一、 初識(shí)網(wǎng)絡(luò)防火墻1.1、防火墻的基本功能我們這里說(shuō)的防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備,它在網(wǎng)絡(luò)中起到兩個(gè)最基本的功能:
· 劃分網(wǎng)絡(luò)的邊界
· 加固內(nèi)網(wǎng)的安全
**劃分網(wǎng)絡(luò)的邊界**防火墻設(shè)備的其中一個(gè)功能,就是劃分網(wǎng)絡(luò)的邊界,嚴(yán)格地將網(wǎng)絡(luò)分為"外網(wǎng)"和"內(nèi)網(wǎng)"。"外網(wǎng)"則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò),不受信任的網(wǎng)絡(luò)"內(nèi)網(wǎng)"則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò),受信任的網(wǎng)絡(luò)你可以這么打一個(gè)比喻:如果把網(wǎng)絡(luò)比作一個(gè)城市,那么"內(nèi)網(wǎng)"就是你的小區(qū)內(nèi)部,"外網(wǎng)"就是城市道路小區(qū)的圍墻就相當(dāng)于是防火墻,起到了一個(gè)隔離"內(nèi)部環(huán)境"和"外部環(huán)境"的功能
并且呢,任何一個(gè)防火墻設(shè)備,在設(shè)計(jì)上就會(huì)強(qiáng)制把"內(nèi)部"和"外部"的概念。應(yīng)用在接口上從內(nèi)部訪問(wèn)外部默認(rèn)情況下是允許的,但是從外部訪問(wèn)內(nèi)部默認(rèn)情況下是禁止的(需要設(shè)置相關(guān)策略才能從外部到內(nèi)部訪問(wèn)。)這種情況就像你到任何一個(gè)小區(qū)或者單位,你從里面出來(lái)的時(shí)候門(mén)衛(wèi)一般不管你,但是如果想從外面進(jìn)去,那可就不是那么回事了哦。
**加固網(wǎng)絡(luò)的安全**剛才說(shuō)到了防火墻的其中一個(gè)功能,就是網(wǎng)絡(luò)流量流向的問(wèn)題(內(nèi)到外可以訪問(wèn),外到內(nèi)默認(rèn)不能訪問(wèn)),這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性,那就是:"內(nèi)網(wǎng)屬于私有環(huán)境,外人非請(qǐng)莫入!"另外,防火墻還能從另外一些方面來(lái)加固內(nèi)部網(wǎng)絡(luò)的安全**1、隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?*這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會(huì)使用私有IP地址,而互聯(lián)網(wǎng)是Internet的IP地址。由于在IPv4環(huán)境下IP地址不足,內(nèi)部使用大量的私有地址,轉(zhuǎn)換到外部少量的Internet地址,這樣的話,外部網(wǎng)絡(luò)就不會(huì)了解到內(nèi)部網(wǎng)絡(luò)的路由,也就沒(méi)法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕M瑫r(shí),防火墻上還會(huì)使用NAT技術(shù),將內(nèi)部的服務(wù)器映射到外部,所以從外部訪問(wèn)服務(wù)器的時(shí)候只能了解到映射后的外部地址,根本不會(huì)了解到映射前的內(nèi)部地址。
**2、帶有安全檢測(cè)防御**這種功能并不是每一款防火墻都有安全檢測(cè)系統(tǒng)(intrusion detection system,簡(jiǎn)稱(chēng)"IDS")是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。 **3、會(huì)話日志功能**防火墻都有"會(huì)話記錄"功能,每一個(gè)數(shù)據(jù)包在經(jīng)過(guò)防火墻之后,都可以在防火墻的會(huì)話表中查詢(xún)到歷史訪問(wèn)記錄。比如10.112.100.101的主機(jī)在訪問(wèn)外部網(wǎng)絡(luò)的時(shí)候,只要它訪問(wèn)成功,都會(huì)被防火墻所記錄下來(lái)。如果是外部主機(jī)訪問(wèn)內(nèi)部呢?當(dāng)然,在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后,可以在防火墻上查到從外到內(nèi),到底是哪個(gè)IP地址非法闖入了。如果確實(shí)有外部非法闖入內(nèi)部的訪問(wèn),也可以追查防火墻的安全策略設(shè)置,看看哪一條安全策略的設(shè)置有問(wèn)題。雖然這看起來(lái)是一種"亡羊補(bǔ)牢"的做法,但是能查到危害源,總比你什么都查不到要好啊。1.2、防火墻在企業(yè)環(huán)境的應(yīng)用1、互連網(wǎng)出口設(shè)備這估計(jì)是大家最能想到的一種用途吧。因?yàn)镮nternet就是一個(gè)最典型的"外網(wǎng)",當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時(shí)候,為了保證內(nèi)部網(wǎng)絡(luò)不受來(lái)自外部的威脅侵害,就會(huì)在互聯(lián)網(wǎng)出口的位置部署防火墻。
2、分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備在電力行業(yè)、金融行業(yè)等大型跨地,跨省的企業(yè)時(shí),為了企業(yè)中各個(gè)省級(jí)、地市級(jí)單位的內(nèi)部數(shù)據(jù)通信通常都會(huì)自建一張骨干網(wǎng)絡(luò)。在每個(gè)省級(jí)、地市級(jí)單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時(shí),就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻,進(jìn)一步提高每個(gè)單位的辦公網(wǎng)絡(luò)安全性。
3、數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的,同時(shí)數(shù)據(jù)中心內(nèi)會(huì)放置各種各樣功能不一的服務(wù)器。想要保證數(shù)據(jù)的安全,首先就要保證這些服務(wù)器的安全。物理上的安全嘛,你就防火防水防賊唄,應(yīng)用上的安全,找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止,防止非授權(quán)人員操作服務(wù)器,就需要到防火墻來(lái)發(fā)揮作用了。一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi),會(huì)根據(jù)不同的功能來(lái)決定服務(wù)器的分區(qū),然后在每個(gè)分區(qū)和核心設(shè)備的連接處部署防火墻。
## 1.3、并不是任何場(chǎng)合都適合部署防火墻誰(shuí)都知道安全性和方便性有時(shí)候會(huì)有那么一些沖突。你去坐飛機(jī),會(huì)經(jīng)過(guò)非常嚴(yán)格的安檢,沒(méi)個(gè)十幾二十分鐘完成不了;但是在坐高鐵,火車(chē)或者大巴的時(shí)候,安檢可能就沒(méi)那么嚴(yán)格了。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備,部署在網(wǎng)絡(luò)中會(huì)對(duì)穿過(guò)防火墻的數(shù)據(jù)包進(jìn)行攔截,然后確定它符合策略要求以后才會(huì)放行。這會(huì)對(duì)網(wǎng)絡(luò)傳輸效率造成一定影響。所以在一些十幾個(gè)人的小公司或者是網(wǎng)絡(luò)功能單一的環(huán)境(網(wǎng)絡(luò)就是用來(lái)上網(wǎng)用的)是不會(huì)使用防火墻的。