華為防火牆USG5500
重點:什麼是防火牆;防火牆基礎;防火牆功能配置
一.什麼是防火牆:
1.什麼是防火牆:
防火牆主要用于保護一個網絡免受來自另一個網絡的***和***行為,因其隔離、防守屬性,防火牆靈活應用于網絡邊界、子網隔離等位置,如企業網絡出口、大型網絡内部子網隔離、資料中心(IDC)邊界。
2.對比交換機路由器及防火牆:
1)交換機:組建區域網路、通過二層或三層交換快速轉發封包;
2)路由器:連接配接不同網絡、通過路由協定實作互聯互通、確定封包轉發到目的地;
3)防火牆:部署在邊界,對進出網絡的通路行為進行控制,安全防護是核心特性;
總結:路由器和交換機的本質是轉發,防護牆的本質是控制。
3.防火牆發展曆史及特點:
1)通路控制越來越精确;
2)防護能力越來越強;
3)處理性能越來越高;
4.防火牆接口、網絡和安全區域的關系:
1)安全區域(security zone):簡稱區域(zone)是一個或多個接口的集合,作用是劃分網絡、辨別表文流動的“路線”;當封包在不同安全區域之間流動時才會受到控制;
2)防火牆接口、網絡、安全區域的關系:接口連接配接網絡、接口再加入到區域,實作通過接口把安全區域和網絡關聯起來,通常說某個安全區域即表示安全區域中接口所在網絡;(注意華為防火牆,一個接口隻能加入到一個安全區域)
3)華為防火牆預設安全區域:
trust區域:受信任程度高,通常為内部使用者所在網絡;
DMZ區域:受信任程度中等,通常為内部伺服器所在網絡;
untrust區域:不受信任的網絡,通常為Internet等不安全的網絡;
local區域:防火牆本身,凡是由防火牆主動發出的封包均為local區域發出,凡是需要防火牆響應并處理(非轉發)的封包均為local區域接收;local區域不能添加任何接口;
4)安全級别(受信任程度):1-100(數越大越可信)、local=100、trust=85、DMZ=50、untrust=5;
5)封包在兩個安全區域之間流動的規則:
inbound(入方向):封包從低級别的安全區域向進階别的安全區域流動;
outbound(出方向):封包從進階别的安全區域向低級别的安全區域流動;
6)防火牆通過安全級别劃分等級明确的區域,連接配接各個網絡,實作各個網絡之間流動的封包(資料傳輸流向)實施控制。
5.防火牆如何判斷封包在哪兩個區域之間流動?
1)确認目的安全區域:查表(路由表、MAC位址表)确認轉發的接口,接口所在的區域即為目的安全區域;
2)确認原安全區域:反查路由表确認原安全區域;
注意:确定封包的源和目的安全區域是精确配置安全政策的前提條件。
二.華為防火牆基礎配置:
1.華為防火牆配置安全區域:
系統試圖:建立或進入安全區域:firewall zone name 區域的名稱
區域試圖:設定安全級别(0-100):set prio 安全級别
區域試圖:添加接口到區域:add int 接口編号
系統試圖:檢視區域配置:display zone
2.狀态檢測防火牆:
狀态檢測防火牆使用基于連接配接狀态的檢測機制,将通信雙方之間互動的屬于同一連接配接的所有封包都作為整體的資料流來對待。為資料流的第一個封包建立會話,資料流内的後續封包直接配置會話轉發,不需要再進行規則的檢查,提高轉發效率。
3.防火牆會話:
1)會話:通信雙方建立的連接配接在防火牆上的具體展現,代表兩者的連接配接狀态,一條會話表示通信雙方的一個連接配接,防火牆上的多條會話的集合叫做會話表(session table);
2)五元組:一條連接配接(即一個會話)由源位址、源端口、目的位址、目的端口和協定五個元素唯一确認,即隻要這5個元素相同的封包即可任務屬于同一條會話流。沒有目标端口的協定防火牆使用固定值,如ICMP:ID=源端口、2048=目的端口;IPSsec(×××:AH認證頭/ESP:封裝安全載荷):源、目的端口=0.
