版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
《信息安全产品配置与应用》全套可编辑PPT课件项目1防火墙登录配置项目2防火墙基础配置项目3防火墙网络地址转换配置项目4防火墙高可靠性配置项目5虚拟专用网络配置与应用项目6入侵防御系统配置与应用项目7终端接入认证系统配置与应用项目8Web应用防火墙配置与应用项目9堡垒机配置与应用目录ContentsPart01任务目标Part02任务描述Part04任务实施任务1.1-Console控制接口登录配置Part03知识储备项目1-防火墙登录配置任务目标知识目标技能目标素养目标1.理解防火墙的定义、特点、功能和分类。2.理解防火墙的工作模式。3.了解防火墙的Console控制接口。4.
了解防火墙的命令行。1.强化合作意识,秉持精益求精的职业素养,在协作中追求卓越,提升工作成效。2.培养严谨细致的工作作风,传承精益求精的新时代工匠精神,以匠心打造高品质成果。1.掌握Console控制接口登录防火墙的方法。2.掌握防火墙的命令行使用方法。任务描述本任务要完成的工作:工程师小锐在安装完支持防火墙的eNSP软件后,通过Console控制接口首次登录防火墙,并通过命令行进行防火墙初始化配置。
“不积跬步,无以至千里;不积小流,无以成江海”。通过不断学习积累,可以充实、丰富、完善自己。知识储备1.1.1信息安全产品概述1.1.2防火墙的定义和特点1.1.3
防火墙的功能和分类1.1.4
防火墙的工作模式1.1.5
Console控制接口简介1.1.1信息安全产品概述在数字化时代,信息如同企业与个人的生命线,其安全性至关重要。从个人隐私到商业机密,从关键业务数据到国家机密,一旦信息安全遭受威胁,后果不堪设想。信息安全产品作为保障信息安全的关键手段,正发挥着越来越重要的作用。信息安全产品种类繁多,根据其功能和应用场景,常见的设备系统可分为防火墙、入侵检测与预防系统、虚拟专用网络、身份认证系统、访问控制系统、安全审计系统等。本书以华为USG6000V下一代防火墙和WAF5000应用防火墙为例详细介绍信息安全产品技术。国内其他安全产品厂家有深信服、奇安信、山石、360安全、绿盟、启明星辰等。USG6000V系列防火墙WAF5000系列应用防火墙1.1.2防火墙的定义和特点在通信领域中,防火墙通常表示不同网络或安全区域间有针对性的和逻辑意义上的隔离。它是一种信息安全产品,用于保护一个网络区域免受来自另一个区域的攻击和入侵,通常应用于网络边界,如园区互联网出口、企业内部业务边界和数据中心边界等。园区网络安全部署场景1.1.2防火墙的定义和特点防火墙的特点:逻辑区域过滤,防火墙具备逻辑隔离网络功能,它通过划分不同的安全区域,对不同区域间的网络访问进行精准控制,有效阻止了非法访问和恶意攻击,提升了网络的安全性和可靠性。隐藏内网网络结构,防火墙能够隐藏企业内部网络的真实结构,有效保护企业内部网络的安全。自身的安全保障,防火墙配备了一套完善且严密的安全保障机制,确保了自身能在复杂多变的网络环境中始终保持稳定和安全。主动防御攻击,防火墙不再是被动地等待攻击发生后进行拦截,而是能够主动发现并防范潜在的攻击行为。1.1.3防火墙的功能和分类防火墙的功能:状态检测功能,防火墙采用状态检测技术对网络流量进行过滤。不仅能检查每个数据包的基本信息,还能记住网络连接的状态,能更精准地判断哪些流量该放行,哪些流量存在风险需要拦截。入侵防御功能,防火墙内置的入侵防御系统,能够实时监测网络中是否存在攻击行为,有效保障网络安全。应用识别与控制功能,防火墙能精确识别数千种应用程序,提供基于应用的访问控制和流量优化。恶意程序防范功能,防火墙能防范恶意程序(包括计算机病毒、蠕虫、木马、僵尸程序等隐藏在网络中的威胁),以保护网络设备和数据不被侵害。1.1.3防火墙的功能和分类防火墙的功能(续上):VPN支持功能,防火墙提供L2TPVPN、GREVPN、IPsecVPN、SSLVPN等功能,搭建了一条安全的“网络隧道”,能实现安全的远程接入。URL过滤功能,统一资源定位符(UnifiedResourceLocation,URL)过滤是一种网络安全技术,对要访问的网站进行过滤,如果是那些不良网站或者存在高风险的网站,防火墙就会自动阻止访问,避免陷入网络陷阱,保护上网安全。DDoS攻击防护功能,分布式拒绝服务(DistributedDenialofService,DDoS)攻击防护是指一系列用于抵御DDoS攻击,确保网络服务可用性、稳定性和数据完整性的技术与策略。针对DDoS攻击,防火墙能实时检测到攻击的迹象,并迅速采取措施进行应对,将恶意的攻击流量挡在外面,确保网络服务能正常运行,不会因为攻击而瘫痪。1.1.3防火墙的功能和分类包过滤防火墙,包过滤防火墙主要工作在TCP/IP协议栈的网络层。包过滤主要是防火墙利用定义的特定规则过滤数据包,直接获得数据包的源IP地址、目的IP地址、TCP/UDP的源端口和TCP/UDP的目的端口。应用代理防火墙,应用代理防火墙主要工作在TCP/IP协议栈的应用层。其实质是把外部网络和内部网络用户之间直接进行的业务交由应用代理防火墙代理。状态检测防火墙,状态检测防火墙工作在TCP/IP协议栈的多个层级,主要涉及网络层、传输层和应用层。该防火墙采用了状态检测包过滤技术。状态检测是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙。防火墙是企业网络安全体系架构中的重要组成部分,防火墙技术有包过滤防火墙、应用代理防火墙、状态检测防火墙。现在网络中防火墙的主流产品都是状态检测防火墙。1.1.4防火墙的工作模式透明模式,在透明模式下,防火墙通过数据链路层对外连接,防火墙互联接口无须配置IP地址。当防火墙工作在透明模式时,防火墙上下行互联接口均工作在数据链路层,功能上类似交换机,只进行报文转发,不具备路由寻址功能,因此与防火墙相连的两个业务网络必须是同一个网段。防火墙的工作模式可分为透明模式、路由模式和混合模式3种。透明模式拓扑1.1.4防火墙的工作模式路由模式,在路由模式下,防火墙通过网络层对外连接,防火墙互联接口需配置IP地址。当防火墙工作在路由模式时,防火墙通常位于内部网络和外部网络之间,防火墙上下行互联接口均工作在网络层,功能上类似路由器,需分别配置不同网段的IP地址,具备路由寻址功能。防火墙的工作模式可分为透明模式、路由模式和混合模式3种。路由模式拓扑1.1.4防火墙的工作模式混合模式,在混合模式下,防火墙同时具有工作在透明模式和路由模式的接口,如某些互联接口需要配置IP地址,某些互联接口无须配置IP地址。当防火墙工作在混合模式时,防火墙既有透明模式的接口,又有路由模式的接口。防火墙的工作模式可分为透明模式、路由模式和混合模式3种。混合模式拓扑1.1.5Console控制接口简介Console控制接口是网络设备用来与计算机或终端设备互联的常用接口,通过串行连接对设备进行初始配置和故障排查。常见的网络设备(防火墙、路由器、交换机)中都有Console控制接口防火墙与计算机的连接图任务实施实施场景在eNSP仿真环境下,通过Console控制接口登录防火墙,并进行防火墙初始化配置,如图所示。通过Console控制接口登录防火墙任务实施实施设备1)USG6000V防火墙1台;2)PC机1台。任务实施实施过程通过Console控制接口登录防火墙(1)启动防火墙
