今天主要帶來(lái)的是網(wǎng)絡(luò)安全必不可少的保護(hù)神,那就是防火墻，談起防火墻，相信搞網(wǎng)絡(luò)的各位同胞們都知道他是做什么的，顧名思義，防火墻嗎，不就是防火的嗎，對(duì)，是防火的，他防的就是網(wǎng)絡(luò)中那些威脅我們網(wǎng)絡(luò)安全的惡意流量，先帶大家簡(jiǎn)單認(rèn)識(shí)一下。

巫溪ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書(shū)銷(xiāo)售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話(huà)聯(lián)系或者加微信：13518219792（備注：SSL證書(shū)合作）期待與您的合作！

防火墻概述及定義：

1.所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。
2.防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它通過(guò)在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來(lái)自外部的網(wǎng)絡(luò)***。
3.防火墻是汽車(chē)中一個(gè)部件的名稱(chēng)。在汽車(chē)中，利用防火墻把乘客和引擎隔開(kāi)，以便汽車(chē)引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語(yǔ)中，當(dāng)然就不是這個(gè)意思了，我們可以類(lèi)比來(lái)理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，大限度地阻止網(wǎng)絡(luò)中的***來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話(huà)說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

防火墻的主要優(yōu)點(diǎn)：

（1）防火墻能強(qiáng)化安全策略。
（2）防火墻能有效地記錄Internet上的活動(dòng)。
（3）防火墻限制暴露用戶(hù)點(diǎn)。防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。
（4）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。

這里我用的思科的ASA5500防火墻，先做一個(gè)簡(jiǎn)單介紹：

ASA安全設(shè)備（也叫ASA防火墻）

ASA5500系列
具備功能：
1防火墻技術(shù)（cisco PIX）
2IPS技術(shù)(cisco IPS）
3NW-AV（cisco IPS,AV)
4×××（cisco ××× 3000）
5網(wǎng)絡(luò)智能（思科網(wǎng)絡(luò)服務(wù)）
6應(yīng)用檢測(cè)，使用實(shí)施，WEB控制（應(yīng)用安全）
7而已軟件，內(nèi)容防御，異常流量檢測(cè)（Anti-X防御）
8流量，準(zhǔn)入控制，主動(dòng)相應(yīng)(網(wǎng)絡(luò)抑制和控制）
9安全連接（IPSec & SSL ×××)

防火墻的接口名稱(chēng)
1物理名稱(chēng) G0/0/1
2邏輯名稱(chēng) 用來(lái)描述安全區(qū)域 例如inside outside

接口安全級(jí)別
范圍：0-100 數(shù)字越大安全級(jí)別高，反之越小
inside（內(nèi)網(wǎng)） 安全級(jí)別100
outside（外網(wǎng)） 安全級(jí)別0

inside---------防火墻---------outside

實(shí)驗(yàn)拓?fù)洌?/h2>

實(shí)驗(yàn)需求：

• DMZ發(fā)布Web服務(wù)器，Client2可以訪問(wèn)
• 配置ACL禁止Client3訪問(wèn)Server2
• Server3 使用命令show conn detail查看Conn表分別查看ASA和AR的路由表

  地址規(guī)劃：

設(shè)備	端口	IP地址及掩碼
Server1		10.1.1.1/24
Client1		10.2.2.2/24
Server2		192.168.8.100/24
Client2		192.168.8.1/24
Server3		192.168.3.100/24
Client3		192.168.3.1/24
路由器	Gi0/0/0	10.1.1.254/24
路由器	Gi0/0/1	10.2.2.254/24
路由器	Gi0/0/2	192.168.1.1/24
防火墻	G0	192.168.1.254/24
防火墻	G1	192.168.8.254/24
防火墻	G2	192.168.3.254/24

實(shí)驗(yàn)思路及步驟：

一、根據(jù)地址規(guī)劃配置IP地址

1.根據(jù)地址規(guī)劃配置路由器及終端設(shè)備的IP地址，過(guò)程比較簡(jiǎn)單，這里我就不做詳細(xì)說(shuō)明了
2.配置ASA防火墻的接口：
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif inside 給邏輯接口命名
INFO: Security level for "inside" set to 100 by default. inside區(qū)域的安全級(jí)別默認(rèn)是100
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif outside 給邏輯接口命名
INFO: Security level for "outside" set to 0 by default. outside區(qū)域的安全級(jí)別默認(rèn)是0
ciscoasa(config-if)# ip address 192.168.8.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif DMZ 給邏輯接口命名
INFO: Security level for "DMZ" set to 0 by default.
ciscoasa(config-if)# ip address 192.168.3.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 50 更改DMZ區(qū)域的安全級(jí)別為50

