Sands流处理框架实战:轻量级高性能数据流引擎设计与应用
2026/5/1 7:22:02
0420网络安全设备配置与管理第八周授课讲义
温故知新:上次课主要介绍华为防火墙USG6000V,登录设备,基础配置的实验。学习防火墙的工作原理和配置步骤。(该部分内容是本课程的重点)【防火墙FW是什么?防火墙与路由器的区别有那些?配置步骤和思路有何不同?】
Q:防火墙FW是什么?
A:是一个安全设备用于网络隔离。
Q:防火墙与路由器的区别有那些?
A:相同点:都是网络连接设备,FW和路由器都用于连接不同网段/网络;两种设备的路由表中都有连接的网络/网段的表项且为直连。
不同点:路由器上只要配置了网关(对应的终端设备的接口)默认是允许通信的,为了实现任务要求需要配合ACL进行流量控制。(因为路由表中有不同网段的表项且为直连路由。)需要配置ACL且动作为拒绝。
防火墙的接口(与终端设备所连的接口需要先添加到对应的安全区域中,配置网关地址是为了通信用【但不代表就能直接通信】,默认拒绝所有通信流量经过防火墙,为了实现任务要求需要配置安全策略-规则-动作(允许)。
-----------------------通过实验进行验证--------------
用路由器进行实验:路由器+ACL实现流量管理
配置步骤:
1.完成基础配置
un t m
sys
sys R1
int g 0/0/0
ip ad 192.168.1.1 24
int g 0/0/1
ip ad 172.16.1.1 24
int g 0/0/2
ip ad 100.1.1.1 24
Q
测试网络连通性(全网都是通的)
路由器默认允许表中有表项的终端之间都能通信
但是又不符合实验要求,所以需要通过ACL进行流量控制
2.配置ACL (选择ACL的类型;配置规则【拒绝】;应用规则到指定接口上)
接口的选择要进行仔细判断;(采用就近原则)
测试网络连通性:
实验成功
财务部PC4当前能访问server3
再配一个ACL ,用于限制流量
测试实验效果:
实验完成
--------------------------2.防火墙+安全策略,实现流量管理-----------------------------
实验解析:3个区域,四种终端,五个设备
实验思路:用防火墙进行网络隔离,用安全策略实现通信流量管控
实验步骤:
1.完成基本配置(略)
2.配置防火墙
2.1配置安全区域添加端口
测试网络连通性
2.2 配置安全策略
实验要求PC1能够访问DMZ区的server1
测试实验效果
测试实验效果
--------------------防火墙+安全策略2(域内拒绝)--------------------------------
实验思路(防火墙默认域内是可以直接通信)
正常的方式(单向拒绝策略+规则);如果此种方式失效就需要做双向阻隔。
1.完成基本配置(略)
2.配置防火墙(配置安全区域+配置网关)(略)
测试域内的通信(没有配规则时候同一域内可以通信)
3.要实现同一域内(trust)PC1和PC2不能通信
测试实验效果
实验任务2 (PC1访问server1)
测试实验效果
总结:防火墙默认域内是可以直接通信的。如果实验要求不能通信就需要重新配置规则。