华为防火墙USG5500

华为防火墙USG5500
重点:什么是防火墙;防火墙基础;防火墙功能配置
一.什么是防火墙:
1.什么是防火墙:
防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。
2.对比交换机路由器及防火墙:
1)交换机:组建局域网、通过二层或三层交换快速转发报文;
2)路由器:连接不同网络、通过路由协议实现互联互通、确保报文转发到目的地;
3)防火墙:部署在边界,对进出网络的访问行为进行控制,安全防护是核心特性;
总结:路由器和交换机的本质是转发,防护墙的本质是控制。
3.防火墙发展历史及特点:
1)访问控制越来越精确;
2)防护能力越来越强;
3)处理性能越来越高;
4.防火墙接口、网络和安全区域的关系:
1)安全区域(security zone):简称区域(zone)是一个或多个接口的集合,作用是划分网络、标识表文流动的“路线”;当报文在不同安全区域之间流动时才会受到控制;
2)防火墙接口、网络、安全区域的关系:接口连接网络、接口再加入到区域,实现通过接口把安全区域和网络关联起来,通常说某个安全区域即表示安全区域中接口所在网络;(注意华为防火墙,一个接口只能加入到一个安全区域)
3)华为防火墙默认安全区域:
trust区域:受信任程度高,通常为内部用户所在网络;
DMZ区域:受信任程度中等,通常为内部服务器所在网络;
untrust区域:不受信任的网络,通常为Internet等不安全的网络;
local区域:防火墙本身,凡是由防火墙主动发出的报文均为local区域发出,凡是需要防火墙响应并处理(非转发)的报文均为local区域接收;local区域不能添加任何接口;
4)安全级别(受信任程度):1-100(数越大越可信)、local=100、trust=85、DMZ=50、untrust=5;
5)报文在两个安全区域之间流动的规则:
inbound(入方向):报文从低级别的安全区域向高级别的安全区域流动;
outbound(出方向):报文从高级别的安全区域向低级别的安全区域流动;
6)防火墙通过安全级别划分等级明确的区域,连接各个网络,实现各个网络之间流动的报文(数据传输流向)实施控制。
5.防火墙如何判断报文在哪两个区域之间流动?
1)确认目的安全区域:查表(路由表、MAC地址表)确认转发的接口,接口所在的区域即为目的安全区域;
2)确认原安全区域:反查路由表确认原安全区域;
注意:确定报文的源和目的安全区域是精确配置安全策略的前提条件。
二.华为防火墙基础配置:
1.华为防火墙配置安全区域:
系统试图:新建或进入安全区域:firewall zone name 区域的名称
区域试图:设置安全级别(0-100):set prio 安全级别
区域试图:添加接口到区域:add int 接口编号
系统试图:查看区域配置:display zone
2.状态检测防火墙:
状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。为数据流的第一个报文建立会话,数据流内的后续报文直接配置会话转发,不需要再进行规则的检查,提高转发效率。
3.防火墙会话:
1)会话:通信双方建立的连接在防火墙上的具体体现,代表两者的连接状态,一条会话表示通信双方的一个连接,防火墙上的多条会话的集合叫做会话表(session table);
2)五元组:一条连接(即一个会话)由源地址、源端口、目的地址、目的端口和协议五个元素唯一确认,即只要这5个元素相同的报文即可任务属于同一条会话流。没有目标端口的协议防火墙使用固定值,如ICMP:ID=源端口、2048=目的端口;IPSsec(×××:AH认证头/ESP:封装安全载荷):源、目的端口=0.
4.华为防火墙排错命令:
系统试图:查看区域:display zone
系统试图:查看丢包:dis firewall statistic system discard
系统试图:查看会话表:dis Firewall session table verbose
系统试图:修改dns老化时间为3秒:firewall session aging-time dns 3(内网有大量dns查询,修改老化时间,避免内存耗尽)
三.防火墙功能配置:
1.配置DHCP:
接口试图:配置DHCP:dhcp select int-->dhcp server gateway 网关-->dhcp server dns dns服务器地址-->q
2.配置SNAT内网上网:
1)配置NAT策略:
进入nat配置试图:nat-policy interzone 高区域1 低区域2 outbound
nat配置试图:新建策略1:policy 1
策略配置试图:指定源网段:policy source 源网段 反码
策略配置试图:启用SNAT:action source-nat
策略配置试图:指定nat类型:easy-ip 外网接口编号
策略配置试图:退出:return
2)配置安全策略:
系统试图:进入安全策略配置试图:policy interzone 高区域1 低区域1 outbound
安全策略配置试图:新建策略:policy 1
策略配置试图:policy source 源网段 反码
策略配置试图:设置策略为允许:action permit-->return
3)配置动态NAPT:
系统试图:定义地址池:nat address-group 组号 开始地址 结束地址
策略配置试图:指定nat类型:address-group 组号
其他配置与easy-ip相同。
3.华为防火墙安全策略:
1)安全策略基于安全区域之间关系来呈现,其内容包括条件(端口和地址)+动作(permit允许或deny拒绝);
2)安全策略的匹配顺序:从上到下顺序匹配,匹配即停止,无匹配默认拒绝;
3)华为防火墙安全策略发展历程:ACL五元组(usg2000/5000支持)-->UTM(usg2000/5000支持)-->一体化安全策略(usg6000支持)
UTM(统一威胁管理)配置语法:policy interzone 源区域 目标区域 outbound或inbound-->policy 名称-->policy source或destination 网段或ip-->action deny或permit
一体化安全策略配置语法:security-policy-->rule name 名称-->source-zone 源区域-->destination-zone 目标区域-->source-address 原地址-->action deny或permit;
4)ASPF(应用层包过滤):根据报文应用层中的信息动态生成server-map表项,即简化安全策略的配置又确保安全性,ASPF是一种穿越防火墙的技术,ASPF生成的server-map表项,相当于在防火墙上打开一个通道,使类似于FTP(qq、msn)的多通道协议的后续报文不受安全策略的控制,利用该通道即可穿越防火墙。
ASPF配置语法:firewell interzone trust unstrust -->detect {ftp|qq|msn}
注意:ASPF的服务支持自定义。
5)华为防火墙安全策略配置思路和故障排除:
安全策略配置思路:配置默认包过滤为允许-->对业务进行调试-->查看会话表并以其中记录的信息为匹配条件配置安全策略-->最后恢复默认包过滤策略配置-->调试业务
故障排除:dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改变策略顺序

