华为Firewall配置不当处理记录,外网口开启了https访问管理被攻击,无法访问WEB管理界面

最新推荐文章于 2023-11-24 15:29:09 发布
最新推荐文章于 2023-11-24 15:29:09 发布
阅读量2.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shidb/article/details/90055757
版权

早期为了求方便,在外网入口开放了https访问管理,一直没出什么问题,直到今天想看一个配置时发现无法开启网页.
检查及排除步骤记录一下:

  1. 确认Firewall还活着,排除Client问题
  2. 确认Firewall上面的业务没问题,开始处理检查处理web服务不能用的问题
  3. telnet 进去看了一下log,没发现有什么特别的,以为只是WEB服务死了,重启了服务,不管用
  4. 考虑是否有配置更改,检查配置
  5. 怀疑被攻击,检查,确认是有外部类DDOS攻击,更改配置等…
    相关命令:
[KSYOFW01]undo web-manager enable //停掉http 服务
[KSYOFW01]web-manager enable  //打开服务
[KSYOFW01]interface Vlanif 100
[KSYOFW01-Vlanif100]disp this
#
interface Vlanif100
 alias vlan100
 ip address 192.168.0.2 255.255.255.0
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
return
[KSYOFW01] display security-policy rule destination 192.168.0.2 //先找一下有多少针对内网接口的策略
RULE ID RULE NAME                      STATE      ACTION     HITTED
-------------------------------------------------------------------------------
0       default                        enable     deny       153466519
2       VPN_TVLAN_KVLAN                enable     permit     2292
7       AllowAccessInternet            enable     permit     86723930
10      溼恀俋厙諉諳華硊               enable     permit     2882487
11      囀厙溼恀                       enable     permit     1032981
12      local to local                 enable     permit     155932
13      trust to local                 enable     permit     28476
-------------------------------------------------------------------------------
[KSYOFW01]display security-policy rule "trust to local" //此处可看出对内网接口的访问策略没问题
  (28476 times matched)
 rule name "trust to local"
  source-zone trust
  destination-zone local
  action permit
[KSYOFW01]disp tcp status //果然发现了鬼
11:34:35  2019/05/10
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
1418256c  93 /1    0.0.0.0:23             0.0.0.0:0             14849 Listening
0fc04558  129/257  0.0.0.0:80             0.0.0.0:0             14849 Listening
1426dbec  129/3    0.0.0.0:8443           0.0.0.0:0             14849 Listening
0fc08c08  93 /26   192.168.0.2:23          192.168.8.144:63558    0     Establishe
d
0fbff4e8  129/0    14.34.15.18:8443     128.199.36.85:41021   0     Syn_Rcvd
0fc08998  129/0    14.34.15.18:8443     128.199.36.85:43817   0     Syn_Rcvd
0fc03a60  129/0    14.34.15.18:8443     128.199.36.85:46907   0     Syn_Rcvd
0fbfddc0  129/0    14.34.15.18:8443     128.199.36.85:50634   0     Syn_Rcvd
0fc05c80  129/0    14.34.15.18:8443     128.199.36.85:54334   0     Syn_Rcvd
0fc004c0  129/0    14.34.15.18:8443     128.199.36.85:55323   0     Syn_Rcvd
14265984  129/0    14.34.15.18:8443     128.199.36.85:63193   0     Syn_Rcvd
0fbfe030  129/0    14.34.15.18:8443     174.138.106.64:50255  0     Syn_Rcvd
[KSYOFW01] interface GigabitEthernet 1/0/0
[KSYOFW01-GigabitEthernet1/0/0]disp this
#
interface GigabitEthernet1/0/0
 link-group 1
 alias CT
 ip address 14.34.15.18 255.255.255.248
 reverse-route nexthop 14.34.15.17
 ipsec policy ipsec4112451459 auto-neg
 service-manage https permit
 service-manage ssh permit
 gateway 14.34.15.17
 anti-ddos flow-statistic enable
#
return
[KSYOFW01-GigabitEthernet1/0/0]service-manage https deny
[KSYOFW01-GigabitEthernet1/0/0]q
[KSYOFW01]undo web-manager enable //再停掉http 服务
[KSYOFW01]web-manager enable  //重打开服务,搞定
[KSYOFW01] interface GigabitEthernet 1/0/0
[KSYOFW01-GigabitEthernet1/0/0]undo service-manage enable //还是老实一点,外网接口的全关了吧
shidb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为防火墙(远程管理
j2669283004的博客
12-02 1747
目录 一、华为防火墙常见的管理方式 二、远程管理实例 2.1、拓扑图 2.2、配置命令 2.3、测试 2.4、总结 一、华为防火墙常见的管理方式 通过Console方式管理 属于带管理,不占用户带宽,适用于新设备的首次配置场景。 通过Telnet方式管理 属于带内管理配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。 通过Web方式管理 属于带内管理,可以基于图形化管理,更适用于新手配置设备。 通过SSH方式管理 ...
