防火墙透明模式

一、防火墙基本概念 1、防火墙概念 防火墙是一个连接多个网络区域，基于策略限制区域间流量的网络边界设备。 2、防火墙类型 1）包过滤防火墙 缺点： 无法关联后续报文 无法解决多通道协议 无法检测应用层 2）状态检测防火墙 优点： 可以关联后续报文 解决多通道协议（ASPF） 解决检测应用层（内容安全） 3）代理服务器防火墙 缺点： 速度慢 升级困难 3、防火墙组网方式 1）路由模式 组网特点： 支持更多安全特性 对网络拓扑有所影响 2）透明模式 组网特点： 对网络拓扑透明 不需要更改组网 二、设备管理 1、登录方式 防火墙设备管理支持Console、SSH、Telnet、HTTP、HTTPS等方式，通常使用HTTPS方式来登录防火墙。 1）WEB方式登录 山石防火墙WEB登录默认使用Ethernet0/0或管理口MGT，通过https://192.168.1.1 登录账号和密码均为hillstone 2）Console登录 通过Console登录的账号和密码均为hillstone 2、账号管理 山石防火墙默认有四种管理员角色： 系统管理员 系统操作员 系统审计员 系统管理员（只读） 支持自定义管理员角色 创建管理员时，选择新建按钮，输入管理员名称、管理员角色、密码和登录类型 3、信任主机 信任主机即允许某个网段内主机登录管理防火墙，默认是任何主机都可以登录管理。配置窗口如下： 4

一：防火墙部署 　　防火墙常见的部署有三种：透明模式也叫桥模式、路由模式也叫网关模式或三层模式、NAT模式。 （1）透明模式（桥模式）： 　　　　最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。 　　　　个人理解简化：防火墙在客户端和服务器之间相当于连通的线，对所流经的流量进行完全控制（拦截和过滤）。 （2）路由模式（网关模式或三层模式）： 　　　　适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。 　　　　个人理解简化：防火墙相当于一个路由器，控制内外网两个网段的通信流量，同时实现安全隔离。 （3）NAT模式： 　　　　NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后

《Huawei防火墙透明模式下做双向NAT典型配置》 点击阅读: 《Huawei防火墙透明模式下做双向NAT典型配置》 来源： https://www.cnblogs.com/sillycuckoo/p/12630368.html

防火墙 防火墙是指设置在不同安全等级网络之间的一系列部件的组合，也可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现内部网络的安全保护，在逻辑上，防火墙是一个分离器，一个限制器，一个分析器。有效的监控不同安全等级网络之间的数据流量。 防火墙是可以是硬件设备也可以是软件设备，主要串联在内外网之间，有双向监督的功能。目前主流为“下一代新型防火墙”，新型防火墙注重应用层防护。 防火墙分类及原理 1、包过滤技术 包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 2、应用代理技术 应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。 应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外

GRE概述： 通用路由封装（GRE: Generic Routing Encapsulation）是通用路由封装协议，可以对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在IPV4网络中传输。 简单来说就是，将原数据包进行封装，添加上GRE包头及公网包头，使原报文的 源IP地址及目的IP地址变为公网IP地址，使其能够被运营商的公网路由识别并进行传输。属于VPN 技术的一种，可对不同协议的报文进行完全透明的封装，不改变原报文的任何结构与数据。经常用于路由协议（如OSPF,RIP,BGP等）传输、模拟专线直连等场景。 GRE封装过程： 1、 Router A 连接Group 1 的接口收到X 协议报文后，首先交由X 协议处理 2、X 协议检查报文头中的目的地址域来确定如何路由此包 3、 若报文的目的地址要经过Tunnel 才能到达，则设备将此报文发给相应的Tunnel 接口 4、 Tunnel 口收到此报文后进行GRE 封装，在封装IP 报文头后，设备根据此IP 包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。 华三F100系列防火墙配置命令： -----创建隧道接口 interface Tunnel1 mode gre ---创建隧道接口1，模式为GRE description to-jz　　---备注信息 ip address 192.168.1.1 255

