华为防火墙
华为防火墙产品介绍:
华为防火墙目前共有四款系列的防火墙:USG2000、USG5000、USG6000和USG9500分别适用于不同的网络环境中,其中USG2000和USG5000系列定位于UTM,统一威胁管理的网络需求,其中USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
注意:USG2110系列针对小企业以及连锁机构,具有性能高,可靠性高,配置简单方便等特性。
USG6600系列针对中型企业及数据中心等网络环境,具有访问控制精准、防范范围全面、安全管理简单等优势
UGS9500则是适用于云服务提供商、大型数据中心等,拥有最精准的访问控制,最实用的NGFW特性,最领先的NP+多核+分布式;架构及最丰富的虚拟化,被称为最稳定可靠的安全网关产品。
传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管理和防护,分别是:应用、内容、时间、威胁、位置、用户
基于应用:运行多种手段准确识别Web应用内超过6000以上的应用层协议及其附属功能,从而进行精确的访问控制和业务加速。
基于用户:借助于AD活动目录,目录服务或AAA服务器等,基于用户进行访问控制,QoS管理和深度防护。
基于位置:结合全球位置信息,智能识别流量的发起位置,从而获取应用和攻击的发起位置。
防火墙的工作模式:
华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。
路由模式:如果华为防火墙链接网络的接口配置IP地址,则认为防火墙工作在路由模式下。如果防火墙位于内部网络和外部网络之间时,这时候需要从新规划自己内部网络的拓扑。
透明模式:如果华为防火墙通过二层对外链接(接口无IP地址),则防火墙工作在透明模式下。工作在透明模式的优点是:无须修改任何已有的IP配置,此时防火墙就像一个交换机一样工作。
混合模式:如果华为防火墙工作在路由模式的接口(接口具有IP地址),又工作在透明模式的接口(接口无IP地址),这时候防火墙则工作在混合模式下。目前这种模式只用于双机热备的特殊应用中,别的环境不建议使用。
防火墙的安全区域划分:
安全区域(Security Zone):简称为区域Zone。防火墙通过区域分安全网络和不安全网络,在华为防火墙上安全网络区域是一个多接口的集合,是防火墙区分于路由器的主要特性。
华为防火墙默认有四个区域,分别是Trust、Untrust、DMZ和local。
不同区域拥有不同的受信任优先级,防火墙则根据这些区域的优先级来区分区域的保护
Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高。
DMZ区域:非军事化区域,一般公司的web网站和ftp服务器都放在这个区域,其安全性介于Trust区域和Untrue区域之间,优先级为50,安全级别中等。
Untrust区域:通常定义外部网络,优先级5,安全等级很低。Untrust区域表示不受信任的区域。
Local区域:通常定义防火墙本身,优先级为100.防火墙除了转发区域之间的报文之外,还需要自身接收和发送流量,如网络管理,运行动态路由协议等。
其他区域:用户可以自定义区域,默认最多定义16个区域,自定义区域没有默认优先级,所以需要手动指定。
注意:安全区域的优先级必须是唯一的,即每个安全区域都需要应对不同的优先级,因为防火墙根据优先级大小确定网络的受信任级别。而且一个接口只能加入一个安全区域。
防火墙Inbound和Outbound
防火墙基于区域之间处理流量,即使由防火墙本身发起的流量也属于local区域和其他区域之间的流量传递。当数据流在安全区域之间流动时,才会激发华为防火墙进行安全策略的检查,华为的防火墙的安全策略通常都是基于域间的,不同的区域之间可以设置不同的安全策略。域间的数据流分两个方向:
入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向。
出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
示意图:
安全策略:
防火墙的基本作用就是保护特定网络免受“不信任”的网络攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才可以通过防火墙。
防火墙的策略规则:
默认情况下,华为防火墙的策略有以下四点:
- 任何两个安全区域的优先级不能相同。
- 本域内不同接口的报文不过滤直接转发
- 接口没有加入域之前不能做转发
- 在USG6000系列的防火墙默认是没有安全策略的,也就是说,不管哪个区域都可以互相访问
设备管理方式:
AAA介绍:
AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称。是一个能够处理用户访问请求的服务程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。
验证:那些用户可以访问网络服务器。
授权:具有访问权限的用户可以得到那些服务,有什么权限。
记账:如何对正在使用的网络资源的用户进行审计。
AAA服务通常同网络访问控制,网关服务器,数据库及用户信息目录等协同工作。
若要访问网络资源,首先要进行用户的入网认证,这样才能获取网络资源。
华为防火墙常见的管理方式有:
通过Console方式管理,属于带外管理,不占用用户带宽,适用于新设备。
通过Telnet方式管理,属于带内管理,配置简单,安全性低。
通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备
通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用少。
案列演示:
防火墙的配置命令:
配置各区域相应的IP地址:
配置Telnet功能:
配置防火墙区域:
配置trust区域到local区域的安全策略:
配置认证模式及本地用户信息:
测试登录防火墙:(第一次登录都需要重置密码)
配置安全策略:
达到pc1能够ping通外部主机:
Ping测试:
让外部主机可以访问dmz区域中的ftp、http、ping
测试:从pc2 ping dmz区域的主机192.168.3.2
来源:CSDN
作者:玩IT的川
链接:https://blog.csdn.net/zhouchuan152/article/details/95188583