Day3 配置防火墙上网学习总结

一、 STAR表达法

在项目描述和面试中，使用STAR结构拆解表达逻辑：

• 情境 (Situation)：项目背景，例如福利彩票中心防火墙License升级项目。
• 任务 (Task)：遇到的具体任务和挑战，如解决升级特征库时遇到的缺失问题。
• 行动 (Action)：描述遇到问题时的具体行动，如打400求助、使用命令行重置等，避免平铺直叙。
• 结果 (Result)：最终解决的结果，体现个人价值与解决问题的实战能力。

二、 福利彩票遇到问题

• 没有License：向销售索要。
• 两个只有一个升级成功，另一个少了一个特征库：
  • 考虑内存不足：在HCL模拟器中默认内存仅768MB极易失败；真实环境排查时先检查存储空间（Flash），外存充足时需确认是否为内存不足。
• 打400求助：
  • License掉了：重新问销售要。
  • 通过命令行重置License：利用SSH远程登录防火墙命令行，执行重置License的命令后重新导入。
    • 需要console线连终端。
    • 但是数据中心不能接触：因此开启SSH连接终端解决。
• 协调窗口期：指业务割接或升级时预留的缓冲时间（如 10:30-11:00），以体现专业度。
• 备份防火墙。

三、 网络架构

• 等保三级标准：
  • 明文管理协议不加密不行 (telnet, http)：测评不合格需整改。
  • 网络里不能单点失效：网络出口、防火墙、核心及汇聚层均需双设备部署以满足无单点故障要求。
  • 需要网络隔离设备 (防火墙)：网络出口必须部署隔离设备，防火墙天生具备区域隔离能力。
    • 域：Trust、DMZ、Untrust。
    • NAT：解决公网IP枯竭问题。
• 保留地址：10.、172.16、192.168。
• 路由：以太网 (1000多主机在一个广播域)。
• 交换机不路由 (广播域设备)：二层交换不认IP包 (数据链路层)，基于MAC转发。
• 路由器 (NAT+路由)：三层设备，基于IP路由。传统路由器不具备隔离功能，而防火墙集成优势可直接作为出口设备。

四、 实验

1. 导入T墙

• 在虚拟机的虚拟网络编辑器看到vmnet1和vmnet8的IP。
• 四个网卡：仅主机、NAT、6、4。
• 改IP，进浏览器，改密码。

配接口

• 网络。
• 0口为内网口：10.20.30.254/24，ping测试。
• 配域：内网口为Trust。
• 1口为外网口：DHCP(自动分配IP)，改变内部DNS，从服务器重新生成网关。
• 域：外网口为Untrust。

路由

• 查路由表 (目的网络，下一跳地址)：查看有无缺省路由0.0.0.0 (any)，下一跳为网关地址 192.168.59.2 (外网网关)。
• 人为配置路由，静态路由：新建，0.0.0.0，下一跳。必须配置指向外网网关的缺省路由，否则内网无法访问外网。

NAT

• 家用路由器自动有NAT，专业设备需要配置。
• NAT规则：新建 (源地址转换)，启用，源地址any，目的地址any，服务 (FTP、HTTP)any，出接口为外网口，转换后源地址为出接口地址。描述为“外网线路共享上网”，勾选日志（按等保要求NAT日志需保留至少一年用于溯源）。

安全策略

• 缺省策略是阻止所有。
• 新建策略：启用，允许Trust到Untrust (上网)，入接口Trust，出接口Untrust，流量统计，日志 (会话开始，会话结束)。

2. 配DHCP

• 配DHCP，服务，内网口，DHCP服务器，内网自动分配，子网10.20.30.0 (网段) /24，缺省网关 10.20.30.254，IP地址10.20.30.100-10.20.30.199。
• 建一个服务器地址池：
  • 服务器，新建，内网自动分配，子网/掩码为10.20.30.0 (私有地址，最后为0是代表网段)。
  • 缺省网关10.20.30.254 (内网网关)，IP地址范围10.20.30.100-10.20.30.199 (100个地址) (范围只要在网段内为私有地址即可)。
  • 租期：始终不变的租期无限，有变化的租期有限。
  • DNS服务器：223.5.5.5 (阿里云)，8.8.8.8 (谷歌)。

3. Kali

• 快照：建议在关键配置节点创建虚拟机快照，以便快速回滚。
• 网络适配器：自定义vmnet6，与T墙内网口一致。

五、 总结

最后实现kali可以与外界联网通信。