4.華為防火牆排錯指令:
系統試圖:檢視區域:display zone
系統試圖:檢視丢包:dis firewall statistic system discard
系統試圖:檢視會話表:dis Firewall session table verbose
系統試圖:修改dns老化時間為3秒:firewall session aging-time dns 3(内網有大量dns查詢,修改老化時間,避免記憶體耗盡)
三.防火牆功能配置:
1.配置DHCP:
接口試圖:配置DHCP:dhcp select int-->dhcp server gateway 網關-->dhcp server dns dns伺服器位址-->q
2.配置SNAT内網上網:
1)配置NAT政策:
進入nat配置試圖:nat-policy interzone 高區域1 低區域2 outbound
nat配置試圖:建立政策1:policy 1
政策配置試圖:指定源網段:policy source 源網段 反碼
政策配置試圖:啟用SNAT:action source-nat
政策配置試圖:指定nat類型:easy-ip 外網接口編号
政策配置試圖:退出:return
2)配置安全政策:
系統試圖:進入安全政策配置試圖:policy interzone 高區域1 低區域1 outbound
安全政策配置試圖:建立政策:policy 1
政策配置試圖:policy source 源網段 反碼
政策配置試圖:設定政策為允許:action permit-->return
3)配置動态NAPT:
系統試圖:定義位址池:nat address-group 組号 開始位址 結束位址
政策配置試圖:指定nat類型:address-group 組号
其他配置與easy-ip相同。
3.華為防火牆安全政策:
1)安全政策基于安全區域之間關系來呈現,其内容包括條件(端口和位址)+動作(permit允許或deny拒絕);
2)安全政策的比對順序:從上到下順序比對,比對即停止,無比對預設拒絕;
3)華為防火牆安全政策發展曆程:ACL五元組(usg2000/5000支援)-->UTM(usg2000/5000支援)-->一體化安全政策(usg6000支援)
UTM(統一威脅管理)配置文法:policy interzone 源區域 目标區域 outbound或inbound-->policy 名稱-->policy source或destination 網段或ip-->action deny或permit
一體化安全政策配置文法:security-policy-->rule name 名稱-->source-zone 源區域-->destination-zone 目标區域-->source-address 原位址-->action deny或permit;
4)ASPF(應用層包過濾):根據封包應用層中的資訊動态生成server-map表項,即簡化安全政策的配置又確定安全性,ASPF是一種穿越防火牆的技術,ASPF生成的server-map表項,相當于在防火牆上打開一個通道,使類似于FTP(qq、msn)的多通道協定的後續封包不受安全政策的控制,利用該通道即可穿越防火牆。
ASPF配置文法:firewell interzone trust unstrust -->detect {ftp|qq|msn}
注意:ASPF的服務支援自定義。
5)華為防火牆安全政策配置思路和故障排除:
安全政策配置思路:配置預設包過濾為允許-->對業務進行調試-->檢視會話表并以其中記錄的資訊為比對條件配置安全政策-->最後恢複預設包過濾政策配置-->調試業務
故障排除:dis pol int trust untrust outbound #檢視政策比對-->poli move 2 before 1 #改變政策順序
4.華為防火牆負載均衡:
1)負載均衡是一種叢集,由多台伺服器共同處理任務,實作統一對外,處理大量任務。
2)配置負載均衡:
系統視圖:啟用負載均衡(SLB):slb enable
slb視圖:設定遠端伺服器:rserver 1 rip 伺服器ip位址 weight 權重
slb視圖:建立組:group 負載均衡組名
slb組視圖:設定排程算法:metric 算法
slb組視圖:添加遠端伺服器:addrserver 1
slb視圖:設定叢集vip:vserver grp vip 叢集ip位址 group slb組 vport 叢集端口 rport 真實伺服器端口
系統視圖:檢視:dis slb group slb組
5.華為防火牆nat-server釋出内網服務:
1)nat server的server-map表中包括正向表項和反向表項,正向表項記錄伺服器私網位址及端口和公網位址及端口的映射關系,作用是在公網使用者通路伺服器時對封包的目的位址做轉換;
反向表項作用是當私網伺服器主動通路公網時,可以直接使用該表項的源位址,将私網位址轉換為公網位址,而不用再單獨為伺服器配置源SNAT政策;
即一條指令同時打通私網伺服器和公網之間出入兩個方向的位址轉換通道。
2)nat-server釋出内網服務配置文法:
系統試圖:釋出内網服務:nat server protocol tcp global 公網位址 端口 inside 内網伺服器位址 端口
3)釋出内網伺服器安全政策配置:
注意:政策的目的位址是伺服器私網位址,而不是伺服器對外映射公網位址,為了避免路由環路,nat server需要配置黑洞路由。
4)DNAT安全政策配置文法:
policy interzone dmz untrust inbound-->policy 1-->policy destination 伺服器私網ip位址 0 -->policy service service-set 服務 -->action permit -->return
5)配置黑洞路由的文法:ip route-static 公網ip位址 32 null 0
轉載于:https://blog.51cto.com/14381205/2406353