华为防火墙USG6000登录WEB不了的原因
qq_51444009的博客
06-30 9205
由于很多小伙伴们都登录不上网页上面的防火墙 重要的是: 你们要去下载一个虚拟机(VMware),因为下载他之后他有2个虚拟网卡,这个网卡就是可以用来登陆防火墙WEB的,类似于钥匙。电脑自带的网卡是登不上去的。下载虚拟机你也不用打开他,留着在桌面就行。我们主要是用他的网卡,请记住。 你们Cloude设置选择(网卡)的时候,一定要选择VMware网卡,这样才能登录,如果你选择其他的网卡的话,就是登录不上去,这是重点,请记住。 总结: 1:下载Vmware获取他们的网卡。 2:在Could里面设置网卡选择VM
华为技术——基本防火墙
weixin_45191791的博客
03-26 1885
华为防火墙配置案例 实验要求: 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙 实现内部的pc1可以访问部的pc2,而pc3不可以访问 实现部的pc2可以访问dmz中的服务器(ftp,http以及icmp) 一、配置防火墙允许telnet 1.配置接口ip 2.打开防火墙的telnet功能 3.将防火墙G0/0/0加入安全区域 4.将接口加入安全区域 ...
配置防火墙内访问
T061129的博客
11-07 2742
1 、给接⼝配置 IP 地址(默认是存在的)2 、允许接⼝所有服务类型,其中包括 ping , https[USG6000V1-GigabitEthernet0/0/0]service-manage enable //开启服务管理[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //允许所有服务3 、将接⼝加⼊防⽕墙安全区域。
华为 配合防火墙及远程
weixin_34088583的博客
02-12 515
实验要求 client1可以访问server1的web 以及ftp 并且可以ping通 client1和server1可以ping同各自网关思路与配置:1.配置cloud1 2.右机防火墙-->导入设备配置 , 选择vfw-usg进入 配置密码:xxxxxxxxxxxx (随意配置 但必须记住) conf...
华为静态NATPAT配置28内部通过网地址访问内部服务器问题29.pdf
04-06
"华为静态NATPAT配置实现内部服务器通过网地址访问" 华为静态NATPAT配置华为防火墙的一种配置方式,主要用于实现内部服务器通过网地址访问。下面是该配置的详细知识点: 一、组网需求: 在该配置中,内部...
华为下一代防火墙NGFW Web配置.rar
07-28
华为下一代防火墙NGFW Web配置
华为3COM标准访问控制列表初识
03-04
华为3COM标准访问控制列表(ACL)是网络管理员在配置网络安全和流量管理时常用的一种工具。标准ACL主要通过检查IP包中的源IP地址来决定是否允许数据包通过,其编号范围为1到99,这使得它成为一种相对简单且资源占用...
华为路由器配置实例.doc
07-12
华为路由器配置实例 1 华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之 间的连接。实现防火墙策略,和访问控制(ACL),我们这里用的是四台电脑。 方案说明: 四台PC的IP地址、掩码...
IP地址过滤防火墙
05-22
防止国IP访问攻击国内服务器功能,包含最近国IP地址段的列表,根据配置来进行IP拦截,具体配置如下: 1、上传安装包 安装包为ZIP压缩包:ipfirewall.zip,利用SSH工具上传到服务器上,执行如下指令解压: ...
