理论+实操华为防火墙

最新推荐文章于 2024-05-10 17:31:31 发布
最新推荐文章于 2024-05-10 17:31:31 发布
阅读量5.3k 收藏 21
点赞数 2
分类专栏: 华为 文章标签: 华为 防火墙 远程连接防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lfwthotpt/article/details/104254232
版权

华为防火墙

文章目录

一:华为防火墙产品介绍

USG2100

USG6600

USG9500

在这里插入图片描述

在这里插入图片描述

备注:详细硬件可以到华为官网或者淘宝上面看

1.二层
华为三层s系列 S5352C-EI

通常运营商会买三层设备当二层用,因为性能更好
千万不要说配过傻瓜式交换机

2.三层的网络设备
服务器比如ATAE服务器(重)一般放在机柜下面,路由器交换机等网络设备(轻)放在上面,配过华为的路由器 AR1220C AR1220s 中小型企业
SRG路由器是运营商用的

2.防火墙
企业用USG防火墙
运营商E1000E-N3/N5

二:防火墙的工作原理

2.1 防火墙的工作模式

  • 路由模式

当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候,这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能。

  • 透明模式

华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下。

相当于二层交换机,透明模式可以监控数据,相当于一个门卫,检查流量

  • 混合模式

既处于路由接口模式又处于透明模式下,则防火墙是混合模式。

目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

2.2 华为防火墙安全区域划分

  • Trust

接口默认在trust区域

主要用户连接公司内部网络,优先级是85,安全等级较高

  • Untrust

外部网络,优先级5,安全等级低

  • DMZ

非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中

  • Local

通常定义防火墙本身,优先级100,是最高的

防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。

  • 其他区域(自定义区域)

用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级

备注:

流量从优先级高的区域流向优先级低的区域,是不需要设置规则策略的,如果想要允许流量从优先级的区域向优先级高的区域发送信息,就需要设置规则策略

默认情况下,华为防火墙因为优先级的关系,默认拒绝任何区域之间的流量,如需放行指定的流量,需要管理员设置策略

为了安全考虑,防火墙的外网口是不可以被ping的

2.3 防火墙Inbound和Outbound

Inbound

数据由等级低的流向等级高的,如untrust(5) 区域流向trust(85)

outbound

数据由等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)

在这里插入图片描述

2.4 状态化信息

传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号

状态化信息保存到连接表内

在这里插入图片描述

1.客户端发起到外网web服务器的请求
在这里插入图片描述

2.防火墙检查安全策略,放行流量,并保存该会话的状态化信息

在这里插入图片描述

3.Web服务端接收到数据,响应客户端,ack并syn
在这里插入图片描述

4.防火墙收到web服务端的回复,该流量因匹配连接表,所以跳过安全策略的检查

在这里插入图片描述

因为首个数据包成功被安全策略放行,所以返回流量可以通过状态话信息直接放行

2.5 安全策略

默认情况下,华为防火墙的策略有如下特点:

  • 任何2个安全区域的优先级不能相同
  • 本域内不同接口间的报文不过滤直接转发
  • 接口没有加入域之前不能转发包文
  • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。

在这里插入图片描述

新一代的防火墙除了传统的5元组之外,还加入了应用(识别软件)、内容(识别数据信息)、时间、用户、威胁(识别木马病毒)、位置进行深层次探测。

三:设备管理方式

3.1 AAA(Authentication Authorization Accounting)认证

  • 认证
  • 授予一定的权限
  • 统计登陆用户

3.2 常见的管理方式

  • console 最安全的是console
  • telnet 通常用的是telnet
  • web web界面通常不可以登,安全性低
  • ssh

telnet管理方式及配置

  • 登陆console控制台
  • 配置防火墙的接口
  • 打开防火墙的telnet功能
  • 配置防火墙允许远程管理
  • 接口加入安全区域
  • 配置安全策略
  • 配置认证方式及用户
  • 客户端测试