4.华为防火墙负载均衡:
1)负载均衡是一种集群,由多台服务器共同处理任务,实现统一对外,处理大量任务。
2)配置负载均衡:
系统视图:启用负载均衡(SLB):slb enable
slb视图:设置远端服务器:rserver 1 rip 服务器ip地址 weight 权重
slb视图:新建组:group 负载均衡组名
slb组视图:设置调度算法:metric 算法
slb组视图:添加远端服务器:addrserver 1
slb视图:设置集群vip:vserver grp vip 集群ip地址 group slb组 vport 集群端口 rport 真实服务器端口
系统视图:查看:dis slb group slb组

5.华为防火墙nat-server发布内网服务:
1)nat server的server-map表中包括正向表项和反向表项,正向表项记录服务器私网地址及端口和公网地址及端口的映射关系,作用是在公网用户访问服务器时对报文的目的地址做转换;
反向表项作用是当私网服务器主动访问公网时,可以直接使用该表项的源地址,将私网地址转换为公网地址,而不用再单独为服务器配置源SNAT策略;
即一条命令同时打通私网服务器和公网之间出入两个方向的地址转换通道。
2)nat-server发布内网服务配置语法:
系统试图:发布内网服务:nat server protocol tcp global 公网地址 端口 inside 内网服务器地址 端口
3)发布内网服务器安全策略配置:
注意:策略的目的地址是服务器私网地址,而不是服务器对外映射公网地址,为了避免路由环路,nat server需要配置黑洞路由。
4)DNAT安全策略配置语法:
policy interzone dmz untrust inbound-->policy 1-->policy destination 服务器私网ip地址 0 -->policy service service-set 服务 -->action permit -->return
5)配置黑洞路由的语法:ip route-static 公网ip地址 32 null 0

