华为防火墙过滤策略

华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个)

所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤

我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的)

那么我们的目的就是让PC1和PC2互相ping不通

实验步骤:

1、创建针对trust区域的策略

2、创建策略1(然后在其中书写我们所需要的策略)

3、书写源地址以及反掩码(注意,这里写的是反掩码)

4、书写所针对的目标地址及其反掩码

5、通过一个动作控制它

现在我们来测试一下:

这就是所谓域内控制,非常简单,接下来说一下域间过滤策略

所谓域间过滤策略就是一个区域到另一个区域的过滤策略,比方说我们需要让untrust区域的client1可以ping通dmz区域的server1,那么就需要用到域间过滤策略。

从理论角度出发这个非常简单,我们允许untrust区域到dmz区域即可;但是,在真正的现实生活中,我们是绝对不会这样操作的,因为现实中不可能放开untrust和dmz的所有流量,也不可能人为的在防火墙上配置路由;也便是因为不希望放行所有的流量,我们才有了域间过滤策略

那么,接下来关于域间过滤策略的实验,我们希望达成这样一个目的:放开untrust到dmz中的ICMP,HTTP以及FTP服务

实验步骤:

第一步:创建一个服务集

第二步:开启策略(两区域间)

到了现在,HTTP,ICMP就已经成功了,但是FTP肯定是失败的,因为FTP有双通道功能,而华为防火墙默认是不开启双通道的,我们先来测试一下HTTP以及ICMP是否成功

很显然,HTTP和IMCP都成功了,然而FTP果不其然的失败了

在说该怎么办之前,先说下FTP的工作模式吧(可以直接跳过去,不影响)

ftp是一种文件传输协议,不同于http,那是文本传输,ftp是文件传输;ftp的端口号有两个,21和20;21端口用来控制,也称之为控制端口,20端口用来做数据控制,也称为数据端口。

工作原理,先通过21端口与对方产生一个控制端口,再通过20端口与对方产生一个数据方面的连接

ftp有两种工作模式:分别为主动(PORT)和被动(PASV)

主动模式的工作流程

1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)

2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)

以上是控制层面的连接

3、FTP服务器的20端口到大于1024的随机端口(服务器初始化到客户端的时间连接)

4、大于1024的端口到FTP服务器的20端口(客户端给服务器的相应)

被动模式的工作流程

1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)

2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)

以上是控制层面的连接

3、从任何一个大于1024的随机端口到服务器的大于1024的随机端口(从客户端想服务器发起的数据层面的连接)

4、FTP服务器用大于1024的随机端口到PC的大于1024的随机端口(服务器想客户端的确认)

那么,针对防火墙,如何操作?

防火墙需要开启ASPF技术(应用层的安全监测)


firewall zone untrust

detcet ftp

这般即可

原文地址:http://blog.51cto.com/13555507/2070253

时间: 2024-10-14 00:57:29

华为防火墙过滤策略的相关文章

华为防火墙NAT策略及配置详解

人类现在对计算机网络的使用已经扩展到各个领域,而计算机网络的设计者当时无法想象互联网能有今天这样的规模.任何一个接入互联网的计算机.手机以及智能电视,要想在互联网中畅游,必须有一个合法的IP地址.而IP地址,曾经以为足以容纳全球的计算机,但是在今天看来,已经严重枯竭.IPV6的出现就是为了解决地址不足的问题,但在IPV6普及之前,需要有一个过渡技术--NAT.NAT的出现缓解了地址不足的问题,它可以让同一局域网内60000多用户可以同时使用一个合法IP地址访问互联网.关于Cisco设备的NAT技

浅谈华为防火墙NAT策略

博文目录 一.什么是NAT? 二.如何解决源地址转换环境下的环路和无效ARP问题? 三.什么是Server-map表? 四.NAT对报文的处理流程 五.开始配置NAT 一.什么是NAT? NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术.此博文重点是华为相关的NAT知识上. 1.NAT分类 在内外网的边界,流量有出.入两个方向,所以NAT技术包含源地址转换和目标地址转换两类.一般情况下,源地址转换主要用于解决内部局域网计

华为防火墙产品介绍及工作原理

博文大纲 华为防火墙产品介绍 防火墙的工作原理1.防火墙的工作模式2.华为防火墙的安全区域划分3.防火墙的Inbound和Outbound是什么?4.状态化信息的含义5.安全策略的相关概念 华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品.. 各个系列的产品介绍

华为防火墙简介及其工作原理

防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产品.这篇博文主要介绍华为防火墙产品及其工作原理. 博文大纲:一.华为防火墙产品简介1.USG21102.USG66003.USG95004.NGFW 二.防火墙的工作原理1.防火墙的工作模式(1)路由模式(2)透明模式(3)混合模式2.华为防火墙的安全区域划分3.防火墙Inbound和Outboun

初识华为防火墙应用层过滤技术

博文目录一.应用层过滤有哪些?1.文件类型过滤2.内容过滤3.URL过滤 一.应用层过滤有哪些? 文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型.其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件. 内容过滤:基于HTTP中发送博客内容.论坛发送帖子内容.SMTP中的发送邮件主题及正文内容.FTP中上传和下载文件的名称,文件共享服务中的文件名称等过滤,可以

华为防火墙查看和调整安全域策略优先级

华为防火墙查看安全域策略的优化级列表display security-policy rule alldisplay security-policy all华为防火墙改变安全域策略的优化级列表rule move untrust_trust_161 before untrust_trust_160其中 untrust_trust_161为此次移动的策略其中 untrust_trust_160为此次参照物策略before之前after之后(替换before位置) rule move untrust_t

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

Netfilter/Iptables Layer7 应用层过滤策略部署

Netfilter/Iptables Layer7 应用层过滤策略部署 环境:内核版本:Linux version 2.6.32-431.el6.x86_64 iptables版本:iptables v1.4.7 gcc版本:4.6.1 软件准备:wget http://download.clearfoundation.com/l7-filter/netfilter-layer7-v2.23.tar.gz wget https://www.kernel.org/pub/linux/kernel/

华为防火墙学习笔记 二

FW防火墙:华为 内部区域的配置: 防火墙的基本配置: 所有的接口都属于local 默认区域过滤规则: 配置trust区域访问dmz区域 firewall packet-filter default permit interzone dmz trust[dmz与trust是不分前后的] direction outbound // 防火墙包过滤默认允许地区间的dmz信任方向 出站 注:当trust区的pc访问dmz区的设备时,先要经过防火墙过滤,规则匹配则转发给dmz区的设备, 并建立一个临时的会