防火墙基础之总部与分支互访​ospf配置

关键词：

防火墙总部与分支互访​

原理概述：​

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。​

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。​

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。​

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。​

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。​

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。​

网络安全的屏障​

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。​

强化网络安全策略​

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。​

监控审计​

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。​

防止内部信息的外泄​

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。​

日志记录与事件通知​

进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

实验目的：​

1：理解和掌握防火墙的基础配置

2：理解和掌握OSPF的基础配置

3：理解和掌握防火墙安全防范的配置

实验拓扑：​

基础配置：​

FW 10.1.1.1：​

#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.1 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 192.168.10.254 255.255.255.0​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 100.1.1.1 255.255.255.0​
 gateway 100.1.1.2​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit

配置路由：​

#​
ospf 1​
 area 0.0.0.0​
 network 100.1.1.0 0.0.0.255​
 network 192.168.10.0 0.0.0.255​
#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 100.1.1.2

配置安全策略：​

#​
security-policy​
 rule name 放通​
 action permit

配置NAT：​

#​
nat-policy​
 rule name DNAT​
 source-zone untrust​
 source-address 200.1.1.1 mask 255.255.255.255​
 destination-address 192.168.10.1 mask 255.255.255.255​
 action destination-nat static address-to-address address-group net​
 rule name SNAT​
 source-zone trust​
 egress-interface GigabitEthernet1/0/1​
 action source-nat easy-ip​

配置安全防护：​

FW 10.1.1.2：​

#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.2 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 192.168.20.254 255.255.255.0​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 210.1.1.2 255.255.255.0​
 gateway 210.1.1.1​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit

配置路由：​

#​
ospf 1​
 area 0.0.0.0​
 network 192.168.20.0 0.0.0.255​
 network 210.1.1.0 0.0.0.255​
#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 210.1.1.1

配置安全策略：​

#​
security-policy​
 rule name 放通​
 action permit

配置NAT：​

#​
nat-policy​
 rule name DNAT​
 source-zone untrust​
 source-address 210.1.1.2 mask 255.255.255.255​
 destination-address 192.168.20.1 mask 255.255.255.255​
 action destination-nat static address-to-address address-group net​
 rule name SNAT​
 source-zone trust​
 egress-interface GigabitEthernet1/0/1​
 action source-nat easy-ip

配置完成，验证实验：​

服务器配置：​

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人

防火墙基础之总部双机热备与分支基础配置

防火墙双机热备总部与分支原理概述：防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的... 查看详情

8.13-8.19博客精彩回顾

...【Docker那些事儿】容器跑不动？网络可不背锅​​6.​​防火墙基础之总部与分支互访OSPF配置​​7.​​PythonWeb开发（七）：登录实现及功能测试​​ 查看详情

防火墙基础之终端隔离互访​安全防护

防火墙之终端隔离互访​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的... 查看详情

防火墙基础之华为防火墙分支与分支ipsec对接(代码片段)

防火墙IPSecVPN分支与分支对接实验原理概述:指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为InternetProtocolSecurity，是由InternetEngineeringTaskForce(IETF)定义的安全标准框架，在公网上为两个私有网络提供安全通信通... 查看详情

防火墙基础之分支与分支之间互通

防火墙之分支与分支之间互通​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安... 查看详情

防火墙基础之h3c防火墙分支与分支之间双向地址转换

分支与分支之间双向地址转换原理概述：防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性... 查看详情

防火墙基础之分支防火墙防护服务器与终端

分支防火墙防护服务器与终端​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安... 查看详情

路由基础之ospf中级网络工程师企业网络架构

路由基础之中级网络工程师企业网络架构​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资... 查看详情

防火墙基础之企业多分支防火墙防御

企业多分支防火墙防御​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的... 查看详情

防火墙基础之企业之间三个分支实现互通

企业之间三个分支实现互通原理概述：防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的... 查看详情

防火墙基础之h3c多分支防火墙防护

H3C多分支防火墙基础部署原理概述：防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一... 查看详情

玩转华为ensp模拟器系列|总部与分支机构之间建立ipsecvdpdnd（总部采用固定域名）(代码片段)

素材来源：华为防火墙配置指南一边学习一边整理试验笔记，并与大家分享，侵权即删，谢谢支持！附上汇总贴：玩转华为ENSP模拟器系列|合集_COCOgsta的博客-CSDN博客_华为模拟器实验目标分支机构通过IPSec... 查看详情

两个分公司通过ipsec/vpn方式访问总部,请问这两个公司之间能通过总部网络互访吗

...行了。追问你好，多谢你的回答，总部的边界设备是思科防火墙，是不是在外网口写两条路由目的IP指向分公司公网IP是吗，还是如何指向呢，谢谢！例如：子公司A的网段是192.168.1.0公网IP是192.168.1.1子公司B的网段是192.168.2.0公网I... 查看详情

防火墙基础之多分支安全防护和无线网络综合部署

防火墙基础之多分支安全防护和无线网络综合部署​原理概述：​防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保... 查看详情

玩转华为ensp模拟器系列|总部与分支结构之间建立ipsecvdpdnd（总部采用固定ip）(代码片段)

素材来源：华为防火墙配置指南一边学习一边整理试验笔记，并与大家分享，侵权即删，谢谢支持！附上汇总贴：玩转华为ENSP模拟器系列|合集_COCOgsta的博客-CSDN博客_华为模拟器实验目标在实际的应用中... 查看详情

总部与分支机构之间建立点到点ipsec***（预共享密钥认证）(代码片段)

...据流、配置安全提议的协商参数。操作步骤?配置NGFW_A（总部）。1.配置接口IP地址。<sysname>system-view[sysname]sysnameNGFW_A[NGFW_A]interfaceGigabitEthernet1/0/3[NGFW_A-GigabitEthernet1/0/3]ipaddress10.1.1.124[NGFW_A-GigabitEthernet1/0/3]quit[NGFW_A]interfaceGigabit... 查看详情

防火墙入侵与检测day06防火墙虚拟系统(代码片段)

防火墙虚拟系统虚拟系统简介虚拟系统实现原理虚拟系统分流基于接口的虚拟系统分流基于VLAN的虚拟系统分流虚拟系统互访虚拟系统互访–虚拟接口虚拟系统互访–虚拟系统访问根系统虚拟系统互访–根系统访问虚拟系统虚拟... 查看详情

配置采用手工方式建立ipsec隧道

...组网需求如图1所示，RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子网为10.1.1.0/24，总部子网为10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通... 查看详情