2. 程式人生 > >華為防火墻基本理論

華為防火墻基本理論

阿新 發佈:2017-10-23
防火墻 安全 hcie 華為 基本理論 security

分類:

  • 包過濾防火墻---基於數據包的

  • 代理防火墻

  • 狀態檢測防火墻:由內部向外部的訪問生成狀態會話表項(源目端口,源目IP,協議號 五元組),當外部訪問內部時默認是拒絕的,但是如果存在狀態表項的話可以放行,對於外部主動訪問內部的時候是拒絕的。-----五元組去匹配,基於數據流

  • USG6600]display firewall session table

  • USG6600]display firewall statistic system discard

  • USG]undo firewall session link-state check 關閉狀態檢測機制

  • USG6600]display firewall session table verbose

協議


開啟狀態檢測功能

關閉狀態檢測功能

TCP

SYN報文

創建會話,轉發報文

創建會話,轉發報文


SYN+ACKACK報文

不創建會話,丟棄報文

創建會話,轉發報文

UDP


創建會話,轉發報文

創建會話,轉發報文

ICMP

Ping回顯請求報文

創建會話,轉發報文

創建會話,轉發報文


Ping回顯應答報文

不創建會話,丟棄報文

創建會話,轉發報文


其他ICMP報文

不創建會話,轉發報文

不創建會話,轉發報文

模式:

  • 透明模式:當成二層交換設備,不用配IP,不會隔離現有的網段

  • 路由模式:當成三層路由設備,需要配上IP地址,傳輸路由數據。

區域:

  • 華為的防火墻的策略部署在區域上,思科是基於接口的

  • 同一個安全區域內所有接口之間默認是可以在直接互訪的,不需要部署策略

  • 不同區域之間部署策略

  • 一個接口只能在一個安全區域內,一個安全區域可以有多個接口

默認華為有四個區域,無需創建,不能更改安全級別,安全級別1-100100不能用),兩個不同的安全區域不能有相同的安全級別(思科兩個安全區域可以有相同的安全級別)

  • Untrust 5

  • DMZ 50(通常放置服務器,而且同時可供trustUNtrust同時訪問,而私網內部服務器不給外網訪問時放在trust和終端放一區域)

  • Trust 85

  • Local 100(訪問防火墻自身的接口==訪問防火墻自身的local,比如Telnet防火墻,就是其他區域訪問local區域)

Inbound/outbound

  • trust-->Untrust == outbound

從安全級別高的去往級別低的 == outbound

  • Untrust-->trust == inbound

從安全級別低的去往級別高的 == inbound

  • 不管寫的時候順序如何 Untrust trust outbound 也是高去低

實際應用:

  • 當防火墻去訪問其他路由器時默認是通的:默認firewall packet-filter default permit interzone local xxxx direction outbound放行了出去的流量。

  • 但是其他路由器訪問防火墻時則不通:firewall packet-filter default permit interzone local ahang direction inbound

  • 其他區域之間默認也是不通的:firewall packet-filter default permit interzone huawei ahang direction inbound

命令:

display firewall packet-filter default all

dis firewall session table

防火墻安全策略(USG5500):

域間:

policy interzone huawei ahang inbound

firewall default packet-filter is deny

policy 1 (1 times matched)

action permit

policy service service-set icmp (predefined)

policy source 10.1.1.0 mask 24

policy destination 20.1.1.0 mask 24

policy 2 (0 times matched)

action permit

policy service service-set telnet (predefined)

policy source 10.1.1.1 0

policy destination 20.1.1.1 0

display policy interzone ahang huawei inbound

域內:

policy zone huawei

policy 1

action deny

policy service service-set icmp

policy source 30.1.1.1 0

policy destination 20.1.1.1 0

policy 2

action permit

policy service service-set telnet

policy source 30.1.1.1 0

policy destination 20.1.1.1 0

<FW1>display policy zone huawei

地址集:

[FW1]ip address-set huawei

[FW1-object-address-set-huawei]address 30.1.1.1 mask 24

ASPF

更夠針對一些特殊的協議實時的生成service-map的表項,比如ftp中根據應用層的信息分析出數據層面的端口和控制層面的端口

匹配策略時:同類為或,異類為且

USG6000security-policyrulename,先配的先生效,依次向下,可以通過rule move A before B

對於用了GRE頭有兩層IP頭時,需要放行兩層IP頭。


本文出自 “hcietea” 博客,請務必保留此出處http://hcietea.blog.51cto.com/9642637/1975264

華為防火墻基本理論

相關推薦

防火基本理論

防火墻 安全 hcie 華為 基本理論 security 分類:包過濾防火墻---基於數據包的代理防火墻狀態檢測防火墻:由內部向外部的訪問生成狀態會話表項(源目端口,源目IP,協議號 五元組),當外部訪問內部時默認是拒絕的,但是如果存在狀態表項的話可以放行,對於外部主動訪問內部的時候是

防火中的VGMP/VRRP/HRP

hcie 防火墻 vgmp vrrp hrp 心跳線 Vgmp VRRP Group Management Protocol由於雙機熱備導致設備出問題時可能會來回路徑不一致,因為主備切換了配置VGMP保證一個組內的VRRP全為master,如果有一個不是,則全部切換至slave HRP

防火中所有NAT技術解析

華為 防火墻 usg6000 nat napt nat-server nat分類根據源地址分類根據目的地址Inbound/outbound靜態動態分類轉換內容是否轉換端口特點源NAT地址池方式源IP地址可選采用地址池中的公網地址為私網用戶進行地址轉換,適用於大量私網用戶訪問Intern

