华为防火墙安全策略

最新推荐文章于 2024-05-23 10:12:08 发布
最新推荐文章于 2024-05-23 10:12:08 发布
阅读量667 收藏 1
点赞数 1
分类专栏: 华为TCP/IP 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GUOJUNWEI11/article/details/134381569
版权

介绍安全策略的定义和特点。

设备能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。

  • 如果动作为“允许”,则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。

  • 如果动作为“禁止”,则禁止流量通过。

内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理,就能实现包括反病毒、入侵防御、URL过滤、DNS过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御在内的内容安全功能,通过各种内容安全功能来保证网络安全。

传统防火墙的包过滤

传统防火墙根据五元组(源地址、目的地址、源端口、目的端口、协议类型)来控制流量在安全区域间的转发。如图1所示,如果希望只有市场部的主机(192.168.1.0/24网段)能够浏览Internet网页,则需要在trust和untrust区域间配置源地址为192.168.1.0/24、目的地址为any、协议为HTTP(或目的端口为80)、动作为允许的包过滤规则。

下一代防火墙的安全策略

下一代防火墙的安全策略不仅可以完全替代包过滤的功能,还进一步实现了基于用户和应用的流量转发控制,而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点,满足新时代网络的需求。

如图2所示,制定安全策略1可以阻止市场部的用户使用IM和游戏应用,制定安全策略2允许市场部的用户浏览Internet网页并且对浏览的内容进行检测,防止病毒和黑客的入侵。默认安全策略会禁止研发部员工访问Internet。

下一代防火墙的安全策略体现了以下优势:

  • 能够通过“用户”来区分不同部门的员工,使网络的管理更加灵活和可视。
  • 能够有效区分协议(例如HTTP)承载的不同应用(例如网页IM、网页游戏等),使网络的管理更加精细。
  • 能够通过安全策略实现内容安全检测,阻断病毒、黑客等的入侵,更好的保护内部网络。

拓扑图

SW1 基本配置
[SW1]vlan 10
[SW1-vlan10]vlan 100

SW1]interface Vlanif 10	
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1-Vlanif10]q

SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 10.0.1.1 24
[SW1-Vlanif100]q


[SW1]interface GigabitEthernet 0/0/1	
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]q

[SW1]interface GigabitEthernet 0/0/2	
[SW1-GigabitEthernet0/0/2]port link-type access 	
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]q

[SW1]interface GigabitEthernet 0/0/3	
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 100

[sw1]ip route-static 0.0.0.0 0.0.0.0 10.0.1.2

配置DHCP
[SW1]dhcp enable 
[SW1]interface Vlanif 10	
[SW1-Vlanif10]dhcp select interface 

防火墙基本配置
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 10.0.1.2 24
[USG6000V1-GigabitEthernet1/0/0]q

[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 172.16.1.1 24



[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 	  //开启管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit    //允许ping 
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit     //允许所有


[USG6000V1]firewall zone trust 	      //进入 trust 区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0      //把1/0/0 放到 trust区域


[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2


[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 10.0.1.1
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2


[USG6000V1]security-policypo	
[USG6000V1-policy-security]rule name t-2-u	
[USG6000V1-policy-security-rule-t-2-u]source-zone trust 
[USG6000V1-policy-security-rule-t-2-u]destination-zone untrust 
[USG6000V1-policy-security-rule-t-2-u]source-address 192.168.10.0 mask 255.255.2
[USG6000V1-policy-security-rule-t_2_u]action permit   //动作