运行eNSP软件,新建网络拓扑图,鼠标选中FW并右击,启动防火墙,进入防火墙命令行登录界面。提示需要输入用户名和密码,但这里不输入用户名和密码。防火墙命令行登录界面任务实施实施过程通过Console控制接口登录防火墙(2)配置PC1串口参数启动PC1,双击编辑其属性,定位到“串口”选项卡,配置PC1的串口参数:波特率为9600,数据位为8,停止位为1,无奇偶位,无流控。配置PC1的串口参数任务实施实施过程通过Console控制接口登录防火墙(3)连接防火墙配置完成串口参数后,单击“连接”按钮,PC1成功连接防火墙,在PC1上显示了防火墙的命令行登录界面。PC1连接防火墙任务实施实施过程通过Console控制接口登录防火墙(4)登录防火墙在登录窗口输入初始用户名admin,初始密码Admin@123,首次登录按照系统提示自行修改防火墙密码,然后登录防火墙。PC1登录防火墙任务实施实施过程(5)防火墙初始配置1)修改防火墙名称。在系统视图中,修改防火墙名称为FW1。<USG6000V1>system-view[USG6000V1]sysnameFW1[FW1]2)查看防火墙版本信息。<FW1>displayversion3)关闭日志弹出功能。[FW1]undoinfo-centerenable4)关闭日志弹出功能。<FW1>system-view[FW1]user-interfaceconsole0[FW1-ui-console0]idle-timeout530任务实施实施过程(5)防火墙初始配置5)修改防火墙管理接口IP地址。[FW1]interfaceGigabitEthernet0/0/0[FW1-GigabitEthernet0/0/0]ipaddress00246)保存配置。在用户视图中,使用save命令,再输入“y”进行确认,保存防火墙的配置。<FW1>saveThecurrentconfigurationwillbewrittentohda1:/vrpcfg.cfg.Areyousuretocontinue?[Y/N]yNowsavingthecurrentconfigurationtotheslot0.Savetheconfigurationsuccessfully.<FW1>小结本任务介绍了通过Console控制接口登录配置防火墙的方法,以及Console控制接口、防火墙命令行、视图等相关知识。通过任务实施,学生可以学习通过Console控制接口登录防火墙并进行初始化配置的方法,解决初次登录防火墙时如何建立连接并完成基础设置的问题,深化对命令行界面与分层视图结构的理解,为后续任务实施打下坚实基础。思考题1.防火墙工作在路由模式和透明模式时各有什么特点?谢谢观看!目录ContentsPart01任务目标Part02任务描述Part04任务实施任务1.2-Web界面登录配置Part03知识储备项目1-防火墙登录配置任务目标知识目标技能目标素养目标1.了解Web常用协议。2.了解防火墙的用户管理。1.涵养职业素养,对待工作认真负责,处理事务严谨细致,追求工作的高质量完成。2.紧盯问题,深挖根源,推动理论创新,为解决实际问题提供有力支撑。1.掌握Web界面登录防火墙的方法。2.掌握Web界面创建管理员用户的方法任务描述本任务要完成的工作:工程师小锐在安装完支持防火墙的eNSP软件后,通过Console控制接口首次登录防火墙,并通过命令行进行防火墙初始化配置。工匠精神,匠心为本。工匠精神的根本在于职业的坚守,只有不忘初心,执着专注,严谨认真,摒弃浮躁,才能在本职岗位上坐得住、做得好。知识储备1.2.1Web简介1.2.2防火墙的用户类型1.2.1Web简介Web即万维网(WorldWideWeb),是一个基于超文本和HTTP协议的信息系统,通过互联网连接全球范围内的服务器和用户终端。它允许用户通过浏览器访问和交互各种类型的信息,包括文本、图像、音频、视频等,并将这些信息以网页的形式呈现给用户,使用户能够方便快捷地获取和共享信息。Web界面是一种基于浏览器的用户界面,它允许用户通过互联网,使用网页浏览器来与华为防火墙USG6000V进行交互。用户无须安装额外的客户端软件,只要有支持HTML、CSS和JavaScript等技术的浏览器,就可以方便地访问和管理防火墙。这种方式极大地提高了管理的便捷性和灵活性,使得管理员可以在任何有网络连接的地方对防火墙进行配置和监控。USG6000V系列防火墙1.2.1Web简介Web常见的协议方式有HTTP和HTTPS。HTTP是超文本传输协议,默认使用80端口,用于在客户端(浏览器)和服务器(防火墙)之间传输数据。HTTP以明文方式传输数据,不提供任何方式的数据加密。因此,在数据传输过程中,黑客可以轻易地窃取、篡改或监听传输的内容,如用户的账号密码、交易信息等,存在较大的安全风险。在浏览器地址栏中,通常显示的是“http://”开头的网址,没有安全锁等安全标识,用户无法直观地判断该网站是否安全。HTTPS是超文本传输安全协议,默认使用443端口,通过SSL/TLS加密协议对数据进行加密传输,确保数据的安全性和完整性,防止数据被窃取或篡改。在浏览器地址栏中,以“https://”开头,并且通常会显示一个安全锁的图标,让用户能够直观地了解该网站采用了加密传输,具有一定的安全性。1.2.1防火墙的用户类型USG6000V防火墙的用户类型主要有上网用户、接入用户和管理员用户。上网用户是指内部网络中访问网络资源的主体,如企业总部的内部员工。设备通过对访问网络的用户进行身份认证,获取用户身份信息,并针对用户身份进行相应的策略控制。上网用户可直接通过USG6000V访问网络资源。接入用户是指外部网络中访问网络资源的主体,如企业分支机构员工和出差员工。接入用户需要通过SSLVPN、L2TPVPN、IPsecVPN等方式接入USG6000V,然后才能访问企业总部的网络资源。。管理员用户是指通过Telnet、SSH、Web等协议或通过Console接口访问设备并对设备进行配置或操作的用户。1.2.1防火墙的用户类型管理员用户权限执行规则创建管理员需指定用户级别,仅可执行不高于自身级别的命令。1)级别条件:用户级别≥命令级别。例如2级管理员可执行0-2级命令,无法执行3级命令(如防火墙重启systemreboot)。2)权限条件:所属角色拥有命令对应功能模块权限。例如3级系统管理员,若无“安全策略(security-policy)”模块权限,仍无法执行该模块相关命令。用户级别和命令级别的对应关系任务实施实施场景通过物理主机的浏览器访问防火墙,并创建新管理员用户。通过Web界面登录防火墙任务实施实施设备1)USG6000V1防火墙1台;2)云接口一个,绑定物理主机的虚拟网卡;3)OracleVMVirtualBox软件。任务实施实施过程通过Web界面登录防火墙(1)OracleVMVirtualBox添加虚拟适配器
