首页 > 其他分享 >计算机网络之防火墙和Wlan配置

计算机网络之防火墙和Wlan配置

时间:2023-11-18 21:35:40浏览次数:39  
标签:profile Wlan name default 防火墙 计算机网络 ap wlan

一.防火墙

防火墙(firewall)是一种安全设备,它的位置一般处于企业网络边界与外网交界的地方,用于隔离不信任的数据包

准确点讲,它就是隔离外网和内网的一道屏障,用于保护内部资源信息安全的一种策略

防火墙的工作是基于一切不可信建立起来的,以前有一道判断题,“ 问的是防止病毒入侵最好的方式是不上网 ”,虽然我们都知道这是不理性的,不可取的,但是换一种思维,这是不是可以隔绝病毒呢?

答案是肯定的,的确可以做到,所以我们的防火墙就沿用了这一点,它不信任任何数据包,来了之后就直接丢弃,如果想要经过防火墙,我们必须要完善它的策略

这个策略决定了防火墙是否允许,或者说允许那些数据包经过,这个策略我们需要描述的就是那些数据包可以进出防火墙,描述的单位一般是,地址段、地址、端口号等

由于防火墙的默认策略是【拒绝所有】,所以没有配置允许的数据包,都会丢弃掉,这使得防火墙对于未知的攻击性数据包有很好的抵御功能,因为内部网络根本收不到这类数据包,怎么会被入侵呢

防火墙的四个区域:local,trust,untrust,dmz

local区域指的是防火墙的本地,也是可信任度最高的一个区域,也就是和防火墙直连的接口,在初始的防火墙设备中,它们是默认丢弃数据包的,在抓取数据包的时候,我们会发现,数据包到了本地接口,但是防火墙没有回应

trust区域指的是安全的,可信任的;它的可信任度仅次于本地,一般装载的都是一些内部资源数据用户,比如企业内部和公司内部,一般这个区域的用户可以有权去外部网络,但是外部网络是进不来的

dmz区域是指非军事化区,它的可信度低于trust,主要存放的就是可供内网访问的服务资源,并且也提供一部分服务给外网访问,如www服务

untrust指的是不可信任区,也就是外网所在的区域,如果没有策略或特定要求,是不能让这个区域的网络进来的

知道了这四个区域,就来了解下防火墙的配置方面,首先,防火墙也是具有路由功能的,也就是说,它是一个三层设备,所以,可以把它当作出口路由来连接,也可以作为直连路由,不管怎么连,都是需要配置IP地址的

防火墙的配置和不同的路由器又不一样,它是需要让接口进入区域的,也就是上述的那四个区域,在区域内的接口才会生效,默认是不会进入任何区域的,都需要手动加入

二.防火墙的配置(eNSP)

实操目标:

  1. 配置防火墙的四个区域
  2. 允许trust区域访问untrust
  3. 允许trust区域访问dmz
  4. 允许untrust访问dmz的www服务

 trust区域对应内网,untrust对应外网,dmz对应服务器区,local就是防火墙自己的接口

在配置防火墙时,需要保证除了local区域,其它区域都是内部可通信的

防火墙的配置:

第一步:由于防火墙是三层设备,所以依旧先给接口配置地址

interface GigabitEthernet1/0/0
 ip address 192.168.40.2 255.255.255.0
 service-manage ping permit
interface GigabitEthernet1/0/1
 ip address 202.202.100.1 255.255.255.0
interface GigabitEthernet1/0/2
 ip address 172.16.37.254 255.255.255.0

 

第二步:让防火墙的各自接口进入自己的区域

firewall zone trust
 add interface GigabitEthernet1/0/0
firewall zone untrust
 add interface GigabitEthernet1/0/1
firewall zone dmz
 add interface GigabitEthernet1/0/2

 

第三步:依旧需要宣告各个网段,但是注意,外网使用rip,内部网络使用ospf

真正的网络构建时,我们也只是考虑内网,外网是不需要我们管的,在出外网时,只需要使用默认路由将数据包丢到外部,实验环境只是保证untrust是通的才使用rip宣告

ospf 1
 default-route-advertise always
 area 0.0.0.0
  network 172.16.37.0 0.0.0.255
  network 192.168.40.0 0.0.0.255
rip 1
 default-route originate
 network 202.202.100.0

 

第四步:制定策略

  • 允许trust访问untrust区域
 rule name 1
  source-zone trust
  destination-zone untrust
  action permit
  • 允许trust访问dmz区域
 rule name 2
  source-zone trust
  destination-zone dmz
  action permit

 

  • 允许untrust访问dmz区域的www服务
 rule name 3
  source-zone untrust
  destination-zone dmz
  service http
  action permit

 

