華為防火墻基本理論
分類:
包過濾防火墻---基於數據包的
代理防火墻
狀態檢測防火墻:由內部向外部的訪問生成狀態會話表項(源目端口,源目IP,協議號 五元組),當外部訪問內部時默認是拒絕的,但是如果存在狀態表項的話可以放行,對於外部主動訪問內部的時候是拒絕的。-----五元組去匹配,基於數據流
USG6600]display firewall session table
USG6600]display firewall statistic system discard
USG]undo firewall session link-state check 關閉狀態檢測機制
USG6600]display firewall session table verbose
協議 | 開啟狀態檢測功能 | 關閉狀態檢測功能 | |
TCP | SYN報文 | 創建會話,轉發報文 | 創建會話,轉發報文 |
SYN+ACK、ACK報文 | 不創建會話,丟棄報文 | 創建會話,轉發報文 | |
UDP | 創建會話,轉發報文 | 創建會話,轉發報文 | |
ICMP | Ping回顯請求報文 | 創建會話,轉發報文 | 創建會話,轉發報文 |
Ping回顯應答報文 | 不創建會話,丟棄報文 | 創建會話,轉發報文 | |
其他ICMP報文 | 不創建會話,轉發報文 | 不創建會話,轉發報文 |
模式:
透明模式:當成二層交換設備,不用配IP,不會隔離現有的網段
路由模式:當成三層路由設備,需要配上IP地址,傳輸路由數據。
區域:
華為的防火墻的策略部署在區域上,思科是基於接口的
同一個安全區域內所有接口之間默認是可以在直接互訪的,不需要部署策略
不同區域之間部署策略
一個接口只能在一個安全區域內,一個安全區域可以有多個接口
默認華為有四個區域,無需創建,不能更改安全級別,安全級別1-100(100不能用),兩個不同的安全區域不能有相同的安全級別(思科兩個安全區域可以有相同的安全級別)
Untrust 5
DMZ 50(通常放置服務器,而且同時可供trust和UNtrust同時訪問,而私網內部服務器不給外網訪問時放在trust和終端放一區域)
Trust 85
Local 100(訪問防火墻自身的接口==訪問防火墻自身的local,比如Telnet防火墻,就是其他區域訪問local區域)
Inbound/outbound
從trust-->Untrust == outbound
從安全級別高的去往級別低的 == outbound
從Untrust-->trust == inbound
從安全級別低的去往級別高的 == inbound
不管寫的時候順序如何 Untrust trust outbound 也是高去低
實際應用:
當防火墻去訪問其他路由器時默認是通的:默認firewall packet-filter default permit interzone local xxxx direction outbound放行了出去的流量。
但是其他路由器訪問防火墻時則不通:firewall packet-filter default permit interzone local ahang direction inbound
其他區域之間默認也是不通的:firewall packet-filter default permit interzone huawei ahang direction inbound
命令:
display firewall packet-filter default all
dis firewall session table
防火墻安全策略(USG5500):
域間:
policy interzone huawei ahang inbound
firewall default packet-filter is deny
policy 1 (1 times matched)
action permit
policy service service-set icmp (predefined)
policy source 10.1.1.0 mask 24
policy destination 20.1.1.0 mask 24
policy 2 (0 times matched)
action permit
policy service service-set telnet (predefined)
policy source 10.1.1.1 0
policy destination 20.1.1.1 0
display policy interzone ahang huawei inbound
域內:
policy zone huawei
policy 1
action deny
policy service service-set icmp
policy source 30.1.1.1 0
policy destination 20.1.1.1 0
policy 2
action permit
policy service service-set telnet
policy source 30.1.1.1 0
policy destination 20.1.1.1 0
<FW1>display policy zone huawei
地址集:
[FW1]ip address-set huawei
[FW1-object-address-set-huawei]address 30.1.1.1 mask 24
ASPF
更夠針對一些特殊的協議實時的生成service-map的表項,比如ftp中根據應用層的信息分析出數據層面的端口和控制層面的端口
匹配策略時:同類為或,異類為且
USG6000:security-policy中rule為name,先配的先生效,依次向下,可以通過rule move A before B
對於用了GRE頭有兩層IP頭時,需要放行兩層IP頭。
本文出自 “hcietea” 博客,請務必保留此出處http://hcietea.blog.51cto.com/9642637/1975264
華為防火墻基本理論