1)打开OracleVMVirtualBox虚拟机,在“管理”菜单栏中选择“主机网络管理器”。OracleVMVirtualBox管理器任务实施实施过程
2)在“主机网络管理器”窗口,单击工具栏中的“创建”按钮。主机网络管理器任务实施实施过程3)选择新创建的“VirtualBoxHost-OnlyEthernetAdapter#2”,单击工具栏“属性”按钮,选择“网卡”,再选择“手动配置网卡”,修改IPv4地址为00,IPv4网络掩码为,单击“应用”按钮。新建网卡属性任务实施实施过程4)重启物理主机,打开网络和共享中心,选择更改适配器设置,在网络连接窗口多了一个“VirtualBoxHost-OnlyNetwork#2”网络连接选项网络连接窗口任务实施实施过程(2)eNSP软件的Cloud云和防火墙配置1)运行eNSP软件,新建网络拓扑图。双击Cloud云设备,在Cloud窗口中,在端口创建下的“绑定信息”列表中选择“UDP”,“端口类型”列表中选择“GE”,单击“增加”按钮,创建端口1。通过Web界面登录防火墙创建云端口1任务实施实施过程(2)eNSP软件的Cloud云和防火墙配置2)继续在“绑定信息”列表中选择“VirtualBoxHost-OnlyNetwork#2”,“端口类型”列表中选择“GE”,单击“增加”按钮,创建端口2。通过Web界面登录防火墙创建云端口2任务实施实施过程(2)eNSP软件的Cloud云和防火墙配置3)在端口映射设置下的“端口类型”列表中选择“GE”,“入端口编号”列表中选择“1”,“出端口编号”列表中选择“2”,选中“双向通道”复选框,单击“增加”按钮,生成端口映射表。通过Web界面登录防火墙端口映射设置任务实施实施过程(2)eNSP软件的Cloud云和防火墙配置4)启动防火墙,双击USG6000V防火墙进入命令行界面,在GE0/0/0口上允许HTTPS访问和ping服务。通过Web界面登录防火墙在防火墙命令行配置如下命令:<FW>system-view[FW]interfaceGigabitEthernet0/0/0[FW-GigabitEthernet0/0/0]service-managehttpspermit[FW-GigabitEthernet0/0/0]service-managepingpermit任务实施实施过程(3)Web界面登录配置1)在物理主机上打开CMD窗口,使用ping命令测试能否ping通防火墙的GE0/0/0口,如图所示,测试成功ping通。通过Web界面登录防火墙物理主机ping通防火墙任务实施实施过程(3)Web界面登录配置2)打开物理主机浏览器并访问防火墙。防火墙的访问地址为:8443,进入登录界面。通过Web界面登录防火墙物理主机ping通防火墙任务实施实施过程(3)Web界面登录配置
3)在登录页面,输入用户名admin和首次登录时修改过的密码进行登录。登录成功后会弹出“快速向导”窗口,选中“下一次登录不再显示”复选框,单击窗口右上角关闭按钮。通过Web界面登录防火墙防火墙登录成功页面任务实施实施过程(4)新建管理员
1)在工作界面选择“系统”→“管理员”→“管理员”选项。通过Web界面登录防火墙防火墙登录成功页面任务实施实施过程(4)新建管理员
2)单击管理员列表中的“新建”按钮,在弹出的“新建管理员”对话框中配置用户名为“xun”,认证类型为“本地认证”,密码和确认密码都为“xun@1234”,角色选择“系统管理员”,信任主机为空,高级选项中的服务类型选择Web、Telnet、SSH复选框,SSH认证方式选择“PASSWORD”,单击“确定”。通过Web界面登录防火墙配置新建管理员小结本任务介绍了通过Web界面登录配置防火墙的方法,以及Web常用协议、防火墙用户类型、用户级别与命令级别的对应关系等相关知识。通过任务实施,学生可以学习将物理主机与eNSP软件中的仿真防火墙进行连接的方法,实现通过Web界面登录防火墙,并成功创建管理员用户,深化对防火墙用户管理与权限分级机制的理解,为后续开展更复杂的网络配置任务打下坚实基础。思考题1.华为防火墙USG6000V的用户类型有哪些?各自的访问方式是什么?谢谢观看!目录ContentsPart01任务目标Part02任务描述Part04任务实施任务1.3-SSH远程登录配置Part03知识储备项目1-防火墙登录配置任务目标知识目标技能目标素养目标1.了解SSH协议。1.强化网络安全意识,筑牢网络安全防线,保障信息安全。2.牢固树立核心意识,明确关键方向,凝聚发展向心力。1.掌握SSH远程登录配置防火墙的方法。任务描述本任务要完成的工作:
工程师小锐在完成通过Web界面登录防火墙后,根据项目需求,为防火墙配置一个SSH管理员,并要求该管理员可以通过SSH远程登录防火墙并进行管理和维护。
“技术是买不来的”。只有瞄准核心科技埋头攻关,助力我国软件产业从价值链中低端向高端迈进,才能为高质量发展和国家信息产业安全插上腾飞的“翅膀。知识储备1.3.1SSH协议的简介1.3.2SSH协议的优势1.3.1SSH协议的简介SSH是TCP/IP协议族的应用层安全协议,基于TCP22端口工作,通过加密技术为远程登录、服务器管理、文件传输等场景提供安全传输通道,防止数据窃取、篡改和监听。工作原理,
SSH通信包含服务器与客户端,分三个阶段:连接建立:客户端发起请求,服务器返回公钥;客户端验证公钥合法后,生成会话密钥并用服务器公钥加密发送。数据传输:服务器用私钥解密获取会话密钥,双方后续通过该密钥对称加密数据,按协议封装传输,保障完整性与保密性。连接关闭:操作完成后,双方可发起关闭请求,释放资源结束连接。
1.3.1SSH协议的简介安全验证方式(以华为防火墙为例)基于口令验证:用户发起登录,远程主机返回公钥;请求主机用公钥加密用户密码并发送,远程主机私钥解密后校验,一致则登录成功。基于密钥验证:用户主机生成密钥对,公钥导入远程主机;登录时远程主机返回随机串,用户主机用私钥加密后回传,远程主机用导入的公钥解密,成功即允许登录。1.3.2SSH协议的优势SSH协议的优势安全性高:SSH采用加密技术对传输的数据进行加密,能有效防止数据泄露和篡改,相比不加密的Telnet等协议,极大地提高了安全性。功能强大:SSH除远程登录外,还支持文件传输和端口转发等多种功能,能满足不同的网络管理和操作需求。跨平台性好:SSH可在多种操作系统上使用,如Windows、Linux和Unix等,方便不同系统之间的远程交互。任务实施实施场景为防火墙配置一个SSH管理员,使用PuTTY软件的SSH协议远程登录防火墙并进行管理和维护。通过Web界面登录防火墙任务实施实施设备1)USG6000V1防火墙1台;2)云接口一个,绑定物理主机的虚拟网卡;3)PuTTY软件。任务实施实施过程通过Web界面登录防火墙(1)创建管理员用户名和密码
