华为防火墙产品介绍
1、 USG2110
a) 针对中小企业
b) 功能:防火墙、UTM、VPN、路由、无线等
2、 USG6600
a) 大中型企业
3、 USG9500
a) 云服务提供商、大型数据中心、大型企业园区
4、 NGFW
a) 基于6个维度进行管控和防护:应用、用户、内容、时间、威胁、位置
防火墙工作原理
1、 防火墙的工作模式
a) 路由模式
- 给接口配置ip地址
- 防火墙连接内部网络、外部网络和DMZ三个区域
b) 透明模式
- 接口无ip地址,相当于交换机
c) 混合模式
- 只用于透明模式下提供双机热备的特殊应用中
2、 华为防火墙的安全区域划分
a) 通过区域区分安全网络和不安全网络
b) 数据包文在不同的安全区域之间传递时,会触发安全策略检查
c) 安全区域是基于网络的信任程度或保护程度划分的。内网:重点保护。外网:重点防御
d) 默认四个区域:trust、untrust、DMZ、local
- 安全区域有唯一的安全级别:1~100,数字越大,越可信
- Local:100 定义防火墙本身
- trust:85 连接内网
- DMZ:50 连接DMZ
- untrust:5 连接外网
- 其他区域:用户对多自定义16个区域,默认没有优先级
- 拒绝任何区域之间的一切流量
3、 防火墙inbound和outbound
a) 入方向(inbound):低级别——》高级别
b) 出方向(outbound):高级别——》低级别
c) 针对数据流只重点处理首个报文,返回时,直接查询状态化信息放行流量
d) 首个inbound包风险大于首个outbound包
4、 状态化信息
a) 通过五元组来唯一区分一个数据流:源IP、目标ip、协议、源端口、目标端口
b) 具有相同五元组内容的数据当做一个数据流
c) 防火墙对于同一个数据流只对首个报文检查一次安全策略,同时创建会话表来匹配流中的后续报文及返回报文
d) 会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态
e) 防火墙上多条会话的集合就称为会话表
f) 会话是动态生成的,有老化时间
5、 安全策略
a) 作用:对通过防火墙的数据流进行检验,符合安全策略的合法数据才能通过防火墙
设备管理方式
1、AAA 介绍
2、telnet管理方式及配置
(1):接口配置ip
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24
[USG6000V1-GigabitEthernet0/0/0]undo sh
(2):打开防火墙telnet功能
[USG6000V1]telnet server enable //打开防火墙telnet功能
(3):接口允许telnet远程管理
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable //服务管理打开
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit //允许telnet
(4):将接口加入安全区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0
[USG6000V1-zone-trust]quit
(5):配置安全策略:允许trust区域到local区域
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name allow_telnet //规则名称
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust //源区域
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local //目标区域
[USG6000V1-policy-security-rule-allow_telnet]action permit //动作为允许
[USG6000V1-policy-security-rule-allow_telnet]quit
[USG6000V1-policy-security]quit
(6):配置认证模式及本地用户信息
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound telnet //允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user demo //配置本地用户demo
[USG6000V1-aaa-manager-user-demo]password cipher aptech2@ //配置密码
[USG6000V1-aaa-manager-user-demo]service-type telnet //配置服务类型
[USG6000V1-aaa-manager-user-demo]level 3 //配置用户权限级别
[USG6000V1-aaa-manager-user-demo]quit
3、配置web方式登录设备
(1):接口配置ip
[USG6000V1]int g0/0/0 ^
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24
[USG6000V1-GigabitEthernet0/0/0]undo sh
(2):接口允许http和https管理
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit
[USG6000V1-GigabitEthernet0/0/0]quit
(3):开启防火墙web登录
[USG6000V1]web-manager security enable
(4):配置防火墙安全区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0
[USG6000V1-zone-trust]quit
(5):配置安全策略:允许trust区域到local区域
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
(6):配置aaa以及本地用户账号密码
[USG6000V1]aaa
[USG6000V1-aaa]manager-user zhangsan
[USG6000V1-aaa-manager-user-zhangsan]password
[USG6000V1-aaa-manager-user-zhangsan]service-type web
[USG6000V1-aaa-manager-user-zhangsan]level 3
[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit
4、配置ssh方式登录设备
(1):接口配置ip
[USG6000V1]int g0/0/0 ^
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24
[USG6000V1-GigabitEthernet0/0/0]undo sh
(2):接口允许的ssh管理
[USG6000V1-GigabitEthernet0/0/0]service-manage enable
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit
[USG6000V1-GigabitEthernet0/0/0]quit
(3):开启防火墙ssh登录
[USG6000V1]stelnet server enable
(4):配置防火墙安全区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g0/0/0
[USG6000V1-zone-trust]quit
(5):配置安全策略:允许trust区域到local区域
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_web]source-zone trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
(6):创建ssh所需的密钥对
[USG6000V1]rsa local-key-pair create
(7):配置VTY接触方式为aaa
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
(8):创建用户lisi,设置认证方式
[USG6000V1]ssh user lisi //创建用户lisi
[USG6000V1]ssh user lisi authentication-type password //配置认证方式
[USG6000V1]ssh user lisi service-type stelnet //配置服务类型
(9):配置aaa以及本地用户账号密码
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lisi
[USG6000V1-aaa-manager-user-lisi]password cipher aptech2@
[USG6000V1-aaa-manager-user-lisi]service-type ssh
[USG6000V1-aaa-manager-user-zhangsan]level 3
[USG6000V1-aaa-manager-user-zhangsan]quit
[USG6000V1-aaa]quit