二、配置默認(rèn)路由

1.配置路由器的默認(rèn)路由
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
2.配置防火墻的靜態(tài)路由
ciscoasa(config)# route inside 10.1.1.0 255.255.255.0 192.168.1.1
ciscoasa(config)# route inside 10.2.2.0 255.255.255.0 192.168.1.1

驗(yàn)證：

通過(guò)display Ip routing-table查看路由器路由表：

通過(guò)show route 查看防火墻路由表：

三、配置任務(wù)內(nèi)容

**1. DMZ發(fā)布Web服務(wù)器，Client2可以訪問(wèn)Server3**

首先在server3開(kāi)啟HTTP服務(wù)

然后在防火墻上配置ACL

分析：因?yàn)閏lient2位于outside區(qū)域，安全級(jí)別比server3位于的DMZ區(qū)域安全級(jí)別低，所以當(dāng)client2主動(dòng)發(fā)起請(qǐng)求時(shí)，防火墻默認(rèn)是不允許通過(guò)的，所以我們要制定ACL允許Client2訪問(wèn)Server3
命令如下：
ciscoasa(config)# access-list out-to-DMZ permit tcp host 192.168.8.1 host 192.168.3.100 eq www 允許192.168.8.1到192.168.3.100通過(guò)端口tcp80 訪問(wèn)
ciscoasa(config)# access-group out-to-DMZ in interface outside在outside口應(yīng)用ACL
驗(yàn)證：

此時(shí)，client2可以訪問(wèn)server3.

**2. 配置ACL禁止Client3訪問(wèn)Server2**

首先配置server2的HTTP服務(wù)以及FTP服務(wù)

其次配置防火墻ASA
分析：因?yàn)镃lient3位于DMZ接口端，安全級(jí)別比server2的接口端安全級(jí)別高，所以防火墻ASA默認(rèn)是允許訪問(wèn)SERVER2的，所以為了完成任務(wù)2，我們需要配置ACL拒絕由Client3訪問(wèn)Server2的流量
命令如下：
ciscoasa(config)# access-list DMZ-to-out deny ip host 192.168.3.1 host 192.168.8.100 拒絕從192.168.3.1到192.168.8.100的所有IP流量通過(guò)。
ciscoasa(config)# access-group DMZ-to-out in interface DMZ 在DMZ接口應(yīng)用ACL

驗(yàn)證調(diào)用情況：

驗(yàn)證：

此時(shí)，client3已經(jīng)不能訪問(wèn)server2了。

結(jié)果驗(yàn)證

路由器通過(guò)display ip routing-table查看路由表：

防火墻ASA通過(guò)show conn detail 查看conn表：

總結(jié)：

不同安全級(jí)別的接口之間訪問(wèn)時(shí)，遵從的默認(rèn)規(guī)則
1允許出站（outbound）連接
2禁止入站（inbound）連接
3禁止相同安全級(jí)別的接口之間通信（兩邊的安全級(jí)別都為50等等）

高安全級(jí)別---->低安全級(jí)別（是可以訪問(wèn)的）
低安全級(jí)別---->高安全級(jí)別（是不可以訪問(wèn)的）

例如：公司1樓的保安（防火墻機(jī)制），公司內(nèi)部人員可以通過(guò)員工識(shí)別卡來(lái)進(jìn)出，但是陌生人則會(huì)被阻攔
如果想實(shí)現(xiàn)安全級(jí)別低的區(qū)域訪問(wèn)安全級(jí)別高的區(qū)域，必須通過(guò)配置ACL允許流量通過(guò)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

文章標(biāo)題：網(wǎng)絡(luò)安全的保護(hù)神——防火墻-創(chuàng)新互聯(lián)
文章轉(zhuǎn)載：http://www.rwnh.cn/article12/csoddc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、域名注冊(cè)、網(wǎng)站收錄、面包屑導(dǎo)航、手機(jī)網(wǎng)站建設(shè)、小程序開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)