加上企業(yè)級(jí)防火墻價(jià)格一般比較高(十幾萬(wàn)到一百多萬(wàn)不等的價(jià)格),在那些以節(jié)約成本為先的偏小型私人企業(yè)一般不會(huì)使用防火墻。所以防火墻一般用于數(shù)據(jù)中心,大型企業(yè)總部,國(guó)有企業(yè)省級(jí)、地區(qū)級(jí)辦公機(jī)構(gòu),帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。二、防火墻的生廠商根據(jù)防火墻的部署方式,防火墻分為硬件防火墻和軟件防火墻兩種。硬件防火墻:防火墻是一臺(tái)網(wǎng)絡(luò)設(shè)備,獨(dú)立上架安裝使用。下圖為大家展示了思科的硬件防火墻,Cisco ASA和Cisco Firepower
軟件防火墻:用一臺(tái)多網(wǎng)卡服務(wù)器,安裝windows或linux操作系統(tǒng),再在操作系統(tǒng)上安裝與防火墻相關(guān)的功能軟件。下圖為大家展示Microsoft ISA正在發(fā)布Exchange服務(wù)器
硬件防火墻的生產(chǎn)商很多,但是在國(guó)內(nèi)大多數(shù)都是用以下幾種產(chǎn)品:
捷哥列出這些生產(chǎn)商也只是其中一部分,上述廠商的防火墻捷哥都接觸過(guò),但是經(jīng)常遇到的還是Cisco ASA,Juniper SRX,華為USG,天融信NGFW,迪普DPTec-FW1000這些設(shè)備。這里捷哥本人也不敢亂說(shuō)誰(shuí)好誰(shuí)壞吧,只是經(jīng)過(guò)一段時(shí)間的觀察,發(fā)現(xiàn)了這樣一個(gè)小小規(guī)律:一般來(lái)說(shuō)Cisco ASA和Juniper SRX,華為USG,H3C FW,迪普FW系列用作內(nèi)網(wǎng)防火墻較多,而天融信和深信服系列更多用于互聯(lián)網(wǎng)出口。軟件防火墻一般都是由軟件公司生產(chǎn):Windows 自帶的防火墻(一般Windows都作終端使用,很少讓其作為路由設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù))Linux自帶的防火墻(Netfilter,管理工具叫IPtables)ISA/TMG(微軟軟件)Squid(開(kāi)源軟件,更多的情況用于代理服務(wù)器)## 三、防火墻的分類(lèi)防火墻按照功能和級(jí)別的不同,一般分類(lèi)這么三類(lèi):* 包過(guò)濾型防火墻* 狀態(tài)檢測(cè)型防火墻* 代理型防火墻## 3.1、包過(guò)濾型防火墻這種防火墻只能實(shí)現(xiàn)最基礎(chǔ)的包過(guò)濾功能,按照既定的訪問(wèn)控制列表對(duì)數(shù)據(jù)包的三、四層信息進(jìn)行控制,詳細(xì)一點(diǎn)就是:三層信息:源IP地址,目標(biāo)IP地址四層信息:源端口,目標(biāo)端口這種情況其實(shí)用一個(gè)路由器或者三層交換機(jī),配置ACL就能實(shí)現(xiàn)只有符合了條件的數(shù)據(jù)包才能被放行,不符合條件的數(shù)據(jù)包無(wú)論如何都不會(huì)被放行。但是包過(guò)濾型防火墻的性質(zhì)就是那么"教條"與"頑固不化"!
如果是使用一個(gè)路由器,強(qiáng)行設(shè)置"從外部到內(nèi)部拒絕所有流量"會(huì)有什么后果呢?
當(dāng)然,外部的流量全部被ACL阻止了,但是這么設(shè)置在某些場(chǎng)合會(huì)造成網(wǎng)絡(luò)通信故障:比如內(nèi)部的主機(jī)訪問(wèn)外部TCP協(xié)議的服務(wù),需要經(jīng)過(guò)三次握手,其中第二次握手的流量就是從外部到內(nèi)部的,如果單使用一個(gè)路由器的ACL實(shí)現(xiàn)包過(guò)濾,并且在外部接口配置拒絕所有流量進(jìn)入,就會(huì)導(dǎo)致三次握手無(wú)法完成,從而內(nèi)部主機(jī)訪問(wèn)不到外部的服務(wù)。