1)通过Web登录防火墙,打开CLI控制台。CLI控制台任务实施实施过程
2)创建SSH管理员,用户名为sshuser,密码为sshuser@1234,角色为系统管理员,服务类型为SSH,CLI控制台配置如下命令。<FW>system-view//进入系统视图[FW]aaa//进入AAA配置视图[FW-aaa]manager-usersshuser//创建用户sshuser[FW-aaa-manager-user-tel]passwordciphersshuser@1234//配置用户密码[FW-aaa-manager-user-tel]service-typessh//配置服务类型[FW-aaa-manager-user-tel]quit//退出用户配置[FW-aaa]bindmanager-usersshuserrolesystem-admin//绑定系统管理员角色[FW-aaa]quit//退出AAA视图[FW]sshusersshuserauthentication-typepassword//新建一个SSH用户,验证方式为PASSWORD,该用户名需要与AAA视图中创建的用户名一致[FW]sshusersshuserservice-typestelnet//设置SSH用户的服务类型为stelnet任务实施实施过程(2)SSH远程登录防火墙1)启动SSH服务。[FW]stelnetserverenable2)配置登录接口。以防火墙管理口GE0/0/0为登录接口,配置如下命令:[FW]interfaceGigabitEthernet0/0/0//进入接口配置[FW-GigabitEthernet0/0/0]service-managesshpermit//允许SSH
[FW-GigabitEthernet0/0/0]quit//退出3)配置配置VTY管理界面。[FW]user-interfacevty04//进入VTY管理界面[FW-ui-vty0-4]authentication-modeaaa//使用AAA验证模式[FW-ui-vty0-4]userprivilegelevel3//配置用户访问的命令级别为3[FW-ui-vty0-4]protocolinboundall//all表示支持所有协议[FW-ui-vty0-4]quit//退出任务实施实施过程(2)SSH远程登录防火墙
4)生成本地密钥对。[[FW]rsalocal-key-paircreate[FW]rsalocal-key-paircreateThekeynamewillbe:FW_Host%RSAkeysdefinedforFW_Hostalreadyexist.Confirmtoreplacethem?[y/n]:y//确认yTherangeofpublickeysizeis(2048~2048).NOTES:Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.Inputthebitsinthemodulus[default=2048]://可以使用默认值,直接回车Generatingkeys.....+++++........................++....++++...........++[FW]任务实施实施过程(3)配置PuTTY参数1)在物理主机上运行PuTTY,选择“Session”,Connectiontype协议选择“SSH”,HostName(orIPaddress)填写“”,其余参数默认配置。PuTTY登录界面任务实施实施过程(3)配置PuTTY参数2)单击“Open”按钮,弹出安全警告窗口,单击“Accept”按钮。安全警告窗口任务实施实施过程(3)配置PuTTY参数
3)在登录界面输入用户名和密码,验证通过后进入VTY管理员界面,表示成功使用SSH方式登录防火墙。远程连接到防火墙任务实施实施过程(4)验证SSH登录
在命令窗口输入以下命令,查看SSH当前在线管理员用户。<FW>displaymanager-useronline-user输出内容如下:以上输出显示,当前登录的用户ID为38,用户名是sshuser,用户级别为15,从IP地址00的计算机通过SSH方式登录防火墙,验证方式为本地验证,在线管理员用户有1个。小结本任务介绍了SSH远程登录配置防火墙的相关知识,包括SSH协议的定义、工作原理和安全认证方式。通过任务实施,学生可以学习在防火墙CLI控制台上创建SSH管理员、配置SSH远程登录防火墙的方法,并使用PuTTY软件通过SSH协议登录防火墙等操作,解决如何利用SSH协议实现防火墙安全远程管理的问题,为后续任务实施打下坚实基础。思考题1.简述SSH协议的工作原理和优势。谢谢观看!目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.1-防火墙安全区域与安全策略配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1.理解安全区域的基本概念。2.
理解华为防火墙默认安全区域的访问规则。3.
理解安全策略的匹配机制与优先级规则。1.牢固树立“安全隔离、最小权限”的网络防护理念,以严谨审慎的态度筑牢网络安全防线。2.不断增强遵守网络安全法规的职业使命感,将维护网络安全视为职业生涯的重要责任。1.能根据业务需求划分安全区域。2.能配置基于五元组的域间访问控制策略。3.
能通过命令行验证策略生效状态。任务描述本任务要完成的工作:
XUN公司需构建内部网络的访问控制体系,根据员工角色设定对内网FTP与HTTP服务器的差异化访问权限。其中,管理员拥有对FTP和HTTP服务器的完全控制权,研发人员可访问两台服务器的FTP与HTTP服务,售后人员仅可访问HTTP服务器的HTTP服务。