第五步:优化三个网络的访问部分

  • 内网去外网需要将私有地址转为公有地址
nat-policy
 rule name nat1
  source-zone trust
  destination-zone untrust
  action source-nat easy-ip

 

  • www服务映射到防火墙的出口地址,避免外网数据进入到dmz区域
 nat server 1 protocol tcp global 202.202.100.1 www inside 172.16.37.1 www

 

三.抓包分析

  • 首先看看防火墙的默认配置,也就是不加策略

 如上图:

在不加策略的情况下,防火墙是可以收到数据包的,但是它会直接丢弃掉,不会回应

这就是防火墙的默认拒绝所用报文,以防范未知危险

  • 允许trust区域访问untrust

  • 允许untrust访问dmz的www服务

 四.wlan

 WLAN是Wireless Local Area Networks的缩写,即无线局域网。它利用无线通信技术在一定的局部范围内建立的网络,其范围通常在几十米到几公里以内

配置无线wlan的模式有两种,一种是胖AP,一种是AC+瘦AP

胖AP,即信号发射器自己即需要发射无线信号,还需要实现主机IP地址分配和相关信息配置

AC+瘦AP,即AC负责AP的配置和主机地址分配,AP负责从AC拿取已经配置好的模板,并且发射无线信号

这里我么使用的是AC+瘦AP模式

 配置交换机LSW4:

sysname LSW4
vlan batch 100 to 101
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

 

AP不需要配置,模板由AC下发

配置AC:

 sysname AC
#配置vlan
vlan batch 100 to 101
interface Vlanif100
 ip address 192.168.100.2 255.255.255.0
#配置接口信息
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#AP上线
wlan
 traffic-profile name default
 security-profile name default
 security-profile name password
  security wpa psk pass-phrase %^%#&#:^:j;QkREIW'Lx^@;D|cy;2s{;%M2)=#NC/"'V%^%# 
aes
 security-profile name default-wds
 security-profile name default-mesh
 ssid-profile name wlan1
  ssid wlan1
 ssid-profile name default
 vap-profile name model1
  forward-mode tunnel
  service-vlan vlan-id 101
  ssid-profile wlan1
  security-profile password
 vap-profile name default
 wds-profile name default
 mesh-handover-profile name default
 mesh-profile name default
 regulatory-domain-profile name cn1
 regulatory-domain-profile name default
 air-scan-profile name default
 rrm-profile name default
 radio-2g-profile name default
 radio-5g-profile name default
 wids-spoof-profile name default
 wids-profile name default
 wireless-access-specification
 ap-system-profile name default
 port-link-profile name default
 wired-port-profile name default
 serial-profile name preset-enjoyor-toeap 
 ap-group name ap-100
  regulatory-domain-profile cn1
  radio 0
   vap-profile model1 wlan 1
  radio 1
   vap-profile model1 wlan 1
  radio 2
   vap-profile model1 wlan 1
 ap-group name default
 ap-id 0 type-id 69 ap-mac 00e0-fc57-3c20 ap-sn 210235448310DE31A007
  ap-name ap0
  ap-group ap-100
 provision-ap

 

有关AP上线的部分就是一个模板,下面是AP上线的详解

配置AP上线
1.配置域管理模板,由系统模式进入wlan视图,首先绑定时区,我们在中国,就绑定中国的时区

[AC1]wlan
[AC1-wlan-view]regulatory-domain-profile name domain1
[AC1-wlan-regulate-domain-domain1]country-code CN

2.创建AP组,这是一个AP组用于集中管理一些AP,并且把刚刚的时区给绑定这个组内

[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile domain1

3.配置AC源接口,配置管理Vlan,只要是这个vlan发送的数据包,都是AP和AC维持稳定的报文
需要在AC的系统模式下配置

[AC1]capwap source interface Vlanif 14

4.配置AP认证
在AC上导入AP,采用默认的mac认证,将AP加入AP组

[AC1]wlan
[AC1-wlan-view]ap auth-mode mac-auth
[AC1-wlan-view]ap-mac 00e0-fcae-2560 ap-id 0
[AC1-wlan-ap-0]ap-group ap-group1
[AC1-wlan-ap-0]ap-name ap0


5.配置WLAN业务
(1)配置安全模板,也就是连接wlan的密码

[AC1-wlan-view]security-profile name employee1
[AC1-wlan-sec-prof-employee1]security wpa psk pass-phrase 12345678 aes

(2)配置SSID模板,配置wlan的名称,连接的时候区分

[AC1-wlan-view]ssid-profile name wlanName
[AC1-wlan-ssid-prof-employee1]ssid wlanName