四:实操

USG6000的初始账号为admin,初始密码为Admin@123

在这里插入图片描述
在这里插入图片描述

4.1 首先先测试telnet

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: 自己输
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW
[FW]un in en
Info: Saving log files...
Info: Information center is disabled.
[FW]int g 0/0/0
//进入接口
[FW-GigabitEthernet0/0/0]ip add 192.168.100.10 24
配置IP地址
[FW-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[FW-GigabitEthernet0/0/0]service-manage enable 	
在接口内配置接口服务管理,开启,允许telnet 服务
[FW-GigabitEthernet0/0/0]service-manage telnet permit 
[FW-GigabitEthernet0/0/0]q	
[FW]telnet server enable 	
在全局模式开启telnet服务
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
[FW]firewall zone trust 
//进入trust区域,将接口加入
[FW-zone-trust]add int g 0/0/0
 Error: The interface has been added to trust security zone. 
[FW-zone-trust]q
[FW]security-policy 
配置安全策略
[FW-policy-security]rule name allow_telnet
起个名字
[FW-policy-security-rule-allow_telnet]source-zone trust 
源区域是trust
[FW-policy-security-rule-allow_telnet]destination-zone local	
目标区域是local,也就是防火墙的内部区域
[FW-policy-security-rule-allow_telnet]action permit 
动作是允许
[FW-policy-security-rule-allow_telnet]quit
[FW-policy-security]q	
[FW]user-interface vty 0 4 
进入用户配置认证模式
[FW-ui-vty0-4]authentication-mode aaa
认证模式是aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.	
[FW-ui-vty0-4]protocol inbound telnet 
允许通过telnet服务,从级别低的流向级别高的
[FW-ui-vty0-4]q
[FW]aaa
进入aaa模式
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]password cipher bdqn@123
Info: You are advised to config on man-machine mode.	
[FW-aaa-manager-user-demo]service-type telnet 
Warning: The user access modes include Telnet or FTP, so security risks exist.
[FW-aaa-manager-user-demo]level 3

打开crt

在这里插入图片描述
在这里插入图片描述

4.2 ssh

[FW]int g 0/0/0
[FW-GigabitEthernet0/0/0]dis this
2020-02-10 10:56:32.230 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.100.10 255.255.255.0
 alias GE0/METH
 service-manage telnet permit
#
return
[FW-GigabitEthernet0/0/0]service-manage ssh permit 
[FW-GigabitEthernet0/0/0]dis this
2020-02-10 10:57:41.140 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.100.10 255.255.255.0
 alias GE0/METH
 service-manage ssh permit
 service-manage telnet permit
#
return
[FW]rsa local-key-pair create 	//创建Rsa密钥对
The key name will be: FW_Host
The range of public key size is (2048 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.....+++++
........................++
....++++
...........++

[FW]aaa
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]dis this
2020-02-10 11:03:00.830 
#
 manager-user demo
  password cipher @%@%$i\48>Cr)>T(t%4FRh8@a*k8^;AM!V,9/1TYKIPVn5W!*k;a@%@%
  service-type telnet
  level 3
#
return
[FW-aaa-manager-user-demo]service-type ssh
[FW-aaa-manager-user-demo]q
[FW-aaa]q
[FW]stelnet server enable
Info: Succeeded in starting the Stelnet server.	
[FW]user-interface vty 0 4
[FW-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[FW-ui-vty0-4]protocol inbound ssh 
[FW-ui-vty0-4]q

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.3 接下来测试web

[FW]int g 0/0/0 
[FW-GigabitEthernet0/0/0]service-manage https permit 
[FW]aaa
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]dis this
2020-02-10 11:10:02.710 
#
 manager-user demo
  password cipher @%@%$i\48>Cr)>T(t%4FRh8@a*k8^;AM!V,9/1TYKIPVn5W!*k;a@%@%
  service-type ssh
  level 3
#
return
[FW-aaa-manager-user-demo]service-type web
[FW-aaa-manager-user-demo]q

