防火墙功能（锐捷安全篇）

　　大家好，我是小杜，目前暂时不用出现场了，公司的小伙伴们很多也都“羊”了，目前在家学习，还是学习使我快乐，在家学习的效果也是一样的，因为我有后援（人工），所以在家的学习和公司学习没什么两样。 　　今天就学习下防火墙的相关功能，介绍。防火墙的型号很多，看下各有什么功能。 S、M、X、E、Z系列防火墙功能介绍以及配置： 一、端口映射 1、介绍 当我们内部网络有一台服务器有部分端口需要对外提供服务时，而且拥有可用的公网IP资源，这个时候就可以用到端口映射。端口映射是NAT的一种（即DNAT），功能是把在公网的地址转翻译转换成私有地址，当外网的用户去访问公网映射出来的端口时，网关设备便会将匹配的相关数据转换成内网地址和服务端口，发给提供服务的设备，达到从公共网络访问内部局域网资源的目的。 相关原理可参考：端口映射原理 2、配置 （1）全新Z系列防火墙端口映射功能配置 目的地址转换 （2）全新（S/M/X系列）防火墙端口映射功能配置 ①5.0版本：【服务端口映射】、【一对一IP全映射】、【一对多端口映射 】、【外网多线路端口映射 】、【端口映射不成功——排查介绍 】 ②5.4版本：【一对一IP全映射 】、【一对多端口映射】、【外网多线路端口映射】 ③6.0版本：【一对一IP全映射 】 、【一对多端口映射】、【外网多线路端口映射 】、【端口映射不成功——点我】 （3）全新模块化E系列防火墙端口映射功能配置 【端口映射】、【多线路端口映射 】   二、安全防护 1、介绍 随着互联网的飞速发展，网络环境也变得越来越复杂，恶意攻击、木马、蠕虫病毒等混合威胁不断增大，企业需要对网络进行多层、深层的防护来有效保证其网络安全，如果内网的服务器存在这一些漏洞不及时修补，漏洞就有可能会被入侵者利用，造成不可避免的后果。我们可以在NGFW设备上开启应用层过滤功能（包括：入侵防护、病毒防护、DNS过滤等）后，所有进入设备的数据包均要通过分析、检测、防护以及告警，保护服务器免受攻击。 还有一种防护为DDOS，DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务。 NGFW的防SYN Flood攻击采用了syncookie技术，在很少占用系统资源的情况下，可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击，保护设备和内网,当检测到此类扫描探测时，向用户进行报警提示。 2、常用安全防护配置 （1）Z系列防火墙安全防护功能配置 【DDOS功能 】、【入侵防御（IPS）】、【本机防护 】、【病毒防护】 （2）全新（S/M/X系列）防火墙安全防护功能配置 6.0版本：【DDOS功能 】、【 入侵防御（IPS）】、【DNS过滤：静态域名过滤、动态黑域名过滤】、【 病毒防护】 5.4版本：【DDOS功能 】、【入侵防御（IPS）】、【病毒防护】 5.0版本：【DDOS功能 】、【入侵防御（IPS）】、【 病毒防护】 （3）全新模块化E系列防火墙安全防护功能配置 【入侵防御 】、【DDOS】、【病毒防护】   三、VPN功能介绍 1、介绍 VPN（虚拟专用网），在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。目前仅S、M、X、E系列防火墙支持VPN功能，Z系列的VPN功能在不久之后就会和大家见面了，敬请期待哦。 2、配置 （1）全新（S/M/X系列）防火墙VPN功能配置 6.0版本： ①IPsecVPN 点到点VPN：【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】 【ADVPN配置】【锐捷-H3C互连实例】【锐捷-CISCO PIX互连实例】 拨号VPN：【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】 ②SSLVPN【sslvpn-client模式】、【sslvpn代理模式】、【高校图书馆sslvpn配置案例】 ③L2TP-PPTP：【L2TP-PPTP】 ④L2TP-IPSEC：【L2TP-IPSEC】 ⑤GRE：【GRE】 5.4版本 ①IPsecVPN 点到点VPN：【接口模式】、【策略模式】、【PKI证书认证】、【子网重叠部署IPsec】 【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】 