防火處理ICMP報文原理

華為防火墻;icmp會話表實驗拓撲在防火墻上添加策略,使trust區域能訪問untrust區域,使用PC ping 外部server,並同時抓包在防火墻上查看會話信息在防火墻上抓取g0/0/1接口數據包打開icmp數據包,可以看到identifier標示,使用計算器轉換為10進制得到53607查看防火墻會話表

防火鏈路狀態檢測功能實驗

華為防火墻狀態檢測場景:client訪問webserver時,前往webserver的流量走路由器直接到達webserver,返回的流量先到達路由器,然後通過策略路由,將webserver回應給客戶端的流量重定向給防火墻,然後從防火墻再到路由器,最後到達client。同時配置防火墻到達client的路由信息。

防火基礎配置

term oss water gfw 產生 icmp 技術 tor inb 拓撲圖如下:小實驗一:trust區域設備可以訪問dmz區域設備,而dmz區域設備不能訪問trust區域設備首先,第一步,將端口加入對應的區域接下來,將對應的IP加入對應的端口R1:FW:測試下是否正

防火學習筆記 一

分享圖片 直接 會話 華為防火墻 image 安全 基礎 數據 proc FW防火墻:華為1.實戰環境的搭建:2.防火墻的基礎:先檢測數據包,通過後會生成一個狀態檢測表,數據再次通過時,有會話表,則不檢測,直接放行通過!1.不能具有完全級別相同的安全區域2.防火墻允許同一物

防火學習筆記 二

img -c 基本 mic san images 學習 優先 過濾規則 FW防火墻:華為 內部區域的配置:防火墻的基本配置:所有的接口都屬於local默認區域過濾規則:配置trust區域訪問dmz區域firewall packet-filter default permi

防火學習筆記 三

perm microsoft 訪問 inb zone wal lte cto padding FW 防火墻 外部管理的配置:1.配置untrust區訪問local 區 域【便於telnet遠程管理】【fw1】firewall pasket-filter default pe

遠程登錄防火以及用戶權限的修改

根據 spa 影響 all pro ron 1.5 term int 拓撲如下:實驗目的:讓R1可以遠程登錄防火墻並進行一系列操作實驗步驟:一、建立一個普通用戶"user-int vty 0 4"的意思是允許五個用戶登錄(分別是0,1,2,3,4);再之

防火過濾策略

ace mar cto ftp服務 原理 cli 互相ping通 image stat 華為的防火墻過濾策略分為域內過濾以及域間過濾(拓撲都是一個) 所謂域內過濾,即同一個域內的過濾策略,比如trust區域內部的過濾策略即為域內過濾 我們先來說一說域內過濾(tr

3-防火:公共地址集、安全策略匹配順序

-m -o cef water splay 優先 實驗 inter sort 一、實驗拓撲:二、實驗要求: 三、命令部署:1、手工調整策略之間的優先級:[SRG-policy-interzone-trust-untrust-outbound]policy 0[SRG-pol

5-防火:二層和三層接入的安全策略配置差異

分享 fire static com color vlan rust 技術 -a 一、實驗拓撲: 二、實驗要求:1、內網:連接R2接口G0/0/2是三層接口,其它接口都是二層接口;R1、R2、R3部署默認路由到USG;2、USG上創建VLAN 10、202,並將G0/0/0

6-防火:配置基於源IP地址的NAT

外部 icm sha authent images 分享 -o 實驗 isp 一、實驗一:配置No-Pat1、基本配置略:2、R1開啟Telnet功能:[R1]user-interface vty 0 4[R1-ui-vty0-4]authentication-mode p

防火BGP路由

ges size images vpd 華為 src ESS 技術 cto 華為防火墻BGP路由

防火 telnet

防火墻 fir mit 指定權限 net pro security -a -m [firewalld]int g0/0/0[firewalld-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0[firew

基於防火雙機熱備

引入 ren 動態 play 搶占模式 ces 其它 更新 動態關聯 理論部分 一:雙機熱備的工作原理1:雙機熱備概述傳統組網中,只有一臺防火墻部署在出口,當防火墻出現故障後,內部網絡中所有以防火墻作為默認網關的主機與外部網絡之間的通訊中斷,通訊可靠性無法保證。 雙機熱備份

防火綜合實驗

fc7 tex 訪問 src 6.0 per 地址 步驟 ftp 華為防火墻綜合實驗 設計需求: 1:局域網需求(1)vlan的設計vlan10,教務部,網絡地址為172.16.10.0/24vlan20,後勤部,網絡地址為172.16.20.0/24vlan15,財務部

防火更改SSH端口

term 公網 兩個 manage 防火 思考 mark mage src 分公司新上一臺華為防火墻,為了方便管理,在公網接口開啟了SSH,默認的端口是TCP的22端口。配置完成,可以正常訪問了,可接下來問題來了,使用WEB端登錄或者SSH老彈出密碼驗證失敗,搞得我都開始懷

一個實驗搞定hybrid-vlan基本配置及原理

華為 hybrid-vlan實驗拓撲:2. 實驗需求:PC1和PC3屬於VLAN10 PC2和PC4屬於VLAN20 PC5和PC6屬於VLAN30。VLAN10和20的成員都可以和VLAN30中PC5通信,但是VLAN10和VLAN20的成員之間不能通信(通過二層技術實現此需求,就是華為Hybrid