域就是防火墙研究流量管控不是接口，是区域。区域之间流量活动要求在防火墙上做放行计谋。创建区域在上面实验中已经完全实践过了。
会话和包是有区别的，访问baidu之后一系列的包都是一个流，每个包属于流的一部分，会话追踪技能，防火墙可以将包所有流全部辨认出来。
防火墙主要关注首包，首包来到防火墙后起首查看会话表，然后匹配安全计谋，匹配，之后，创建会话。第二个包来了之后匹配会话然后放行。
会话表的一个计算是利用hash表举行计算，对包的三层四层举行hash，然后我们去比对会话表。
假设第二个包跑第一个包前面，那第二个包不可以创建会话表，由于来回路径不同等导致防火墙的丢包征象。
题外话

初入计算机行业的人大概大学计算机相关专业毕业生，很多因缺少实战履历，就业到处碰钉子。下面我们来看两组数据：
2023届全国高校毕业生预计到达1158万人，就业形势严厉；
国家网络安全宣传周公布的数据体现，到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严厉，一方面是网络安全人才百万缺口。
6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。
具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技能、自动化等与人工智能相关的本科专业体现不俗，较五年前起薪涨幅均到达了19%。数据科学与大数据技能虽是比年新增专业但体现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳固至关重要的因素之一。
网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》猜测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多
网络安全行业财产以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物司理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁谍报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技能特性，尤其是把握工作中的核心网络架构、安全技能，在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升，所从事工作的职业代价也会随着自身履历的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全范畴，跟大夫职业一样，越老越吃香，因为技能愈加成熟，天然工作会受到器重，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
本日只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习门路图

行业发展空间大，岗位非常多
网络安全行业财产以来，随即新增长了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产物司理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁谍报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技能特性，尤其是把握工作中的核心网络架构、安全技能，在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升，所从事工作的职业代价也会随着自身履历的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。
从某种程度来讲，在网络安全范畴，跟大夫职业一样，越老越吃香，因为技能愈加成熟，天然工作会受到器重，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
本日只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习门路图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的门路图，假如你能学完它们，你去就业和接私活完全没有问题。
2.视频教程

网上固然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面门路图的每一个知识点，我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。
3.技能文档和电子书

技能文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的履历和技能要点，电子书也有200多本，由于内容的敏感性，我就不逐一展示了。
4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在信息网络、Android黑客工具、自动化工具、网络垂纶等，感爱好的同学不容错过。
还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。
这些题目都是大家在面试笃佩服、奇安信、腾讯大概其它大厂面试时经常遇到的，假如大家有好的题目大概好的见解欢迎分享。
参考解析：笃佩服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清楚，含图像化表示更加易懂。
内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包罗、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
假如你对网络安全入门感爱好，那么你需要的话可以点击这里

		自动登录	找回密码
密码			立即注册

安全防御——二、ENSP防火墙实验学习

本帖子中包含更多资源

0 个回复

快速回复

楼主热帖

标签云