华为防火墙USG6309E开局基础配置之安全策略

最新推荐文章于 2024-07-10 22:15:41 发布
最新推荐文章于 2024-07-10 22:15:41 发布
阅读量3.7k 收藏 11
点赞数 2
分类专栏: 防火墙 文章标签: 防火墙 安全策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_31788709/article/details/115347755
版权

华为USG6309E防火墙,在上篇已经介绍了基本的网络配置。本篇简单介绍防火墙的安全策略的配置,没有具体内容的配置,只有简单的演示,并且,因为诸多限制,不能贴图演示,只能靠文字描述。配置安全策略,采用web配置的方法。
在本文只介绍简单的安全策略的配置,即,对指定了源地址,源端口,目的地址,目的端口,以及具体的服务,具体的数据发送终端的报文,进行允许通过,或者禁止通过,以及别的安全策略的操作。

防火墙安全策略

一、https登录防火墙

即网页登录,在这里需要注意的是,用的是网页登录的方法,并且使用https的协议登录。
默认的用户名“admin”,密码为"admin@huawei.com"

二、配置过程

配置防火墙策略的大致流程为:

  1. 配置需要用到的地址,地址组。
  2. 配置可能会用到的服务,服务组。
  3. 配置具体的安全策略。

(一)新建地址

在这一步,就是预先准备好将可能会用到的地址,组成一个地址段,贴上一个标签,方便以后使用的时候,直接勾选相应的标签,而不需要每次都重复设置该地址段。

  1. 登录页面以后,“对象” —> “地址” —> “地址” —> “新建”。会弹出一个名为“新建地址”的框。
  2. 框内包含几个内容需要填写。
    名称”:即要给这个地址段打上的标签,取一个直观又好听的名字吧;
    描述”:方便以后的辨认,自行解释;
    所属地址组”:即将这个地址段可以划入某个地址组中,以后可以在某些场合一次勾选,组合使用,这个可不填;
    IP地址/范围或MAC地址”:这个是核心,就是你想用组合一起使用地址网段。
  3. 点击“确认”则生成一条。以此类推。

(二)新建服务及服务组

在这一步中,就是预先准备好可能会用到的一些服务,主要是跟数据报文的目的地址,源地址,目的端口,源端口等相关的内容。原先就有一些默认既有的,常用的服务,也可以自行新建。

  1. 登录页面以后。“对象” —> “服务” —> “服务” —> “新建”。会弹出一个名为“新建自定义服务”的框。
  2. 框内主要包含几个内容。
    名称”:一样,一个标签名而已,取一个直观好听的名字吧;
    描述”:为了方便辨认而做的解释补充;
    会话超时时间”:设计到该服务的数据流量,如果指定时间内无回应,则退出,可不填写;
    协议列表”:这是重头戏,点击“新建”,会让你勾选报文协议,如UDP和TCP协议,以及相应的源端口和目的端口。一般在这里填写的,就是目的端口,如果有需要,则填写源端口,一般比如预防蠕虫病毒之类的,关闭445端口等等,则就是填写目的端口为445。
  3. 点击“确认”,则新生成一条。以此类推。
  4. 在服务列表显示的界面,右上角有一个勾选“只显示自定义服务”,则可以将原有的服务不显示。
  5. 下面就是新建一个服务组,方便将服务组合使用。“对象” —> “服务” —> “服务组” —> “新建”。会弹出一个名为“新建服务组”的框。
  6. 具体内容为:
    名称”:一样,一个标签名而已,取一个直观好听的名字吧;
    描述”:为了方便辨认而做的解释补充;
    引用服务或服务组”:从左边的“可选”中勾选相应的服务,点击“>”按钮,进入“已选”。
  7. 点击“确认”,则新生成一条服务组。

