华为防火墙介绍和原理,配置详细解析

已于 2023-12-29 11:35:47 修改
阅读量2.6k 收藏 65
点赞数 44
文章标签: 网络 网络安全 运维 网络协议 web安全 华为 服务器
于 2023-12-27 20:55:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76613557/article/details/135058923
版权

华为ensp1.3防火墙usg6000v镜像vid包

链接:https://pan.baidu.com/s/1HH96p-sJSHrPgL1YPOsyqA 
提取码:1314

华为防火墙的介绍:

         华为防火墙是一种网络安全设备,其主要目的是保护私有网络免受来自外部网络的未授权访问、恶意攻击和数据泄露。它通过验证数据包的来源、目的地和内容,根据预先设定的安全策略,决定是否允许数据包通过或丢弃。防火墙可在网络边界、服务器和终端设备上部署,提供多层次的安全保护。

防火墙默认的区域及安全级别说明

区域名称        安全级别说明
非受信区域(Untrust)低安全级别区域,安全级别为5通常用来定义Internet等不安全的网络
非军事化区域(Dmz)中等安全级别区域,安全级别为50DMZ区域用于放置外部网络访问的服务器,例如Web服务器、邮件服务器等
受信区域(Trust)较高安全级别区域,安全级别为85通常用来定义内部用户所在的网络。
本地区域(Loacl)最高安全级别区域,安全级别为100通常用于连接内部网络和防火墙设备本身。LOCAL区域不能被删除或修改,用户也不能向其中添加接口

华为防火墙的优点主要包括:

  1. 高性能:华为防火墙采用高性能的硬件和软件架构,可以处理大量的网络流量,提供快速的响应速度。
  2. 多样化:华为防火墙支持多种协议和协议栈,可以满足不同业务需求,提供全面的安全保护。
  3. 可扩展性:华为防火墙支持多种扩展方式,可以根据业务需求进行扩展,提供灵活的配置和管理方式。
  4. 安全性高:华为防火墙采用多种安全技术,包括防火墙、入侵检测、漏洞扫描等,可以有效保护网络免受恶意攻击和数据泄露的威胁。
  5. 技术为主,质量有保障:华为作为一家全球知名的通信设备厂商,在技术研发和产品质量上有较强的保障。

华为防火墙存在一些缺点:

  1. 不能防御已经授权的访问以及存在于网络内部系统间的攻击。
  2. 不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁。
  3. 不能修复脆弱的管理措施和存在问题的安全策略。
  4. 不能防御不经过防火墙的攻击和威胁。

华为防火墙的工作原理如下:

  1. 数据包检查:防火墙会对进入或离开网络的数据包进行检查,根据预定义的规则进行过滤和阻止。它扫描数据包头部和内容,检查是否符合安全策略。

  2. 网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。

  3. 虚拟专用网络(VPN):防火墙可以建立VPN隧道,允许远程用户通过加密通道安全地访问企业内部网络资源。

  4. 入侵检测和预防系统(IDS/IPS):防火墙内置IDS/IPS功能,监测并阻止入侵和恶意攻击。它使用特定的规则和算法来识别和防御各种攻击类型。

  5. 应用层安全代理(ALG):防火墙还支持ALG功能,允许对特定应用程序进行深入检查和分析,以确保这些应用程序的安全性。

华为防火墙的配置包括以下步骤:

  1. 确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。

  2. 设定网络拓扑:定义企业内部网络和外部网络的拓扑结构,并确定防火墙的位置。

  3. 配置基本参数:包括防火墙的管理IP地址、子网掩码、默认网关等基本网络参数。

  4. 创建安全策略:定义网络访问控制列表(ACL)规则,规定哪些数据包可以通过防火墙,哪些应被阻止。

  5. 启用NAT:根据需要配置网络地址转换(NAT),将内部私有IP地址转换成公共IP地址。配置策略NAT以允许特定的网络服务通过防火墙。

  6. 配置VPN:如需建立VPN隧道,配置远程用户认证和加密参数,建立安全的连接通道。

  7. 配置IDS/IPS:根据需要启用入侵检测和预防系统(IDS/IPS)功能,并配置相应的规则。

  8. 配置ALG:如果需要对特定应用程序进行深入检查和分析,配置应用层安全代理(ALG)功能。

  9. 定期更新和维护:定期更新防火墙的操作系统和安全规则,及时修补漏洞和阻止新的威胁。

实验案例环境:

实验目的:

了解防火墙的安全区域的配置方法

了解防火墙安全区域参数配置

了解防火墙nat安全策略

 需求:防火墙的trust信任域可以与dmz和untrust进行通信。dmz非军事化区域可以与untrust互相通信。在内网中,我们使用OSPF动态协议来实现路由的动态学习和更新。同时,PC终端设备会通过DHCP自动获取IP地址。在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。

首先在LSW1上,划分vlan配置接口信息,osfp动态协议和DHCP自动获取IP地址给pc终端。

创建vlan

vlan batch 10 20 30 40

创建vlan10,vlan20,DHCP地址池

dhcp enable     //先开启dhcp服务

ip pool vlan10    //创建名为vlan10的地址池
 gateway-list 192.168.10.254    //网关
 network 192.168.10.0 mask 255.255.255.0   //ip范围
 dns-list 172.16.0.2 192.168.100.2    //dns

ip pool vlan20   //创建名为vlan20的地址池
 gateway-list 192.168.20.254
 network 192.168.20.0 mask 255.255.255.0
 dns-list 172.16.0.2 192.168.100.2    //dns指向dmz的server1服务器的ip地址,也untrust的server2的服务器ip地址

为vlan接口配置ip地址,并在vlan10 20启用dhcp

interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 dhcp select global
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
 dhcp select global
#
interface Vlanif30
 ip address 192.168.30.254 255.255.255.0
#
interface Vlanif40
 ip address 192.168.40.254 255.255.255.0

给各个接口配置接口类型

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

配置ospf动态路由协议

ospf 1
 area 0.0.0.0
  network 192.168.30.0 0.0.0.255
  network 192.168.20.0 0.0.0.255
  network 192.168.10.0 0.0.0.255
  network 192.168.40.0 0.0.0.255

LSW2配置接口类型

vlan batch 10 20 30 40

interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

LSW4配置接口类型

vlan batch 10 20 30 40

interface Ethernet0/0/1
 port link-type access
 port default vlan 40

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

通过配置完LSW1、LSW2和LSW4,PC可以成功通过DHCP自动获取IP地址,从而实现内网之间的互相通信。

接下来,需要对FW1防火墙进行配置

为FW1各个接口配置IP地址,允许防火墙上的设备进行Ping操作,默认是关的,如何不开将ping不通过防火墙,注意这一点非常重要

interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.30.1 255.255.255.0
 service-manage ping permit   //允许防火墙上的设备进行Ping操作,默认是关的

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 203.1.1.1 255.255.255.0
 service-manage ping permit

interface GigabitEthernet1/0/3
 undo shutdown
 ip address 172.16.0.254 255.255.255.0
 service-manage ping permit

对接口进行信任(trust)和非信任(untrust),dmz区域的每个接口进行专门的配置

firewall zone trust //进入到trust信任域中
 set priority 85   //默认优先级
 add interface GigabitEthernet1/0/0 //将该接口配置在trust信任域中

firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/3

配置OSPF动态路由协议。同时,为了使内部网络能够连接到外部网络,我们需要配置一个默认路由以向外网发送流量

ospf 1
 default-route-advertise always   //将自己拥有的默认路由信息传递给其他设备
 import-route static   //重分布,将静态路由导入到设备的路由表中
 area 0.0.0.0
  network 172.16.0.0 0.0.0.255
  network 192.168.30.0 0.0.0.255

ip route-static 0.0.0.0 0.0.0.0 203.1.1.254

配置防火墙安全策略

//让trust信任域到达untrust非信任域。
security-policy   //进入到安全策略
 rule name trust-untrust //创建安全策略名为 trust-untrust
  source-zone trust     //源地址,这里也可以配置成trust信任域的ip地址
  destination-zone untrust  //目的地地址
  action permit     //允许放行


 rule name dmz-untrust
  source-zone dmz
  destination-zone untrust
  action permit

 rule name trust-dmz
  source-zone trust
  destination-zone dmz
  action permit

 rule name untrust-dmz
  source-zone untrust
  destination-zone dmz
  action permit

为防火墙配置nat地址转换,并为防火墙配置nat安全策略
nat address-group trust-untrust 0  //创建一个NAT地址组,命名为trust-untrust,并设置编号为0
 mode no-pat global  //创建一个NAT地址组,命名为trust-untrust,并设置编号为0
 section 1 203.1.1.2 203.1.1.20 //地址组trust-untrust的可使用范围

nat-policy  //进入到nat安全策略
 rule name trust-untrust  //创建nat策略名trust-untrust
  source-zone trust    //源地址
  destination-zone untrust  //目的地地址
  action source-nat address-group trust-untrust   //使用trust-untrustNAT地址组

 rule name dmz-untrust
  source-zone dmz
  destination-zone untrust
  action source-nat address-group trust-untrust