F5做负载均衡防火墙添加IP规则后访问web应用失败
Terisadeng的博客
09-20 5349
应维护中心关于网络安全的要求,需要所有项目都不能通过公网IP直接进行访问,只能通过域名,再经过统一入口地址进行访问。 所以需要在所有项目的防火墙上添加过滤规则。 比如现在有一个项目通过8008端口进行访问,原来的防火墙配置如下: -A INPUT -m state --state NEW -m tcp -p tcp --dport 8008 -j ACCEPT 8008端口是对放开的,现
解决ensp防火墙(USG6000V)web无法打开
weixin_54223979的博客
05-06 1万+
解决ensp防火墙(USG6000v)开启web服务却还是打不开web的问题。
解决不能访问Centos7中的web网站,即防火墙配置问题
热门推荐
诗水人间
11-14 15万+
添加防火墙规则: firewall-cmd --permanent --add-port=端口/协议 firewall-cmd --permanent --add-port=80/tcp 使规则生效,重启防火墙 systemctl restart firewalld.service
华为防火墙-管理配置
AZK707的博客
03-30 8446
1.使用eNSP拓扑图搭建以下拓扑图,并按如下要求规划IP地址(其中X为自己学号的后两位) 2.通过Console口登陆 (1)通过Console口登录USG防火墙 配置USG的设置名称和时间等 3.启动SSH服务 启用SSH服务 创建SSH管理员账号 生成本地密钥对 (4)配置VTY用户界面 (5)配置SSH登陆接口 (6)在路由器上SSH登陆防火墙测试配置是否成功,测试结果截图 4.通过WEB方式登陆设备 Note:缺省情况下,设备的GE0/0/0的IP地址是192.168.
华为 SecPath 防火墙 常见flood攻击防范典型配置
net527的专栏
05-09 1294
一、组网需求SecPath 开启syn-flood、icmp-flood和udp-flood的攻击防范,防止对Server的flood攻击。二、组网图        软件版本如下:    SecPath10F:VRP 3.4
华为防火墙USG多出口网络场景是如何排除故障的?
mengmeng_921的博客
03-22 984
故障案例 USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查 问题描述 USG2230配置等价路由时从访问内网服务器映射出去的公网地址是通的,但将映射出去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从网再访问却不通。 处理过程 根据问题的描述可以判定导致该问题的原因应该是没有配置源进源出功能所致,在各个出接口下配置源进源出功能: interface GigabitEthernet0/0/0 ip address A.A.6
华为USG6000V防火墙学习
宝耶需努力的技术分享博客
09-04 3662
华为USG6000V防火墙学习 实验示例: 实验要求: 1、登录防火墙,修改初始密码并保存保存设置; 2、开启对应接口https服务功能,修改端口IP地址,使用浏览器登录防火墙的web控制台; 格式:https://端口IP地址:8443 3、开启对用接口ping服务功能,使用本地Windows PowerShell命令行ping通对应端口的IP地址; 4、制定防火墙策略,用本地Windows PowerShell命令行ping通对应端口的IP地址,使得可以和本地通信。 实验配置: User inter
华为防火墙之NAT技术
知识分享,学习记录,技术人生,,经验心得交流,IT晋升之路,一起成长,一起进步。
06-27 2345
对IP报文的源地址进行转换,,使大量私网用户可以利用少量公网IP地址访问Internet,大大减少了对公网IP地址的消耗。源NAT转换的过程如下图所示,当私网用户访问Internet的报文到达防火墙时,防火墙将报文的源IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和Internet上的主机来说是完全透明的。
四、防火墙-NAT Server
u012451051的博客
11-24 1291
第一条,反向表,将报文源地址192.168.10.2转换为110.1.1.1,第二条,反向表,将源地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文源地址由192.168.10.2转换为110.1.1.1,又可以将源地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。
华为nat配置实验:内网能够访问网,内网服务器80端 口映射出去
最新发布
02-04
华为的NAT(Network Address Translation,网络地址转换)配置实验可以实现内网能够访问网,并且将内网服务器的80端口映射出去。 首先,在华为设备上进行NAT配置。我们可以使用命令行或者图形界面进行配置。假设...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值