(三)新建安全策略

在上面两步的准备工作完成以后,就可以开始新建安全策略。

  1. 登录页面以后。“策略” —> “安全策略” —> “安全策略” —> “新建安全策略”。会弹出一个名为“新建安全策略”的框。
  2. 具体内容包含:
    名称”:一样,一个标签名而已,取一个直观好听的名字吧;
    描述”:为了方便辨认而做的解释补充;
    策略组”:即将可能会一起用到的策略,放到一个组中,方便组合使用。策略组可以事先新建好,也可以在此新建;
    源安全区域”:这个非常关键,一般在“trust”和“untrust”中选择,因为防火墙主要是防护外部对自己的侵害,因此一般认为,源则是局外,认为是untrust,目的则认为是局内,为trust;
    目的安全区域”:同上所述;
    源地址/地区”:这里就是勾选源地址的网段,显示的是事先新建的地址网段的名称,勾选需要的即可,可多选;
    目的地址/地区”:同上所述;
    VLAN ID”:可以不填写。
    用户”:选择“any”,或者根据实际需求填写;
    接入方式”:选择“any”,或者根据实际需求填写;
    终端设备:选择“any”,或者根据实际需求填写;
    服务”:这一部分,显示的就是事先新建的各种服务的名称,勾选需要的即可,可多选;
    应用”:选择“any”,或者根据实际需求填写;
    URL分类”:选择“any”,或者根据实际需求填写;
    时间段”:选择“any”,或者根据实际需求填写;
    动作”:这个很重要,就是决定了你这条策略事允许,还是禁止的策略。
    后面的不一一赘述,可根据需求自行选择。
  3. 点击“确认”则可生成,生成以后,自动生效,如不希望生效,则可以勾选掉“启用”按钮,则不生效。
    至此,则安全策略生成完毕,另外,注意一点,策略是从上到下依次匹配,上面的条件没匹配上会依次向下查询直到最后一条的default。

三、策略生效的条件

(一)什么是安全区域

首先,得分清楚三个区域。
trust区域,该区域内网络的受信任程度高,通常用来定义局内的安全区域。
DMZ区域,该区域内网络的受信任程度中等,通常用来定义局内服务器所在的网络。
untrust区域,该区域代表的是不受信任的网络,通常用来定义外部网络,等不安全的网络。
防火墙的作用,主要是隔绝外部网络对本地网络的侵害,因此,认为外部网络是不可信的,是untrust,内部网络,局域网是可信的,是trust。
上述的受信任程度,他是有量化标准的,有具体的数值。另外,安全区域是可以自己新建的,自行命名,只要将其受信任程度具体设置一个量化数值即可。

(二)何时生效

  1. 同区域默认放行,如果需要控制,需要将default策略中的命中同域流量开关关闭
  2. 从一个区域到另一个受信任程度不同的区域,则数据报文会被安全策略过滤。

(三)如何配置

在另一篇讲述网络配置的文章中,已经介绍过,在防火墙中,需要将任何的使用到的端口,包括各种物理端口,以及vlanif等虚拟端口,都划分到具体的安全区域中。在CLI中,使用“firewall zone trust”或者“firewall zone untrust”,来进入相应的视图,然后“display this”,进行查看,该安全区域下包含哪些端口。在网页中,可直接进入安全区域的相关页面查看。
另外,loopback等端口,默认为local安全区域。local为受信任程度最高的等级。