(3)配置vap模板,将模板都装配在vap上,由AC统一下发到范围内的AP中

[AC1-wlan-view]vap-profile name employee1
[AC1-wlan-vap-prof-employee1]forward-mode tunnel //业务转发模式为隧道模式
[AC1-wlan-vap-prof-employee1]security-profile employee1 //引用安全模板
[AC1-wlan-vap-prof-employee1]service-vlan vlan-id 16 //配置业务vlan,连接无线所在的Vlan
[AC1-wlan-vap-prof-employee1]ssid-profile wlanName //引用ssid模板

(4)配置AP组引用vap模板,ap射频0和1都使用vap模板的配置
进入一个组内,下发vap模板

[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]vap-profile employee1 wlan 1 radio all

radio all:
0:2.4Ghz
1:5Ghz
2:备用5Ghz
all = 0,1,2

 

标签:profile,Wlan,name,default,防火墙,计算机网络,ap,wlan
From: https://www.cnblogs.com/5ran2yl/p/17840813.html

相关文章

  • centos8防火墙策略
    1、查看当前已打开的端口:sudofirewall-cmd--list-ports2、开放端口sudofirewall-cmd--zone=public--add-port=80/tcp--permanent3、关闭端口sudofirewall-cmd--zone=public--remove-port=80/tcp--permanent4、重新加载防火墙规则sudofirewall-cmd--relo......
  • Debian关闭防火墙命令详解
    防火墙是保护计算机系统安全的关键组件。在一些情况下,需要关闭防火墙,以允许特定的应用程序或服务访问网络。在Debian系统中关闭防火墙的方法多种多样,本文将从多个方面对Debian关闭防火墙命令进行详细阐述。一、Debian关闭防火墙命令行在Debian系统中,可以通过命令行关闭防火墙。......
  • LINUX防火墙与端口
    LINUX防火墙与端口查看firewalld状态systemctlstatusfirewalld开启firewalldsystemctlstartfirewalld关闭firewalldsystemctlstopfirewalld刷新firewalldfirewall-cmd--reload开放80端口firewall-cmd--zone=public--add-port=80/tcp--permanentfire......
  • 计算机网络实验4
    步骤一:创建虚拟网络拓扑步骤二:为虚拟网络中的各路由器配置静态路由步骤三:关闭网卡步骤四:步骤五:创建一个3500字节长度的文件命名为3500.0步骤六:在主机ns57c上启动wireshark,并在ns57C后台启动Wireshark步骤七:在两个主机上启动tcp服务程序,将主机ns57C上的3500.0文件读......
  • 宝塔-屏蔽IP地址及IP段的规则及如何添加宝塔防火墙/安全组
    1、IP地址及IP地址段的写法记住以下这些IP地址的书写规则某个IP地址:192.168.0.100IP地址段:192.168.0.100-192.168.0.200(100-200之间的全部IP地址)192.168.0.0/24(屏蔽192.168.0开头的全部IP地址)192.168.0.0/16(屏蔽192.168开头的全部IP地址)192.168.0.0/8(屏蔽192开......
  • CentOS 7.9 防火墙启动报错--Process: 12848 ExecStart=/usr/sbin/firewalld --nofork
    原因:配置防火墙策略过程中,多次启停防火墙,导致防火墙启动报错报错截图: 排查:python版本是一致的,有一个遗留的防火墙进程防火墙正常关闭后没有这个进程 解决办法:杀掉这个进程,启动防火墙  ......
  • 美国服务器的防火墙使用注意事项有哪些
    在使用美国服务器时,确保防火墙的正确配置和使用是确保网络安全的关键。以下是使用防火墙时需要注意的几个重要方面:1.规则设置:合适的规则:确保防火墙设置适当的规则,限制不必要的流量进出服务器,避免未经授权的访问。精细化配置:需要精细化配置规则,以允许必要的流量,同时阻止潜在的恶意......
  • 常见面试题-计算机网络相关
    1.OSI七层模型?OSI七层模型:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层TCP/IP五层模型:应用层、传输层、网络层、链路层、物理层应用层应用层是由网络应用程序使用的,是离用户最近的一层应用层通过各种协议,为网络应用提供服务,常见协议如下:FTP-文件传输协议HTTP/......
  • 内网渗透-防火墙出入规则上线-正反向连接+隧道技术-SMB+防火墙控制
    环境:如下图 不出网-控制上线-CS-反向连接前提:已经使用攻击机通过漏洞拿下了windows7主机,又通过windows7正向连接拿下了windows10。 目的:让windows2008在cs上线。      想要通过windows10正向连接拿下windows2008时,发现windows2008开启了防火墙对入站规则做了限制,无法正向......
  • Centos8开放防火墙相关端口操作
    原文地址:https://blog.csdn.net/qq_36093146/article/details/131520827查看防火墙某个端口是否开放[root@test/]#firewall-cmd--query-port=3306/tcp开放防火墙端口3306#注意:开放端口后要重启防火墙生效[root@test/]#firewall-cmd--zone=public--add-port=3306/tcp--p......