完成防火墙的所有配置后,内网用户可以与外网进行通信,并进行了NAT地址转换,并且还可以访问DMZ区域。DMZ区域是不可以访问trust区域的

经过这些配置,内部网络可以通过防火墙与外部网络进行通信。

接下来为AR1进行isis协议并为各个接口配置信息

isis 1
 network-entity 12.0000.0000.0002.00  //区域为12,名字0000.0000.0002,后面两个00代表正在使用ip协议
 import-route static 

interface GigabitEthernet0/0/0
 ip address 205.0.0.254 255.255.255.0 
 isis enable 1  //启动isis并把isis的进程号  1配置给这个接口

interface GigabitEthernet0/0/1
 ip address 203.1.1.254 255.255.255.0 
 isis enable 1

ip route-static 0.0.0.0 0.0.0.0 203.1.1.1  //给默认路由让AR1可以回到dmz区域

LSW6配置isis协议,创建vlan

//创建vlan
vlan batch 100 200

//配置isis协议
isis 1
 network-entity 12.0000.0000.0001.00

//配置vlan100的IP地址,并把isis 1配置给这个接口
interface Vlanif100
 ip address 192.168.100.254 255.255.255.0
 isis enable 1

interface Vlanif200
 ip address 205.0.0.1 255.255.255.0
 isis enable 1

//配置接口类型为干道模式
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 200

//给一跳默认路由回到防火墙接口
ip route-static 0.0.0.0 0.0.0.0 203.1.1.1

LSW7配置接口类型信息

vlan batch 100

interface Ethernet0/0/1
 port link-type access
 port default vlan 100

interface Ethernet0/0/2
 port link-type access
 port default vlan 100

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

这样dmz非军事化区域可以与untrust非信任区域互相通信,而untrust非信任区域和dmz非军事化区域是可以与trust信任区域通信的。

总结:通过实验学习,了解防火墙的基本配置技巧。配置安全策略,确保了网络的安全性。配置了默认路由,使内部网络可以访问外部网络。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。为了进一步加强安全性,我还设置了NAT安全策略,确保只有经过授权的流量被允许通过。通过这些配置,提高了网络的安全性和通信的效率。

