华为防火墙理论

华为防火墙产品介绍

　　1、 USG2110

　　　　a) 针对中小企业

　　　　b) 功能：防火墙、UTM、VPN、路由、无线等

　　2、 USG6600

　　　　a) 大中型企业

　　3、 USG9500

　　　　a) 云服务提供商、大型数据中心、大型企业园区

　　4、 NGFW

　　　　a) 基于6个维度进行管控和防护：应用、用户、内容、时间、威胁、位置

防火墙工作原理

　　1、 防火墙的工作模式

　　　　a) 路由模式

1. 1. 给接口配置ip地址
   2. 防火墙连接内部网络、外部网络和DMZ三个区域

　　　　b) 透明模式

1. 1. 接口无ip地址，相当于交换机

　　　　c) 混合模式

1. 1. 只用于透明模式下提供双机热备的特殊应用中

　　2、 华为防火墙的安全区域划分

　　　　a) 通过区域区分安全网络和不安全网络

　　　　b) 数据包文在不同的安全区域之间传递时，会触发安全策略检查

　　　　c) 安全区域是基于网络的信任程度或保护程度划分的。内网：重点保护。外网：重点防御

　　　　d) 默认四个区域：trust、untrust、DMZ、local

1. 1. 安全区域有唯一的安全级别：1~100，数字越大，越可信
   2. Local：100 定义防火墙本身
   3. trust：85 连接内网
   4. DMZ：50 连接DMZ
   5. untrust：5 连接外网
   6. 其他区域：用户对多自定义16个区域，默认没有优先级
   7. 拒绝任何区域之间的一切流量

　　3、 防火墙inbound和outbound

　　　　a) 入方向（inbound）：低级别——》高级别

　　　　b) 出方向（outbound）：高级别——》低级别

　　　　c) 针对数据流只重点处理首个报文，返回时，直接查询状态化信息放行流量

　　　　d) 首个inbound包风险大于首个outbound包

　　4、 状态化信息

　　　　a) 通过五元组来唯一区分一个数据流：源IP、目标ip、协议、源端口、目标端口

　　　　b) 具有相同五元组内容的数据当做一个数据流

　　　　c) 防火墙对于同一个数据流只对首个报文检查一次安全策略，同时创建会话表来匹配流中的后续报文及返回报文

　　　　d) 会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态

　　　　e) 防火墙上多条会话的集合就称为会话表

　　　　f) 会话是动态生成的，有老化时间

　　5、 安全策略

　　　　a) 作用：对通过防火墙的数据流进行检验，符合安全策略的合法数据才能通过防火墙

设备管理方式

　　1、AAA 介绍

　　2、telnet管理方式及配置

　　　（1）：接口配置ip

　　　　[USG6000V1]int g0/0/0

　　　　[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24

　　　　[USG6000V1-GigabitEthernet0/0/0]undo sh

　　　（2）：打开防火墙telnet功能

　　　　[USG6000V1]telnet server enable //打开防火墙telnet功能

　　　（3）：接口允许telnet远程管理

　　　　[USG6000V1]int g0/0/0

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage enable //服务管理打开

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit   //允许telnet

　　　（4）：将接口加入安全区域

　　　　[USG6000V1]firewall zone trust

　　　　[USG6000V1-zone-trust]add int g0/0/0

　　　　[USG6000V1-zone-trust]quit

　　　（5）：配置安全策略：允许trust区域到local区域

　　　　[USG6000V1]security-policy //安全策略

　　　　[USG6000V1-policy-security]rule name allow_telnet //规则名称

　　　　[USG6000V1-policy-security-rule-allow_telnet]source-zone trust //源区域

　　　　[USG6000V1-policy-security-rule-allow_telnet]destination-zone local   //目标区域

　　　　[USG6000V1-policy-security-rule-allow_telnet]action permit //动作为允许

　　　　[USG6000V1-policy-security-rule-allow_telnet]quit

　　　　[USG6000V1-policy-security]quit

　　　（6）：配置认证模式及本地用户信息

　　　　[USG6000V1]user-interface vty 0 4

　　　　[USG6000V1-ui-vty0-4]authentication-mode aaa

　　　　[USG6000V1-ui-vty0-4]protocol inbound telnet //允许telnet连接虚拟终端

　　　　[USG6000V1-ui-vty0-4]quit

　　　　[USG6000V1]aaa

　　　　[USG6000V1-aaa]manager-user demo //配置本地用户demo

　　　　[USG6000V1-aaa-manager-user-demo]password cipher aptech2@ //配置密码

　　　　[USG6000V1-aaa-manager-user-demo]service-type telnet //配置服务类型

　　　　[USG6000V1-aaa-manager-user-demo]level 3 //配置用户权限级别

　　　　[USG6000V1-aaa-manager-user-demo]quit

 