R1基本配置
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 172.16.1.2 24

[R1-GigabitEthernet0/0/0]q
[R1-LoopBack0]ip address 1.1.1.1 32
[R1-LoopBack0]q


[R1]ip route-static 192.168.10.0 24 172.16.1.1

R1路由器路由表

交换机 telnet 路由器R1 成功

郭 子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙安全策略配置
foamy_3379的专栏
04-17 6495
华为防火墙安全策略配置 一、配置要求及拓扑; 要求: 1、Trust区域用户可以访问Untust区域与DMZ区域用户; 2、Untrust区域用户只能访问DMZ区域ICMP与Telnet流量; 3、DMZ区域用户即不能访问Untrust区域和Tust区域; 4、区域trust内只允许源地址为192.168.1.0/24,ICMP ; 二、基础配置 防火墙huaweiFW system-vie
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
华为防火墙笔记-安全策略
weixin_46622350的博客
12-04 4570
文章整理自《华为防火墙技术漫谈》 安全策略初体验 规则是实施安全控制的“安检员”,它在防火墙转发报文的过程中扮演着重要角色,只有规则允许通过,报文才能在安全区域之间流动,否则报文将被丢弃。规则防火墙上的具体体现就是“安全策略”。 这里还要特意说明一下安全策略中的条件,可分为多个字段,如源地址、目的地址、源端口、目的端口等,这些字段之间是“与”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。如果同一个字段中有多个匹配项,同时有两个源地址或三个目的地址,那么这些...
网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 4796
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
防火墙技术基础篇:配置基本转发策略(安全策略
最新发布
qq_39241682的博客
05-23 819
安全策略指的是用于保护网络规则。它是由管理员在系统中配置,决定了哪些流量可以通过,哪些流量应该被阻断。安全策略防火墙产品的一个基本概念和核心功能。防火墙通过安全策略来提供业务管控能力,以保证网络安全。为了避免歧义,通常把针对一个组织的安全策略称为信息安全策略(Information Security Policy),而把后者称为防火墙安全策略(Firewall Security Policy,有时也简称为防火墙策略Firewall Policy)、防火墙规则(Firewall Rule)。
配置华为防火墙安全策略
杨奇的博客
06-24 6321
Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust //配置源区域为trust [FW1-policy-security-rule-trust_dmz]destination-zone dmz //
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 1290
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙上配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
华为防火墙的基本安全策略
不定期分享一些自己的学习笔记
10-16 2637
华为防火墙的基本安全策略,permit\deny
华为USG6000防火墙安全策略配置实例(CLI方式)
永远是少年
07-26 1万+
今天给大家介绍华为防火墙安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙的配置实例,并安全要求完成了相应配置。 一、实验拓扑及要求 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为防火墙默认安全策略华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示: 1、域内流量。 域内
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
Richardlygo的博客
11-24 1万+
实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 //修改名称 [FW1]un in en //关闭提示信息 Info
华为防火墙安全策略基础
09-16
安全策略基础
华为防火墙 安全策略精要
09-16
华为防火墙 安全策略精要
华为防火墙安全策略管理与配置的原则
09-16
安全策略管理与配置的原则
华为防火墙如何优化安全策略
09-16
如何优化安全策略
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
配置华为防火墙将默认的安全策略放行
杨奇的博客
06-24 6253
Web配置将默认的安全策略放行: 命令行配置将默认的安全策略放行: [FW1]security-policy [FW1-policy-security]default action permit Warning:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data fl
防火墙命令行放行
vx XIxi_AL
12-08 2893
三种区域: DMZ区域是非军事化区域,外网流量要先访问DMZ区域,DMZ从而进行更好的阻拦 trust区域是内部区域,俗称内网 untrust区域是外部区域,俗称外网 内网需要做安全策略才能访问外网,外网是不能访问内网的 准备工作: 所有设备修改名称 配置IP地址 防火墙默认阻挡所有流量通过 配置IP地址: LSW1配置: vlan 10 int vlan 10 undo shutdown port-group group-member eth0/0/1 eth0/0/2 port ...
防火墙策略
weixin_59280309的博客
04-04 6027
定义与原理: 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以 进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的 数据流进行检验,符合安全策略的合法数据流才能通过防火墙。 ...
华为防火墙(nat地址转换+安全策略+HA热备)
PanJWei的博客
03-03 3427
华为防火墙(nat地址转换+安全策略
帮我写一段华为防火墙安全策略梳理的python代码
02-16
不过,我可以给你一些思路和代码片段,帮助你进行华为防火墙安全策略梳理的相关工作。 首先,需要使用华为防火墙的API进行安全策略的查询和操作。你可以使用Python的requests库来发送HTTP请求到防火墙API接口,获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值