https://192.168.100.10:8443/

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

为了馒头争口气
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ensp USG6000v通过web进行配置
qq_41814701的博客
05-12 2360
研究了两天终于可以进行web登陆防火墙了,哎 做好步骤备用,有疑问的地方还望诸位多多指教,我是通过VM虚拟网卡桥接的,在win 10 虚拟机中通过google登陆 1,首先配置cloud,做好桥接,直接上图,配置步骤很简单,但不懂VMnet1配置ip有啥作用,以前还没注意到,这个随便配就可以,我是配置成192.168.0.0/24网段 2.这样就可以用连接防火墙与cloud1了(usg6000v组件在上一篇博客中给出了下载),华为防火墙默认配置口是0口,ip:192.168.0.1 port:8443,u
防火墙透明模式
Goallegoal的博客
04-16 8354
防火墙透明模式 概述 当部署一个防火墙时,其默认具备路由模式,即具备三层及其以上功能,支持路由协议、NAT、ACL等;而交换模式,就是这里要说的透明模式,不再具备三层及其以上功能,运行效果类似交换机。 应用场景 同网段的两个路由器之间部署一台开启透明模式的防火墙,在不改变原本拓扑的情况下,保证两台路由器背后主机的数据流量的安全。 特征 1、 3层流量要明确放行(ospf,eigrp),要想跨防火墙...
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
配置华为防火墙为透明交换机
杨奇的博客
08-07 5307
Web配置防火墙为透明交换机: 命令配置防火墙为透明交换机: [FW1]firewall zone trust [FW1-zone-trust]int g1/0/0 [FW1-GigabitEthernet1/0/0]quit [FW1]int g1/0/0 [FW1-GigabitEthernet1/0/0]port link-type access [FW1-GigabitEthernet1/0/0]quit [FW1] ...
2024全国职业技能大赛-网络安全赛题解析———防火墙篇iptables(超详细)_网络安全职业技能大赛 请提交iptables允许ssh端口10022通过的命令
最新发布
2401_84253850的博客
05-10 965
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
华为防火墙配置(防火墙基础)
热门推荐
1风天云月的博客
11-30 1万+
前言 防火墙属于网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵,这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙 一、防火墙概述 1、防火墙介绍 防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入 2、防火墙作用 网络中的防火墙有以下作用 防止因特网的危险传播到
华为防火墙二层透明模式下双机热备负载分担配置(两端为路由器)
IT技术
11-11 830
华为防火墙二层透明模式下双机热备负载分担配置(两端为路由器)
ENSP防火墙基本策略(web、ssh登录)
m0_63775189的博客
08-09 6216
在USG6000系列防火墙上默认是没有安全策略的,所有流量都是禁止的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域内的报文传递
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
华为防火墙 USG6300 zabbix模版
05-04
此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控 此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控
防火墙透明模式配置举例
01-18
防火墙透明模式的设置、配置举例,例如H3C的百M墙。
防火墙的透明模式和透明代理
10-19
透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。值得注意的是,虽然国内市场上很多防火墙产品都可提供透明代理访问机制,但真正实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际应用中,他们往往做不到这一点,而只是实现了透明代理。
HUAWEI USG6000系列 & NGFW Module V100R001 典型配置案例
07-23
本文档介绍NGFW典型应用场景的配置方法。本文档并不覆盖所有的特性,而只专注于 典型的配置场景。您可以以本文档所提供的案例为范本,自定义您的配置。 本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识, 且具有丰富的网络管理经验。
华为USG6000系列下一代防火墙二层透明桥接应用解决方案.docx
10-28
华为USG6000系列下一代防火墙二层透明桥接应用解决方案.docx
《华为防火墙实战指南》
01-12
《华为防火墙实战指南》
华为防火墙nat端口映射
06-07
对应主页文章名称
常用华为防火墙命令
12-12
华为防火墙命令 华为防火墙命令是配置华为路由器和防火墙的重要命令,用于创建访问规则、管理访问列表、 Filter 报文等。下面将详细介绍华为防火墙命令的使用方法和参数解释。 access-list 命令 access-list 命令...
华为USG5120配置透明防火墙
奇怪的老司机
03-31 8814
华为USG 5120防火墙默认工作在路由模式,如需在网络架构不能变动的网络环境中部署,可选择透明模式。使用透明模式需要至少三个物理接口。具体操作如下:1,登录防火墙。G0/0/0接口下有默认IP192.168.0.1,可将电脑网卡改为自动获取地址后进行配置,也可通过console修改IP后配置。2,在网络–>接口–>接口中,选择某个物理接口,指定安全域,这里以G0/0/2作为trus...
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值