 

　　3、配置web方式登录设备

　　　（1）：接口配置ip

　　　　[USG6000V1]int g0/0/0                                                 ^

　　　　[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24

　　　　[USG6000V1-GigabitEthernet0/0/0]undo sh

　　　（2）：接口允许http和https管理

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage http permit

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage https permit

　　　　[USG6000V1-GigabitEthernet0/0/0]quit

　　　（3）：开启防火墙web登录

　　　　[USG6000V1]web-manager security enable

　　　（4）：配置防火墙安全区域

　　　　[USG6000V1]firewall zone trust

　　　　[USG6000V1-zone-trust]add int g0/0/0

　　　　[USG6000V1-zone-trust]quit

　　　（5）：配置安全策略：允许trust区域到local区域

　　　　[USG6000V1]security-policy

　　　　[USG6000V1-policy-security]rule name allow_web

　　　　[USG6000V1-policy-security-rule-allow_web]source-zone trust

　　　　[USG6000V1-policy-security-rule-allow_web]destination-zone local

　　　　[USG6000V1-policy-security-rule-allow_web]action permit

　　　　[USG6000V1-policy-security-rule-allow_web]quit

　　　　[USG6000V1-policy-security]quit

　　　（6）：配置aaa以及本地用户账号密码

　　　　[USG6000V1]aaa

　　　　[USG6000V1-aaa]manager-user zhangsan

　　　　[USG6000V1-aaa-manager-user-zhangsan]password

　　　　[USG6000V1-aaa-manager-user-zhangsan]service-type web

　　　　[USG6000V1-aaa-manager-user-zhangsan]level 3

　　　　[USG6000V1-aaa-manager-user-zhangsan]quit

　　　　[USG6000V1-aaa]quit

 

　　4、配置ssh方式登录设备

　　　（1）：接口配置ip

　　　　[USG6000V1]int g0/0/0                                                 ^

　　　　[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.10.222 24

　　　　[USG6000V1-GigabitEthernet0/0/0]undo sh

　　　（2）：接口允许的ssh管理

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage enable 

　　　　[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit

　　　　[USG6000V1-GigabitEthernet0/0/0]quit

　　　（3）：开启防火墙ssh登录

　　　　[USG6000V1]stelnet server enable

　　　（4）：配置防火墙安全区域

　　　　[USG6000V1]firewall zone trust

　　　　[USG6000V1-zone-trust]add int g0/0/0

　　　　[USG6000V1-zone-trust]quit

　　　（5）：配置安全策略：允许trust区域到local区域

　　　　[USG6000V1]security-policy

　　　　[USG6000V1-policy-security]rule name allow_ssh

　　　　[USG6000V1-policy-security-rule-allow_web]source-zone trust

　　　　[USG6000V1-policy-security-rule-allow_web]destination-zone local

　　　　[USG6000V1-policy-security-rule-allow_web]action permit

　　　　[USG6000V1-policy-security-rule-allow_web]quit

　　　　[USG6000V1-policy-security]quit

　　　（6）：创建ssh所需的密钥对

　　　　[USG6000V1]rsa local-key-pair create

　　　（7）：配置VTY接触方式为aaa

　　　　[USG6000V1]user-interface vty 0 4

　　　　[USG6000V1-ui-vty0-4]authentication-mode aaa

　　　　[USG6000V1-ui-vty0-4]protocol inbound ssh

　　　　[USG6000V1-ui-vty0-4]quit

　　　（8）：创建用户lisi，设置认证方式

　　　　[USG6000V1]ssh user lisi //创建用户lisi

　　　　[USG6000V1]ssh user lisi authentication-type password //配置认证方式

　　　　[USG6000V1]ssh user lisi service-type stelnet //配置服务类型

　　　（9）：配置aaa以及本地用户账号密码

　　　　[USG6000V1]aaa

　　　　[USG6000V1-aaa]manager-user lisi

　　　　[USG6000V1-aaa-manager-user-lisi]password cipher aptech2@

　　　　[USG6000V1-aaa-manager-user-lisi]service-type ssh

　　　　[USG6000V1-aaa-manager-user-zhangsan]level 3

　　　　[USG6000V1-aaa-manager-user-zhangsan]quit

　　　　[USG6000V1-aaa]quit