“观众器者为良匠,观众病者为良医。”“为学日益,为道日损。”青年学生要多动手、多动脑,多积累。知识储备2.1.1安全区域2.1.2安全策略2.1.1安全区域防火墙的安全区域,是指具有相同安全级别的接口或子网划归逻辑单元。例如,将内网接口归为Trust区域,外网接口归为Untrust区域。华为防火墙默认预定义了四个固定的安全区域,具体如下:local区域:即本地区域,主要用于代表防火墙自身,防火墙的所有接口都属于local区域。trust区域:即可信任区域,通常用于连接内部可信网络,像企业内部的办公网络、生产网络等。untrust区域:即不受信任区域,通常用于连接外部不受信任的网络。Dmz区域:即非军事化区域,通常用于连接企业服务器区域。2.1.1安全区域防火墙安全区域的安全级别是用于标识不同安全区域的安全程度高低的,用于决定区域间的访问控制策略。每个安全区域都有一个唯一的安全优先级,取值范围是0到100。默认安全区域的安全优先级不能更改。自定义的安全区域可以设置安全优先级。华为防火墙不存在安全优先级相同的安全区域。安全区域优先级说明Local100设备本身,包括设备的各接口本身。Trust85通常用于定义内网终端用户所在区域。DMZ50通常用于定义内网服务器所在区域。Untrust5通常用于定义Internet等不安全的网络。2.1.1安全区域防火墙的安全区域划分的原则不同的接口可以加入到相同的安全区域。同一个接口不能加入到不同的安全区域接口加入到安全区域代表接口下联的网络被加入到该区域,不代表接口本身加入到该区域。2.1.2安全策略防火墙的基本作用是对进出网络的访问行为进行控制,保护特定网络免受“不信任”网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。防火墙IntranetTrustUntrust安全策略禁止通过的流量安全策略允许通过的流量2.1.2安全策略防火墙的安全域间是不同区域间流量的传输通道,而且这个通道是两个“区域”之间的唯一“线路”。安全域间的数据流动具有方向性入方向(Inbound):数据由低级别安全区域向高级别安全区域传输的方向。
出方向(0utbound):数据由高级别安全区域向低级别安全区域传输的方向。防火墙缺省规则
任意两个安全区域之间的任意方向流量默认是拒绝。
同一个安全区域之间任意方向流量默认是放行。防火墙Trust85DMZ50Untrust5Local100OutboundInbound2.1.2安全策略防火墙安全策略是指在防火墙上制定和实施的一系列规则和措施,是对网络流量转发以及对流量进行内容安全一体化检测的策略,确保只有符合特定条件的网络数据才能够在不同网络区域之间进行传输。其主要应用于对跨防火墙的网络互访和对防火墙本身的访问。安全策略的组成如下:2.1.2安全策略防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过,可以创建安全策略。一般针对不同的业务流量,设备上会配置多条安全策略。安全策略匹配过程如下:匹配顺序策略编号匹配条件动作Policy1:匹配条件1匹配条件2……匹配条件N动作(允许/禁止)Policy2:匹配条件1匹配条件2……匹配条件N动作(允许/禁止)……PolicyN:匹配条件1匹配条件2……匹配条件N动作(允许/禁止)Default:匹配条件均为any动作(禁止)任务实施实施场景在XUN公司出口防火墙上完成安全区域划分和安全策略配置,实现如下步骤:1)根据拓扑图在防火墙上划分安全区域。2)管理员对内网FTP服务器和HTTP服务器进行完全控制。3)研发人员能访问内网FTP服务器的FTP服务和HTTP服务器的HTTP服务。4)售后人员只能访问内网HTTP服务器的HTTP服务。任务实施实施设备1)USG6000V防火墙1台;2)Client机3台;3)S5700交换机2台;4)AR2220路由器1台;5)Server服务器2台。任务实施实施过程1)配置Client1、Client2和Client3网络基本参数,以Client1为例。Client1参数配置任务实施实施过程2)配置FTP服务器网络参数,开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3)配置HTTP服务器网络参数,开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程
4)配置防火墙网络基本参数,配置命令如下:[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24
[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24
[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024
5)划分防火墙安全区域,将GE1/0/0口加入Trust区域,将GE1/0/4口加入DMZ区域,将GE1/0/5口加入Untrust区域,配置命令如下:[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0
[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4
[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程
6)配置安全策略,实现管理员对内网FTP服务器和HTTP服务器进行完全控制,配置命令如下:[FW1]security-policy[FW1-policy-security]rulenameClient1_to_dmz[FW1-policy-security-rule-Client1_to_dmz]source-zonetrust
[FW1-policy-security-rule-Client1_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client1_to_dmz]source-address0032
[FW1-policy-security-rule-Client1_to_dmz]actionpermit配置完成后,管理员在Client1上访问FTP服务器和HTTP服务器都是允许的,也可以ping通FTP服务器。任务实施实施过程
7)配置安全策略,实现研发人员只能访问内网FTP服务器和HTTP服务器的FTP服务和HTTP服务,配置命令如下:[FW1]security-policy[FW1-policy-security]rulenameClient2_to_dmz[FW1-policy-security-rule-Client2_to_dmz]source-zonetrust
[FW1-policy-security-rule-Client2_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client2_to_dmz]source-address0132[FW1-policy-security-rule-Client2_to_dmz]destination-address0032[FW1-policy-security-rule-Client2_to_dmz]destination-address0032
[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port80
[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port21