第一次握手,內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問(wèn)外部的WebServer`200.100.1.2的TCP 80`三層信息源IP地址:10.112.100.101目標(biāo)IP地址:200.100.1.2源端口:TCP 10025目標(biāo)端口:TCP 80由于內(nèi)部接口放行所有流量,所以這個(gè)第一次握手的流量被放行了
第二次握手,外部主機(jī)200.100.1.2的被動(dòng)地TCP 80發(fā)出相應(yīng),將第二次握手的數(shù)據(jù)包傳回到10.112.100.101的TCP 10025端口上,此時(shí)三層信息源IP地址:200.100.1.2目標(biāo)IP地址:10.112.100.101源端口:TCP 80目標(biāo)端口:TCP 10025但是外部接口拒絕了所有流量的進(jìn)入,所以這個(gè)第二次握手的包無(wú)法送到內(nèi)部主機(jī),導(dǎo)致三次握手無(wú)法完成。從而主機(jī)就沒(méi)法訪問(wèn)外部Web Server了
由于TCP連接時(shí),內(nèi)部主機(jī)在發(fā)起第一次握手時(shí)總是以隨機(jī)端口進(jìn)行連接,所以你在外部也沒(méi)法針對(duì)相應(yīng)的端口進(jìn)行流量的放行,但是如果把外部接口也改為permit ip any any,又會(huì)導(dǎo)致內(nèi)部主機(jī)容易受到外部的侵害。
說(shuō)到這里,捷哥想說(shuō)一句題外話曾經(jīng)有一個(gè)學(xué)員網(wǎng)友問(wèn)了我一個(gè)問(wèn)題,說(shuō)是在企業(yè)部署了一臺(tái)Cisco 6509交換機(jī)作為匯聚設(shè)備。但是他又想實(shí)現(xiàn)這樣的一個(gè)功能,看圖吧:
網(wǎng)友的意思是,想在Gi 2/1接口上做一些控制,只允許來(lái)自核心方面的流量訪問(wèn)辦公區(qū)域的一些特定端口,其他的全部禁止訪問(wèn),問(wèn)我在這個(gè)Cisco 6509上怎么做。我告訴他的是:"如果設(shè)備是交換機(jī)的話,你這個(gè)操作沒(méi)法做。因?yàn)檗k公區(qū)的電腦訪問(wèn)外網(wǎng)或者內(nèi)網(wǎng)服務(wù)器的時(shí)候,會(huì)打開(kāi)一些隨機(jī)端口,你就沒(méi)法知道這些隨機(jī)端口是什么。如果你隨便在Gi 2/1接口上去做限制,會(huì)導(dǎo)致你辦公區(qū)域的電腦根本沒(méi)法上網(wǎng)。"## 3.2、狀態(tài)檢測(cè)型防火墻狀態(tài)檢測(cè)型防火墻就是為了解決"傻×"的包過(guò)濾型防火墻而存在的。它比包過(guò)濾型防火墻還多了一層"狀態(tài)檢測(cè)"功能。狀態(tài)化檢測(cè)型防火墻可以識(shí)別出主動(dòng)流量和被動(dòng)流量,如果主動(dòng)流量是被允許的,那么被動(dòng)流量也是被允許的。例如TCP的三次握手中,第一次流量是主動(dòng)流量,從內(nèi)到外,第二次流量就是從外到內(nèi)的被動(dòng)流量,這可以被狀態(tài)監(jiān)測(cè)型防火墻識(shí)別出并且放行。狀態(tài)監(jiān)測(cè)型防火墻會(huì)有一張"連接表",里面記錄合法流量的信息。當(dāng)被動(dòng)流量彈回時(shí),防火墻就會(huì)檢查"連接表",只要在"連接表"中查到匹配的記錄,就會(huì)放行這個(gè)流量
第一次握手,內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問(wèn)外部的WebServer200.100.1.2的TCP 80三層信息源IP地址:10.112.100.101目標(biāo)IP地址:200.100.1.2源端口:TCP 10025目標(biāo)端口:TCP 80由于內(nèi)部接口放行所有流量,所以這個(gè)第一次握手的流量被放行了但此時(shí),防火墻在連接表中生成了如下內(nèi)容:
第二次握手時(shí),是外部主機(jī)被動(dòng)彈回的流量源地址(外部):200.100.1.2源端口(外部):TCP 80目標(biāo)地址(內(nèi)部):10.112.100.101目標(biāo)端口(內(nèi)部):TCP 10025此時(shí),防火墻會(huì)暫時(shí)攔截流量,然后檢查連接表,看看內(nèi)部主機(jī)的IP和端口,外部主機(jī)的IP和端口是否與連接表中記錄的相同,如果相同,它就會(huì)放行這個(gè)流量。當(dāng)然,形成連接表記錄的先決條件是:主動(dòng)發(fā)起訪問(wèn)一端的流量要符合防火墻的安全策略要求,也就是說(shuō)內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)不被明確拒絕,外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)被明確允許。只有連接表內(nèi)記錄了內(nèi)外主機(jī)和IP端口信息的,被動(dòng)彈回的流量才會(huì)被防火墻放行。如果是外部主動(dòng)發(fā)起的流量,而防火墻又沒(méi)有允許它訪問(wèn)內(nèi)部,由于是外部主動(dòng)發(fā)起的流量,所以防火墻的連接表里沒(méi)有相應(yīng)的信息,這就會(huì)遭到防火墻的拒絕。從而達(dá)到既保證了內(nèi)部到外部的正常通信,又使得內(nèi)部主機(jī)不受到外部的侵犯,這就是狀態(tài)檢測(cè)型防火墻的魅力所在。目前主流的硬件防火墻幾乎都支持狀態(tài)監(jiān)測(cè)功能。## 3.3、代理型防火墻代理型防火墻一般是一個(gè)安裝在多網(wǎng)卡服務(wù)器上的軟件,擁有狀態(tài)監(jiān)測(cè)的功能,但是多了一項(xiàng)功能就是代理服務(wù)器功能。一般有正向代理和反向代理兩種功能:**正向代理**正向代理用于內(nèi)部主機(jī)訪問(wèn)Internet服務(wù)器的時(shí)候,特別是Web服務(wù)的時(shí)候很管用。當(dāng)內(nèi)部主機(jī)第一次訪問(wèn)外部的Web服務(wù)器時(shí),代理服務(wù)器會(huì)將訪問(wèn)后的內(nèi)容放在自己的"高速緩存"中,當(dāng)內(nèi)部主機(jī)再次訪問(wèn)該Web服務(wù)器的時(shí)候,如果有相同的內(nèi)容,代理服務(wù)器就會(huì)將這個(gè)訪問(wèn)定位到自己的高速緩存,從而提升內(nèi)部主機(jī)的訪問(wèn)速度。
代理型防火墻的代理功能可以在內(nèi)部主機(jī)訪問(wèn)Web數(shù)據(jù)的時(shí)候,起到一個(gè)緩存加速的情況。但是這種防火墻因?yàn)槭前惭b在一臺(tái)服務(wù)器上的軟件,其性能受到服務(wù)器本身的限制。所以對(duì)于一些實(shí)時(shí)性的數(shù)據(jù),或者是從網(wǎng)上下載文件到本地,就可能會(huì)被防火墻拖慢網(wǎng)速。目前代理型防火墻在企業(yè)一般很少用于正向代理或者是出口網(wǎng)關(guān)設(shè)備,倒是反向代理更多。**反向代理**反向代理和正向代理有點(diǎn)類(lèi)似,只不過(guò)訪問(wèn)的方向是外部到內(nèi)部。當(dāng)外部主機(jī)要訪問(wèn)內(nèi)部發(fā)布的某個(gè)服務(wù)器的時(shí)候,不會(huì)讓它把訪問(wèn)目標(biāo)定位到內(nèi)部服務(wù)器上,而是反向代理設(shè)備上。反向代理設(shè)備會(huì)從真實(shí)的服務(wù)器上抽取數(shù)據(jù)到自己的緩存中,起到保護(hù)真實(shí)服務(wù)器的功能。反向代理一般單獨(dú)部署,不和狀態(tài)檢測(cè)防火墻部署在一起,各自實(shí)現(xiàn)各自的功能。