拨号VPN：【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】 ②SSLVPN【sslvpn-client模式】、【sslvpn代理模式】、【高校图书馆sslvpn配置案例】 ③L2TP-PPTP：【L2TP-PPTP】 ④L2TP-IPSEC：【L2TP-IPSEC】 ⑤GRE：【GRE】 5.0版本 ①IPsecVPN 点到点VPN：【接口模式】、【 策略模式】、【PKI证书认证】、【子网重叠部署IPsec】 【ADVPN配置】、【锐捷-H3C互连实例】、【锐捷-CISCO PIX互连实例】 拨号VPN【hub-spoke模式】、【client-GW模式】、【PKI证书client-GW】 ②SSLVPN：【sslvpn-client模式】、【sslvpn代理模式】、【高校图书馆sslvpn配置案例】 ③L2TP-PPTP：【L2TP-PPTP】 ④L2TP-IPSEC：【L2TP-IPSEC】 ⑤GRE：【GRE】、【GRE over IPsec VPN】   四、流控功能介绍 1、介绍 流控（流量控制），针对内网不同使用者进行流量管理，可实现功能有限速、阻断上网。通过规定内网流量使用者的流量，可以避免核心业务或者核心使用人员的用网拥堵，合理的流量规范可以使得网络更加健康，适用性更高。目前S、M、X、E系列防火墙支持流控功能，Z系列的流控功能在不久之后就会和大家见面了，敬请期待哦。 2、配置 全新（S/M/X系列）防火墙流控功能配置 6.0版本：【 ①基于IP的流量控制】、【②基于应用的流量控制】 5.4版本：【 ①基于IP的流量控制】、【②基于应用的流量控制】 5.0版本：【流量限速】   五、HA高可用性功能介绍 1、介绍 HA高可用技术，从设备与主设备一样连接到网络，但不处理任何的数据包，从设备处于备用状态。从设备会自动同步主设备的配置，并时刻监视主设备到运行状态。整个失效保护到过程是透明的，一旦主设备失效，从设备会自动接替其工作。如果设备到接口或链路出现故障，集群内会更新链路状态数据库，重新选举新的主设备。目前仅S、M、X、E系列防火墙支持HA功能，Z系列的HA功能在不久之后就会和大家见面了，敬请期待哦。 2、配置 （1）全新（S/M/X系列）防火墙 6.0版本：【 HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA环境下的链路健康检查】、【 HA集群带外管理】、【HA配置命令集】、【虚拟集群场景】、【HA单机配置同步、会话同步配置】 5.4版本：【HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】 5.0版本：【HA工作模式和配置要求】、【HA选取主设备方】、【HA典型基础配置】、【HA单机配置同步、会话同步配置】、【HA的ping sever配置】、【HA集群带外管理】、【HA配置命令集】 （2）全新模块化防火墙配置HA功能 【HA工作模式和配置要求】、【HA选取主设备方法】、【HA典型基础配置】、【 HA单机配置同步配置】、【HA的IP探测功能配置】、【HA集群带外管理】、【HA配置命令集】   六、虚拟防火墙功能介绍（VDOM） 1、介绍 虚拟防火墙，是一种将一个RG-WALL设备分为两个或两个以上虚拟防火墙设备的技术，它能起到多个设备独立的作用，如全新防火墙VDOM功能，混合模式（vdom）：指设备同时工作于是路由模式和透明模式，将一个设备分成两个vdom域，一个vdom是透明模式，一个vdom是路由模式，将多个接口划入不同的vdom实现混合模式。目前仅S、M、X、E系列防火墙支持虚拟防火墙功能，Z系列的虚拟防火墙功能在不久之后就会和大家见面了，敬请期待哦。 2、配置 (1)全新防火墙（S/M/X）配置 6.0版本：【开启VDOM（混合模式部署）】、【混合模式VDOM】、【VDOM-link】 5.4版本：【开启VDOM（混合模式部署）】、【混合模式VDOM】、【VDOM-link】 5.0版本：【开启VDOM（混合模式部署）】、【混合模式VDOM】、【VDOM-link】 (2)全新模块化防火墙E系列虚拟防火墙功能配置 【虚系统如何配置】、【虚系统混合模式】 哇哦，防火墙原因有这么多的功能点可以使用，学习使我强大，加油，进击的少年！今天就分享到这了哈。