[FW1-policy-security-rule-Client2_to_dmz]actionpermit配置完成后,研发人员在Client2上只能访问FTP服务器的FTP服务和HTTP服务器的HTTP服务,不能访问其他服务,如在Client2上ping不通FTP服务器和HTTP服务器。任务实施实施过程
8)配置安全策略,实现售后人员只能访问内网HTTP服务器的HTTP服务,配置命令如下:[FW1]security-policy[FW1-policy-security]rulenameClient3_to_dmz[FW1-policy-security-rule-Client3_to_dmz]source-zonetrust[FW1-policy-security-rule-Client3_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client3_to_dmz]source-address0232[FW1-policy-security-rule-Client3_to_dmz]destination-address0032
[FW1-policy-security-rule-Client3_to_dmz]serviceprotocoltcpdestination-port80
[FW1-policy-security-rule-Client3_to_dmz]actionpermit配置完成后,售后人员在Client3上只能访问HTTP服务器的HTTP服务,不能访问其他服务,如在Client3上ping不通FTP服务器,也不能访问FTP服务。任务小结本任务介绍了华为防火墙的安全区域和安全策略的基本概念与配置方法。通过任务实施,学生可以学习安全区域划分和安全策略部署的核心技术,解决对防火墙访问控制逻辑理解不清和策略配置不准确的常见问题,深化对安全区域与安全策略协同防御机制及其在网络安全体系中重要性的理解,为后续任务实施打下坚实基础。思考题1.简述安全策略的匹配机制和优先级规则。谢谢观看!目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.2-状态检测与会话机制验证Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1.理解防火墙的状态检测技术。2.
理解防火墙的会话表。3.
理解安全域间长连接。1.牢固树立技术自主创新的核心观念,深刻认识自主创新对于提升核心竞争力的重要性。2.理解“关键信息基础设施保护”的重大责任,明晰自身在维护国家安全方面所肩负的使命。1.掌握在安全策略中使用对象的方法。2.掌握配置会话表的老化时间。3.掌握在安全域间配置长连接的方法。任务描述本任务要完成的工作:
XUN公司新增一位研发人员,该名员工使用的Client5主机IP地址为10。项目经理安排小锐调整公司防火墙安全策略,要求研发人员对FTP服务器和HTTP服务器开通ping功能。小锐通过深入理解防火墙的状态检测技术和会话机制,依据实际网络需求合理调整会话表老化时间,优化长连接配置,保障了网络的高效稳定运行。。“靡不有初,鲜克有终。”“莫等闲,白了少年头,空悲切。”青年学生为人做事要有头有尾、善始善终、不负韶华。知识储备2.2.1在安全策略中使用组2.2.2状态检测技术和会话表2.2.1在安全策略中使用组华为防火墙可以创建多种对象类型,如地址组、服务组、应用组等。
以地址组为例,在进行防火墙安全策略设置时,若不同的安全规则频繁涉及同一个包含多个地址的地址范围,在各规则中反复录入这些地址不仅烦琐,而且一旦该地址范围需要变更,所有与之相关的规则都得重新配置,这大大增加了工作量。
因此,可以通过创建地址组,将这些地址关联到一个地址组中,然后直接在安全策略里调用该地址组。当需要调整地址范围时,也只需对地址组进行修改,有效减少了工作量。2.2.1在安全策略中使用组在安全策略的配置过程中,主要使用到的对象有地址组和服务组。组创建完成之后,用户可以在安全规则中引用该组。[FW1]ipaddress-setClient2_3typegroup[FW1-group-address-set-Client2_3]address010[FW1-group-address-set-Client2_3]address100
[FW1]quit[FW1]ipservice-setClient_2_3typegroup[FW1-group-service-set-Client_2_3]serviceservice-seticmp
[FW1-group-service-set-Client_2_3]serviceservice-setftp
[FW1-group-service-set-Client_2_3]serviceservice-sethttp[FW1]quit使用ipaddress-set命令可以创建地址组使用ipservice-set命令可以创建服务组2.2.2状态检测技术和会话表状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项。在报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种情况下,为了保证业务正常,就需要关闭防火墙的状态检测功能。当关闭状态检测功能后,可以通过后续报文建立会话,保证业务的正常运行。2.2.2状态检测技术和会话表防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。2.2.2状态检测技术和会话表会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的一个连接。通过会话中的五元组信息可以唯一确定通信双方的一条连接,多条会话的集合叫做会话表。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。一个会话的报文能够正常被防火墙转发,通常需要具备以下两个条件:1)防火墙的路由表中存在与该报文目的IP地址相匹配的路由,或者默认路由。2)防火墙的安全策略允许该会话的报文通过。2.2.2状态检测技术和会话表<FW>displayfirewallsessiontableverboseCurrentTotalSessions:1icmpVPN:public-->publicID:a58f3fe91023015aa15344e75b
Zone:local-->trustTTL:00:00:20Left:00:00:09*Interface:GigabitEthernet0/0/0NextHop:
MAC:4437-e697-78fe<--packets:3bytes:252-->packets:3bytes:252:43982[:2107]-->:2048<FW>displayfirewallsessiontableCurrentTotalSessions:1telnetVPN:public-->public:2855-->:23在防火墙上通过displayfirewallsessiontableverbose可以显示会话表详细信息。由于使用了verbose参数,可以看到除了五元组信息之外的其他信息。在防火墙上通过displayfirewallsessiontable命令可以看到正常建立的会话。2.2.2状态检测技术和会话表防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。通常情况下,可以直接使用系统缺省的会话表老化时间,但也可以配置会话表老化时间。查看当前系统中各类会话表项的老化时间。<FW1>displayfirewallsessionaging-time配置会话表的老化时间,配置FTP服务的老化时间为1400秒。[FW1]firewallsessionaging-timeservice-setftp14002.2.2状态检测技术和会话表为了保证网络安全以及会话资源的合理利用,防火墙上的各种会话缺省老化时间都相对较短,一般只有几分钟。当一个TCP会话的两个连续报文到达防火墙的时间间隔大于该会话的老化时间时,防火墙将从会话表中删除相应会话信息。后续报文到达防火墙后,防火墙根据自身的转发机制将丢弃该报文,导致连接中断。例如:
用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文,或用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。在以上的场景中,如果会话表项被删除,则对应的业务就会中断。长连接(LongLink)机制可以给部分连接设定超长的老化时间,有效解决这个问题。启用基于策略的长连接功能。[FW1]security-policy[FW1-policy-security]rulenameClient1_to_dmz[FW1-policy-security-rule-Client1_to_dmz]long-linkenable任务实施实施场景XUN公司项目经理安排小锐调整公司防火墙的安全策略,要求完成如下步骤:1)根据拓扑图在防火墙上划分安全区域。2)为研发人员创建地址组,组IP地址为01和10,要求研发人员对FTP服务器和HTTP服务器增加ping功能,创建服务组,包括FTP、HTTP和ICMP服务。3)配置FTP服务的老化时间为1400秒。4)对本次新建安全策略启用长连接功能。任务实施实施设备1)USG6000V防火墙1台;2)Client机4台;3)S5700交换机2台;4)AR2220路由器1台;5)Server服务器2台。任务实施实施过程1)配置Client1、Client2、Client3和Client4网络基本参数,以Client1为例。Client1参数配置任务实施实施过程2)配置FTP服务器网络参数,开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3)配置HTTP服务器网络参数,开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程
4)配置防火墙网络基本参数,配置命令如下:[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24
[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24
[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024
5)划分防火墙安全区域,将GE1/0/0口加入Trust区域,将GE1/0/4口加入DMZ区域,将GE1/0/5口加入Untrust区域,配置命令如下:[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0
[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4
[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程
6)为研发人员创建地址组,组IP地址为01和10,研发人员对FTP服务器和HTTP服务器增加ping功能,创建服务组,包括FTP、HTTP和ICMP服务,配置命令如下:[FW1]ipaddress-setClient2_3[FW1]ipaddress-setClient2_3typegroup[FW1-group-address-set-Client2_3]address010[FW1-group-address-set-Client2_3]address100
[FW1-group-address-set-Client2_3]quit[FW1]ipservice-setClient_2_3typegroup[FW1-group-service-set-Client_2_3]serviceservice-seticmp
[FW1-group-service-set-Client_2_3]serviceservice-setftp[FW1-group-service-set-Client_2_3]serviceservice-sethttp
[FW1-group-service-set-Client_2_3]quit任务实施实施过程
7)配置安全策略,实现研发人员访问DMZ区域FTP服务器的FTP服务和HTTP服务器,配置命令如下:[FW1]security-policy[FW1-policy-security]rulenameClient2_3_to_dmz[FW1-policy-security-rule-Client2_3_to_dmz]source-zonetrust
[FW1-policy-security-rule-Client2_3_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client2_3_to_dmz]source-addressaddress-setClient2_3
[FW1-policy-security-rule-Client2_3_to_dmz]serviceClient_2_3[FW1-policy-security-rule-Client2_3_to_dmz]actionpermit配置完成后,研发人员在Client2和Client3上能访问FTP服务器的FTP服务和HTTP服务器的HTTP服务,也可以在Client2和Client3上ping通FTP服务器和HTTP服务器。任务实施实施过程
8)配置FTP服务的老化时间为1400秒,配置命令如下:[FW1]firewallsessionaging-timeservice-setftp1400