原文地址:https://blog.51cto.com/14381205/2406353

时间: 2024-10-16 12:37:24

华为防火墙USG5500的相关文章

华为防火墙过滤策略

华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个) 所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤 我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的) 那么我们的目的就是让PC1和PC2互相ping不通 实验步骤: 1.创建针对trust区域的策略 2.创建策略1(然后在其中书写我们所需要的策略) 3.书写源地址以及反掩码(注意,这里写的是反掩码) 4.书写所针对的目标地址及其反掩码 5.通过一个动作控制它 现在我们来测试一下:

华为防火墙6000web界面配置

实验名称华为防火墙6000web界面配置 实验拓扑图 3.实验目的:  1.使内网 192.168..2.0网段通过pat转化可以上外网 2.使内网 client 1可以访问外网web服务器 3.发布内网WEB服务器,可以使外网client2可以访问 4.地址 规划 :  trust : client1 : 192.168.2.1 255.255.255.0 gateway  192.168.2.254 dmz :  192.168.3.1 255.255.255.0 gateway 192.1

华为防火墙综合实验

华为防火墙综合实验 设计需求: 1:局域网需求(1)vlan的设计vlan10,教务部,网络地址为172.16.10.0/24vlan20,后勤部,网络地址为172.16.20.0/24vlan15,财务部,网络地址为172.16.15.0/24 (2)资源访问要求教务部和后勤部可以上网,并且可以访问DMZ区域的FTP和WEB服务财务部不能和其他vlan通信,也不能上网,但是能够访问DMZ区域的FTP和WEB服务 2:防火墙安全区域的设计防火墙接口G1/0/0加入到trust区域防火墙接口G1/

华为防火墙更改SSH端口

分公司新上一台华为防火墙,为了方便管理,在公网接口开启了SSH,默认的端口是TCP的22端口.配置完成,可以正常访问了,可接下来问题来了,使用WEB端登录或者SSH老弹出密码验证失败,搞得我都开始怀疑人生了.好在业务能正常运行,过了大半个小时,再登录,可以正常登录了,查看日志Apr 20 2019 23:55:48 USG6300 %%01MANAGER/4/UNLOCK(l)[172]:The user was unlocked. (User Name=admin)Apr 20 2019 23

华为防火墙产品介绍及工作原理

博文大纲 华为防火墙产品介绍 防火墙的工作原理1.防火墙的工作模式2.华为防火墙的安全区域划分3.防火墙的Inbound和Outbound是什么?4.状态化信息的含义5.安全策略的相关概念 华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品.. 各个系列的产品介绍

华为防火墙的管理方式介绍及配置

博文大纲: 一.华为防火墙设备的几种管理方式介绍 二.各种管理方式的配置1.通过Telnet方式管理2.通过web方式管理3.通过SSH方式管理 一.华为防火墙设备的几种管理方式介绍 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转

华为防火墙及它的工作原理

一.华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品. 1.USG2110 USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM.Virtual Private Network(请自行看首字母,我写简写的话就被

华为防火墙双区域互通及访问外网配置

华为防火墙双区域互通及访问外网配置qq3421609946 1.问题概述 最近碰到一个问题,公司内部有两个网络.一个是192.168.3.0/24网段的,另外一个是10.1.0.0/24网段的专网. 两个网络共同接入一台华为防火墙,通过华为防火墙访问互联网. 目前存在的问题,仅有192.168.3.0/24网段能够访问互联网.10.1.0.0/24网段的专网无法访问互联网,并且和192.168.3.0/24网段的计算机无法互相通信,这两个均需要解决. 模拟拓扑图如下: 2.问题判断 经过初步判断