详见： http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt280 防火墙是一个系统或一组系统，它在内网与Internet间执行一定的安全策略。典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关（或代理服务器）以及链路层网关。 防火墙的功能大体为以下五个方面： 1、通过防火墙可以定义一个关键点以防止外来入侵 2、监控网络的安全并在异常情况下给出报警提示 3、提供网络地址转换功能 4、防火墙可查询或登记Internet的使用情况 5、防火墙是为客户提供服务的理想位置，即在其上可以配置相应的服务，使Internet用户仅可以访问此类服务，而禁止对保护网络的其他系统的访问。 2.2.1 传统的边界防火墙 1、过滤式防火墙 包过滤是第一代防火墙技术，它主要包含了前面提到的包过滤路由器。这是一种通用、廉价、有效的安全手段。它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则丢弃。 它的优点很明显： Ø 它工作在网络层，所以效率高速度也很快而且它不用改动客户机和主机上的应用程序。 Ø 大多数防火墙配置成无状态的包过滤路由器，因而实现包过滤几乎没有任何耗费。 Ø 另外，它对用户和应用来说是透明的，每台主机无需安装特定的软件，使用起来比较方便。 不过它的缺点也很明显： Ø

如今，网络隔离技术已经得到越来越多的用户重视，因为信息的安全关系着个人、社会，乃至国家安全及稳定。网闸和防火墙一种是 网络安全 边界的安全卫士，其发挥的作用都不可轻视。虽是如此，两者还是有不同之处，究竟有何不同呢？两者之间是否能替换？通过下面的阅读来找找答案吧！ 　　防火墙是访问控制类产品，会在不断破坏网络连通的情况下进行访问控制，要尽可能的保证连通。看看如今的防火墙功能就知道，要支持FTP、QQ、H.323、组播、VLAN、透明桥等内容，如果网络不通就要遭受被拿下的命运。防火墙并不保证放行数据的安全性，用户必须开放80端口来提供 web 服务，基于80端口的DdoS拒绝服务攻击就很难避免了。 　　网闸这是在网络断开的情况下，以非网络方式进行文件交换，实现信息的共享。隔离网闸的原则是不安全则断开，而不是数据交换。网闸的 核心技术 是如何实现断开，如何以非网络方式安全地交换数据，如何满足用户的应用要求。 　　隔离网闸的定位清晰，就是网络断开。网络断开就是不通，不支持任何应用，没有功能；不通则是正常，什么都通是不正常。即在网闸发生故障的时候，隔离装置始终是断开的，只与其中一边相连。 　　两者有什么区别下边罗列一二： 　　1.从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统，系统自身的安全性网闸要高很多； 　　2.网闸工作在应用层，而大多数防火墙在网络层

================================================================================== from: http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.html ALinux网桥的实现分析与使用 文档选项 未显示需要 JavaScript 的文档选项 打印本页 将此页作为电子邮件发送 级别： 初级 祝顺民 ( [email=getmoon@163.com?subject=ALinux%E7%BD%91%E6%A1%A5%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%88%86%E6%9E%90%E4%B8%8E%E4%BD%BF%E7%94%A8&cc=]getmoon@163.com[/email] ) XML error: Please enter a value for the author element's jobtitle attribute, or the company-name element, or both. 2004 年 3 月 09 日 本 文分析了linux 2.4.x内核的网桥的实现方法，并且描述了如何使用2.4中的网桥。网桥，类似于中继器，连接局域网中两个或者多个网段

网络防火墙 iptables/netfilter网络防火墙： (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题： (1) 请求-响应报文均会经由FORWARD链，要注意规则的方向性 (2) 如果要启用conntrack机制，建议将双方向的状态为ESTABLISHED的报文直接放行 实战演练： 环境准备： A主机：192.168.37.6（NAT模式，做内网） B主机：192.168.37.7（NAT模式），172.16.0.7（桥接模式）B主机作为防火墙 C主机：172.16.0.17（桥接模式，做外网） （1）在A主机修改IP地址 [root@centos7network-scripts]#cat ifcfg-ens33 DEVICE=ens33 BOOTPROTO=static IPADDR=192.168.37.6 PREFIX=24 GATEWAY=192.168.37.7 ONBOOT=yes （2）修改B主机的NAT模式IP地址配置文件 [root@centos7network-scripts]#cat ifcfg-ens33 DEVICE=ens33 BOOTPROTO=none IPADDR=192.168.37.7 PREFIX=24 ONBOOT=yes GATEWAY=192.168.34.2 DNS1=114.114.114.114

防火墙介绍 防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。 防火墙就是一种过滤塞（你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。 从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种结构如下所示