反向代理在一定程度上可以保護(hù)內(nèi)部的真實(shí)服務(wù)器,即使遭到危險(xiǎn),也是反向代理被危及被破壞的數(shù)據(jù)也是緩存。并且反向代理服務(wù)器上可能會(huì)記錄對(duì)方的危險(xiǎn)方式,找出網(wǎng)絡(luò)系統(tǒng)中存在的缺陷,提醒管理員即使封阻漏洞,修復(fù)缺陷。
# 四、關(guān)于防火墻的學(xué)習(xí)方法## 4.1、理解原理,掌握技巧(了解原理,查閱手冊(cè))因?yàn)榉阑饓ιa(chǎn)廠商比較多,把每個(gè)廠商的防火墻的配置命令和設(shè)置方式都拿出來(lái)一個(gè)一個(gè)的說(shuō),這個(gè)非常不現(xiàn)實(shí)。因?yàn)樵谄髽I(yè)內(nèi)部的防火墻都是生產(chǎn)環(huán)境,我不可能那生產(chǎn)環(huán)境的防火墻來(lái)給大家做試驗(yàn)品,一來(lái)這可能導(dǎo)致網(wǎng)絡(luò)故障(責(zé)任我背不起啊!)二來(lái)我和客戶(hù)簽了保密協(xié)議,出于職業(yè)道德我也不能把這些配置都展示給大家。進(jìn)口防火墻產(chǎn)品因?yàn)槭侨⑽牡氖謨?cè)復(fù)雜,但是有著一套比較完善的模擬器系統(tǒng),可以幫助大家理解防火墻的特性和配置方式,所以,捷哥在這個(gè)專(zhuān)欄里面,著重用兩款進(jìn)口產(chǎn)品(Cisco和Juniper)為大家展示防火墻特性的一些配置及驗(yàn)證。國(guó)內(nèi)的防火墻產(chǎn)品,捷哥也會(huì)在專(zhuān)欄的文章里面體現(xiàn)到。因?yàn)閲?guó)內(nèi)的產(chǎn)品缺少模擬器,而且實(shí)際環(huán)境多半是Web界面進(jìn)行配置,所以對(duì)于國(guó)內(nèi)的防火墻產(chǎn)品捷哥重點(diǎn)是教大家如何去查閱手冊(cè)(國(guó)內(nèi)產(chǎn)品一定是全中文手冊(cè),非常容易看懂)。## 2、抓住重點(diǎn),切勿混淆這一點(diǎn)是針對(duì)于學(xué)過(guò)路由交換的讀者說(shuō)的。曾經(jīng)捷哥在51cto學(xué)院出了一個(gè)跟Juniper相關(guān)的視頻課程,結(jié)果被人打了差評(píng),原因就是我沒(méi)有講在防火墻上如何配置OSPF、BGP這些路由協(xié)議。在這里我必須給大家強(qiáng)調(diào)一下,因?yàn)榉阑饓淖畛醯脑O(shè)計(jì)上來(lái)講,就是為了作為網(wǎng)絡(luò)邊界設(shè)備和安全設(shè)備。防火墻的工作重點(diǎn)是在處理包過(guò)濾及狀態(tài)化會(huì)話,以及兼顧一些安全檢測(cè)的功能,對(duì)路由處理能力并不強(qiáng)。在實(shí)際的企業(yè)部署中,一般是不會(huì)在防火墻上去跑動(dòng)態(tài)路由的。所以,學(xué)習(xí)防火墻,重點(diǎn)技術(shù)就是在安全策略,NAT,以及一些安全的配置還有防火墻雙機(jī)熱備上面。## 3、經(jīng)驗(yàn)只可借鑒不可照搬防火墻位于網(wǎng)絡(luò)的關(guān)鍵位置,特別是數(shù)據(jù)中心的防火墻。一般來(lái)說(shuō),在企業(yè)中運(yùn)維防火墻的話,防火墻的變更操作會(huì)很多,一般都會(huì)在安全策略,ACL的地方進(jìn)行變更操作。所以要玩好防火墻,技術(shù)之外的技巧,例如腳本技巧,文本技巧要大于技術(shù)之內(nèi)。捷哥會(huì)給大家介紹一些如何去對(duì)一些陌生的防火墻廠商的快速上手技巧,大家可以靈活借鑒,但不可生搬硬套哦。還有呢,防火墻很多時(shí)候查看多余配置。對(duì)于進(jìn)口防火墻來(lái)說(shuō),如何在全英文的界面下抓住重點(diǎn),從查看到的內(nèi)容中找到關(guān)鍵信息和關(guān)鍵參數(shù),這也是需要一點(diǎn)點(diǎn)小小的技巧的。當(dāng)然啦,大家不要只盯著configure,學(xué)會(huì)show和display也同樣重要。