注意:本博客内容仅供参考,具体操作需根据实际情况进行调整。

RouterRanger
关注
  • 44
    点赞
  • 65
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eNSP实验日记四(防火墙配置
G6_12的博客
10-21 2万+
今天这期紧跟上篇文章,来讲讲华为防火墙配置以及进阶
华为防火墙防火墙介绍及基本配置
迷逝
11-19 1万+
实验拓扑 防火墙的工作模式 透明网桥模式:可以理解成二层交换机,对三层的IP、路由没有任何影响。透明模式仍然可以抵御外部入侵,但是不能发挥防火墙的全部功能 例如下图:前期IP地址都已经规划好了,组网都已经结束了。突然领导说要加个防火墙,那基本就用透明模式。 路由模式:可以理解成三层路由器 防火墙的区域(zone) 防火墙默认区域的介绍 优先级代表着可信程度,优先级越高表示越信任,即数字越大越信任 [SRG]dis zone 22:15:49 2020/11/18 local #本地区域 pr
华为ensp防火墙双机热备web配置(一篇文章教会你)
weixin_52557120的博客
06-19 4497
本章主要介绍防火墙双机热备的实验配置,含图文操作
ensp防火墙
dzqxwzoe的博客
02-20 1412
授权用户非授权用户区域的划分,根据安全等级来划分。
华为防火墙技术
最新发布
weixin_52654869的博客
05-17 544
⦁ FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接:控制连接和数据连接。数据连接使用的端口号是在控制连接中临时协商的。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。⦁ 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置和管理防火墙
华为防火墙简单介绍
weixin_53049621的博客
04-08 6658
防火墙防火墙分类第一代防火墙:包过滤防火墙包过滤防火墙的缺点第二代防火墙:代理防火墙第三代防火墙:状态防火墙第四代防火墙:UTM防火墙第五代防火墙:下一代防火墙华为防火墙介绍安全策略防火墙的会话表 防火墙分类 第一代防火墙:包过滤防火墙 属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
华为eNSP实验-防火墙模拟配置(采用ping命令逐步分析)
weixin_42536940的博客
07-14 1万+
eNSP模拟实现防火墙配置,采用ping来逐步分析命令的作用
ensp——防火墙安全策略配置实验
ChenD的学习笔记
11-08 1万+
ensp——防火墙配置初体验
华为防火墙系列基础培训.rar
08-01
2 gerver-map机制在防火墙中的使用场景解析mp4 3多通道协议使用 server-map的案mp4 4二层部署虚拟防火墙配mp4 5配置虚拟防火虚拟防火墙间的互mp4 6虚拟防火墙大中型企业的网络隔mp4 7虚拟防火墙基本原理mp4 8状态...
华为HCIE-EC通信互联培训手册和实验指导.rar
08-06
下面将详细解析其中涉及的主要知识点。 1. **华为企业通信框架**:了解华为的企业通信架构,包括UC(统一通信)、CC(联络中心)、视频会议等组件,以及它们如何协同工作,提供高效、智能的通信服务。 2. **网络...
HUAWEI AR路由器对接配置指南.rar
01-26
华为AR路由器对接配置指南》全面解析 华为AR系列路由器是华为公司推出的企业级网络设备,主要用于企业网络的构建、扩展以及与其他网络设备的互联。本文将深入探讨华为AR路由器的对接配置,帮助读者理解其核心概念...
华为HCNA实验操作.zip操作打包下载
11-22
这个压缩包可能包含具体的实验步骤、配置脚本、示例拓扑图和解答,帮助学习者实践并掌握这些理论知识。通过模拟真实环境,考生能更好地理解和掌握网络基础概念,提升解决问题的能力,为通过HCNA认证做好充分准备。在...
华为内部linux教程
01-25
- DNS解析:了解DNS工作原理配置hosts文件和resolv.conf。 - 服务器服务:介绍HTTP、FTP、SSH等常用服务的配置和管理。 7. **系统监控与性能调优**: - 监控工具:使用vmstat、iostat、mpstat等工具监控系统...
华为ensp防火墙nat64案例配置
白话聊网络的博客
05-14 3303
华为ensp实验,防火墙nat64场景
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 6565
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙安全功能。
eNSP华为模拟器使用——(10)eNSP模拟防火墙
热门推荐
Asia-Lee
03-12 4万+
eNSP模拟防火墙 1、搭建防火墙安全拓扑 (防火墙简介:display version 显示防火墙版本信息;dis current-configuration 查看防火墙当前配置防火墙三个区:trust ,untrust, dmz;) 2、设置防火墙安全区域(firewall zone trust; set priority 85; firewall zone untrust...
防火墙ip配置
m0_64771829的博客
01-25 555
配置dmz区域IP地址,同时启用管理勾选ping命令方便检测。7.进入安全区域,创建生产区和办公区,以便于将细化管理。1.首先在交换机7上创建vlan 2 3 命令如下。2.分别进入0/0/3 和0/0/2接口。9.通过ping命令测试是否通路。5.进入防火墙,开启web服务。如图所示需要配置该拓扑的ip。6.进入防火墙后台,配置ip。4.进入0/0/1接口。3.定义所属vlan。以上是配置防火墙ip。
华为防火墙dmz和trust互通配置
06-11
华为防火墙的DMZ和Trust互通配置可以按照以下步骤进行: 1. 配置安全区域:在防火墙配置DMZ和Trust两个安全区域。 ``` security-zone trust security-zone dmz ``` 2. 配置ACL:在防火墙配置允许DMZ和Trust之间的通信。 ``` acl number 3001 rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 rule 10 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.0.255 ``` 这里的ACL规则允许来自192.168.0.0/24的IP访问10.0.0.0/8网络,同时也允许来自10.0.0.0/8网络访问192.168.0.0/24网络。 3. 配置NAT:在防火墙配置NAT,将DMZ中的服务器地址映射为Trust区域中的地址。 ``` nat server global 202.112.34.56 inside 192.168.0.10 ``` 这里将DMZ中的192.168.0.10服务器映射为公网IP地址202.112.34.56。 4. 配置反向代理:在防火墙配置反向代理,将Trust区域中的请求转发到DMZ中的服务器上。 ``` server real dmz-server ip address 192.168.0.10 port 80 acl number 3002 service-group dmz-service type http server dmz-server port 80 weight 1 ``` 这里配置了一个名为dmz-server的服务器,并将其映射到DMZ中的192.168.0.10服务器上,同时定义了一个服务组dmz-service,将其绑定到HTTP协议上。 5. 配置策略:在防火墙配置安全策略,将DMZ和Trust之间的通信加入到策略中。 ``` security-policy policy 1 source-zone trust destination-zone dmz action permit policy 2 source-zone dmz destination-zone trust action permit ``` 这里配置了两个策略,第一个策略允许Trust区域访问DMZ区域,第二个策略允许DMZ区域访问Trust区域。 以上是一个简单的华为防火墙DMZ和Trust互通配置示例,实际操作中需要根据具体情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值