9)对本次新建安全策略启用长连接功能,配置命令如下:[FW1]security-policy[FW1-policy-security]rulenameClient2_3_to_dmz[FW1-policy-security-rule-Client2_3_to_dmz]long-linkenable任务小结本任务介绍了防火墙状态检测机制与会话表的核心概念,重点包括会话表分析中需细致观察的字段(如协议状态、端口号等)。通过任务实施,学生可以学习在安全策略中使用组来简化配置,并掌握会话表老化时间与长连接的调整方法,解决会话表资源管理效率低、长连接中断等问题,深化对防火墙状态跟踪与策略优化机制的理解,为后续任务实施打下坚实基础。思考题1.在华为防火墙中,配置安全策略时使用组(如地址组、服务组)有什么好处?谢谢观看!目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.3-ASPF配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1.理解防火墙的ASPF技术。2.理解防火墙的Server-map。1.具备敏锐的“应用感知”能力,精准捕捉潜在风险,构筑牢不可破的安全壁垒。2.技术实践应以“总体国家安全观”为核心指引,使之成为技术发展不可撼动的基石。1.掌握防火墙的OSPF配置。2.掌握防火墙的ASPF配置。任务描述本任务要完成的工作:
XUN公司因业务发展需要,对内部网络架构进行重新规划,要求每个部门创建独立VLAN,分别是:技术部为VLAN10,研发部为VLAN20,销售部为VLAN30,财务部为VLAN40,汇聚交换机SW2与防火墙FW1使用OSPF协议互联。同时,在防火墙上针对FTP服务开启ASPF功能。
“习总书记指出,要加快科技自立自强步伐,解决外国“卡脖子”问题。
科技是国之利器,国家赖之以强,企业赖之以赢,人民生活赖之以好。知识储备2.3.1ASPF技术2.3.2Server-map表2.3.1ASPF技术在TCP/IP模型中,应用层提供常见的网络应用服务,如Telnet、HTTP、FTP等协议。而应用层协议根据占用的端口数量可以分为单通道应用层协议与多通道应用层协议。单通道应用层协议:通信过程中只需占用一个端口的协议。例如:Telnet只需占用23端口,HTTP只需占用80端口;多通道应用层协议:通信过程中需占用两个或两个以上端口的协议。例如:FTP被动模式下需要占用21号端口以及一个随机端口。传统包过滤防火墙针对多通道应用层协议访问控制的不足:传统的包过滤防火墙只能实现简单的访问控制;传统的包过滤防火墙只能阻止一些使用固定端口的单通道协议的应用数据。2.3.1ASPF技术ASPF(ApplicationSpecificPacketFilter)是针对应用层的包过滤。通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,当数据通道的首包经过防火墙时,防火墙根据Server-map生成一条session,用于放行后续数据通道的报文,相当于自动创建了一条精细的“安全策略”。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。2.3.2Server-map表FTP主动模式的ASPF。Server-map表是通过ASPF功能自动生成的精细安全策略,是防火墙上的“隐形通道”。FTP主动模式下,客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道,然后使用PORT命令协商两者建立数据通道的端口号,协商得出的端口是yyyy。然后服务器主动向客户端的yyyy端口发起连接请求,建立数据通道。数据通道建立成功后再进行数据传输。在配置安全策略时,如果只配置了允许客户端访问服务器的21端口的安全策略,即控制连接能成功建立。但是当服务器访问客户端yyyy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,如果没有配置服务器到客户端这个方向上的安全策略,该报文无法通过防火墙,导致数据通道建立失败。结果是用户能访问服务器,但无法请求数据。由于PORT命令的应用层信息中携带了客户端的IP地址和向服务器随机开放的端口,防火墙通过分析PORT命令的应用层信息,提前预测到后续报文的行为方式,根据应用层信息中的IP和端口创建Server-map表。服务器向客户端发起数据连接的报文到达防火墙后命中该Server-map表项,不再受安全策略的控制。2.3.2Server-map表Server-map表与会话表的关系。Server-map表与会话表的关系如下:1)Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;2)会话表是通信双方连接状态的具体体现;3)Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测。防火墙接收报文的处理过程如图所示:1)防火墙收到报文先检查是否命中会话表;2)如果没有命中则检查是否命中Server-map表;3)命中Server-map表的报文不受安全策略控制;4)防火墙最后为命中Server-map表的数据创建会话表。2.3.2Server-map表Server-map表配置。任务实施实施场景XUN公司因业务发
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 临时施工区域安全围挡培训课件
- 马鞍山市花山区2025届三年级数学第二学期期末模拟试题(含答案解析)
- 2026浙江宁波市北仑区人民医院招聘编外人员18人模拟试卷及参考答案详解一套
- 勘察工程培训
- 2026广东工程职业技术学院招聘博士(第二批)10人备考题库及答案详解【历年真题】
- 2026广东广州中医药大学科研助理招聘1人(第四批)备考题库及答案详解【真题汇编】
- 2026年东营区高层次人才选聘模拟试卷及参考答案详解(能力提升)
- 2026黑龙江伊春市铁力市消防救援大队招聘政府专职消防队员10人模拟试卷【名校卷】附答案详解
- 2026浙江勘察设计协会招聘协会工作人员4人备考题库及参考答案详解(完整版)
- 设备完好率年度总结
- 海南省2024年普通高中学业水平合格性考试地理试卷(含答案)
- 安全生产论文5000字
- 华为emt轮岗管理办法
- 2024-2025学年北师大版八年级数学(下)期末必考题型专项复习【40大考点】解析版
- 战伤救护技术课件
- 阴影成像技术及其在各领域的实践
- 销售话术培训
- 主要施工机械设备、劳动力、设备材料投入计划及其保证措施
- 雅斯贝尔斯-轴心时代课件
- 周国平:愿生命从容
- 《建设项目工程总承包合同(示范文本)》(GF-2020-0216)
评论
0/150
提交评论