学习笔记(华为hcip-security)
防火墙发展史
- UTM和NGFW
部署
1. 二层透明模式
2. 三层子网模式
华为防火墙
- USG6000V
- 防火墙初始化命令行配置
-
重新创建拓扑-添加USG6000并且开启防火墙,进行WEB页面登录
用户名admin/密码Admin@123 首次登录必须修改密码,建议修改密码为:Admin@1234 -
防火墙USG6600默认 G0/0/0接口-192.168.0.1 将接口地址修改为 192.168.199.231使用建议使用firefox浏览器登录,地址 192.168.199.231 or https://192.168.199.231:8443
[USG6000V1]interface g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.199.231 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
- 进入web输入用户名+密码进行登录 (admin/ Admin@1234)
防火墙安全区域
- 通过不同的安全区域-表达不同网络
- 防火墙的接口划分到了安全区域A后,表示的是接口所连接的网络属于安全区域A
- 防火墙默认的安全区域(trust/untrust/DMZ)
- 接口自身也有安全区域,属于local区域
- 防火墙是通过受信任级别控制区域安全程度,值越高意味着安全程度越高
- 防火墙接口连接的网络如果需要使用,那么该接口必须划分进入安全区域
- 将接口加入安全区域
firewall zone trust #进入trust区域
add interface g0/0/0
- 防火墙系统安全区域优先级不允许修改
- local区域/每个接口自身包含一个访问控制安全策略
10.防火墙可以自定义安全区域firewall zone name purvis
安全区域间的数据流量方向
- inbound
- outboud
- 针对ngfw,根据安全级别定义,从低到高inbound 从高到低outbound
- 例子:
- trust->untrust outbound
- untrust->trust inbound
防火墙安全策略
- 安全策略是在防火墙的不同的安全区域的不同方向之间做流量管控
- 执行流程 【1】匹配条件,【2】执行地址,【3】高级检查
- 流量进入防火墙后,防火墙根据安全策略进行流程执行
- 防火墙的安全策略可以设置多个,按照配置的顺序进行优先匹配
- 一旦匹配到了策略,则直接根据策略进行动作操作,不在进行向下匹配
- 在防火墙中,如果没有手工设置安全策略,或者已经设置了安全策略,但是没有命中,最后一定回匹配到默认的安全策略
- 默认的安全策略的默认动作是拒绝,默认动作是允许修改的。