防火墙详解（USG6000V）

魏大橙

已于 2024-07-16 17:33:36 修改

阅读量5.3k

点赞数 17

分类专栏：网络安全防御文章标签：安全网络

于 2024-07-08 23:14:45 首次发布

本文链接：https://blog.csdn.net/Thewei666/article/details/140277897

版权

0、防火墙组网模式

防火墙能够工作在三种模式下分别是路由模式、透明模式、旁路检测模式、混合模式

0.1、路由模式

路由模式：防火墙全部以第三层对外连接，即接口具有IP 地址。一般都用在防火墙是边界的场景下

防火墙需要的部署/配置：

接口IP地址，区域划分
写内网的回包路由
安全策略
由内到外的NAT
服务器映射

0.2、透明模式

透明模式：防火墙都以二层对接（接口无IP 地址），只是让流量经过它而已，它对于子网用户和路由器来说是完全透明的，用户完全感觉不到防火墙的存在。

特点：可以避免改变拓扑结构造成的麻烦。就像放置一个交换机一样，不用修改其他设备的已有配置，与路由模式相同的是，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

防火墙需要的部署/配置：

接口配置VLAN，划分区域
安全策略
增强设备的管理接口，用于控制管理设备和设备的自我升级

0.3、旁路检测模式

旁路检测模式：与核心设备进行连接，镜像复制核心设备的流量。可以检测传输的数据包，可以做上网管理行为，例如TCP协议中，可以伪装服务器给中断发一个rst标记位的数据包，形成中断（具有滞后性）

0.4、混合模式

混合模式：具有二层和三层的接口（某些接口具有IP 地址，某些接口无IP 地址），这种模式更加灵活，主要用于透明模式作双机备份的情况

防火墙主要有以下七点功能：

以USG6000V防火墙为讲解，其管理页面为：

通过上图，我们可以将管理页面划分为6个子页面：面板页面、监控页面、策略页面、对象页面、网络页面和系统页面

初始账号：admin

初始密码：Admin@123

1、系统页面

1.1、管理员模块

在系统页面中的管理员模块，我们可以看到有两大部分：

管理员：实际的管理员账号
管理员角色：为管理员定义的权限身份

1.1.1 管理员

点击“新建”，即可创建一个管理员账号（自选择身份）

本地认证：用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证：对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证：正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

信任主机：只有信任主机中的地址或者网段才能登录控制设备（最多可以添加10条信任主机，如果没有配置，则不做限制）

1.1.2 管理员角色

点击“新建”定义一个拥有自定义权限的身份

1.2 配置模块

1.2.1 高级配置

此处为状态监测技术：

监测数据包是否符合协议的逻辑顺序
检查是否是逻辑上的首包，只有首包可以创建会话表

命令行中开启状态检测功能的命令，如果需要关闭，则在该命令前面加undo
[USG6000V1]firewall session link-state tcp check

1.3 高可靠性模块

1.3.1 双机热备

双击热备技术链接

1）勾选主动抢占则代表开启抢占模式，默认开启60S抢占延迟（抢占延时主要是为了应对一些接口可能出现反复震荡的情况）
2）Hello报文周期就是保活报文的发送周期，默认是1S，修改报文周期需要两边设备同时修改，否则可能导致对接不上

1）如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

2）启用虚拟MAC可以让用户无感知，即用户PC不会切换IP地址对应的MAC地址

HRP手工配置位置

负载分担

双机热备上下如果都是路由器并且有协议，则可以在网络页面的路由模块选择协议路由

最低0.47元/天解锁文章