四、结语

本文只是简单的,通过文字介绍了配置过程,仅供参考,可供借鉴,包括天融信等防火墙的安全策略,也是如此。

鱼月半
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为USG6300双线接入自动切换
weixin_34291004的博客
12-20 4468
步骤分析:zone设置:untust zone (优先级设置5)-------主线路untrust1 zone (优先级设置10)---------备用线路 安全策略设置trust to untrust any any permitturst to untrust1 any any permit NAT 策略turst ...
华为防火墙USG6309E使用SNMP网管协议的注意点
baidu_31788709的博客
04-19 3295
华为防火墙,其本质还是一台功能偏重安全防护的交换机,因此在防火墙上启用SNMP协议,其过程大体与交换机,路由器配置类似,仅一处要特别注意。 <HUAWEI> sys [HUAWEI] snmp-agent //实能snmp-agent [HUAWEI] snmp-agent community read cipher public //允许读的团体名 [HUAWEI] quit <HUAWEI> save 正常情况下,如上配置即可使用了。 或者,添加一个网管中心,trap
华为防火墙上的配置(1)
最新发布
m0_65350813的博客
07-10 622
要求:生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。5、生产区访问DMZ区时,需要进行protal认证,建立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。用户统一密码openlab123,用户过期时间设定为10天,用户不允许多人使用。
华为防火墙USG6309E开局基础配置之网络设置
baidu_31788709的博客
03-31 1万+
防火墙,实质上就是一台偏重于安全策略的交换机,或者说,更像是路由器,之所以如此说,是因为防火墙可以将IP设置等,直接设置在端口上,而不必创建一个vlanif。 配置防火墙,他的基础就是网络要畅通,其次才能进行安全策略配置,进行报文筛选,防火墙和路由器的配置极其相像,但是又有别于路由器,交换机。下面,将演示一遍华为防火墙USG6309E开局网络配置防火墙开局之网络配置一、登录防火墙(一)MGMT网管口登录(二)Console接口登录二、网络常规基本配置(一)划分vlan(二)路由配置三、防火墙特殊配
华为防火墙安全区域及安全策略配置
blue_3的博客
11-11 6274
华为防火墙基础区域及安全策略实验配置
华为设备防火墙配置实验(一)----无安全策略配置
m0_64402992的博客
01-24 1233
由实验拓扑图需求分析可知我们在生产区和办公区需要用到子接口技术。我们只需要将将防火墙该接口配置设置为DMZ区域网关并。根据给定的网段和要求配置IP地址即可。配置防火墙接口配置IP的两种方式。方法一:登录Web界面进行配置。由实验拓扑图可知防火墙与。
实战篇【4】-HUAWEI防火墙开局基础配置
weixin_47402139的博客
03-06 1356
本篇文章为“HUAWEI防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。 区别于“H3C交换机开局基础配置”只是厂商间命令形式的差别,功能实现上一致;
防火墙技术学习笔记一
热门推荐
tao546377318的博客
11-30 1万+
第一章:基础知识 1.1 什么是防火墙       防火墙,顾名思义阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。这种隔离是高明的,隔离的是“火”的蔓延,其中的“火”指的是各种攻击,而又保证了“人”能穿墙通过,其中的“人”指的是通信报文。用通信的语言来定义是:防火墙主要用于保护一个网络免受来自另一个网路的攻击和入侵。因其隔离,防守的属性,防火
华为防火墙配置双链路接入和IP-LINK,即线路互备模式的配置
eangels的博客
12-11 4453
华为防火墙配置双链路接入和IP-LINK,即线路互备模式的配置
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为防火墙 USG6300 zabbix模版
05-04
此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控 此模板实现了华为防火墙USG6300系列的 功率 风扇 cpu 内存 温度 吞吐量 会话的监控
华为防火墙USG6000V-基于IP地址和端口的安全策略.pdf
05-12
华为防火墙USG6000V-基于IP地址和端口的安全策略.pdf
华为防火墙USG固件,含3个版本。
10-08
包含: USG6300V500R001C30SPC100 USG6300V500R005C00SPC200 USG6000V500R005C20SPC500
可以导入vmware workstation的华为防火墙usg6000.rar
09-06
本人亲测,而且功能和现在最新真实防火墙完全一样,不像ENSP里面的防火墙有各种各样的BUG,导出的配置可以直接导入真实防火墙内,打开后密码是华为防火墙默认密码
华为防火墙-管理配置
AZK707的博客
03-30 8446
1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址(其中X为自己学号的后两位) 2.通过Console口登陆 (1)通过Console口登录USG防火墙 配置USG的设置名称和时间等 3.启动SSH服务 启用SSH服务 创建SSH管理员账号 生成本地密钥对 (4)配置VTY用户界面 (5)配置SSH登陆接口 (6)在路由器上SSH登陆防火墙测试配置是否成功,测试结果截图 4.通过WEB方式登陆设备 Note:缺省情况下,设备的GE0/0/0的IP地址是192.168.
华为防火墙简单配置
weixin_42902697的博客
09-09 2922
华为防火墙简单配置
华为防火墙SSL VPN隧道连接实验配置
加油!
05-20 6014
用于远程访问VPN,工作在应用层与传输层之间SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。SSL与IPSec、L2TP的区别:1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。2.IPSec、L2TP配置繁琐3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
防火墙初接触
qq_40741808的博客
06-11 1432
防火墙概述防火墙的分类包过滤防火墙状态检测防火墙(ASPF:application specific packet filter)状态监测机制:代理防火墙安全区域安全区域的配置报文在安全区域之间的流动:防火墙如何判断报文在哪两个安全区域之间流动呢?安全策略分类:防火墙的三种工作模式: 概述 防火墙是位于两个或多个网络之间执行访问控制的软件或硬件系统,他根据访问控制规则对进出的网络的数据流进行过滤。它是一种网络安全产品,用于对网络进行安全访问限制,一般用在互联网的边缘,防止外部黑客的攻击。防火墙可以看成是带有
华为防火墙USG5500的配置方法
weixin_34248487的博客
06-15 9319
防火墙基本配置什么是防火墙防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离...
华为防火墙usg6306
10-11
华为防火墙USG6306是一款适用于企业网络边界的安全设备。它提供了强大的网络安全***持高速数据传输和多种安全连接方式。 该防火墙具有以下特点: - 支持高性能的数据包处理和转发,可以满足大流量的网络环境要求。 - 支持灵活的网络连接方式,包括光纤接口、千兆以太网接口等,以适应不同网络环境需求。 - 提供全面的安全策略配置***使远程办公和分支机构间通信更加安全可靠。 - 集成了入侵检测和防护系统,可以及时发现并阻止网络攻击行为。 - 内置反病毒和反垃圾邮件功能,有效防止恶意软件和垃圾邮件对网络的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鱼月半

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值