华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A

最新推荐文章于 2022-12-07 23:11:49 发布

weixin_34075551

最新推荐文章于 2022-12-07 23:11:49 发布

阅读量294

点赞数

文章标签：运维网络

本文链接：https://blog.csdn.net/weixin_34075551/article/details/85131326

版权

华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A

课程目标：

本课程卷A的核心目标是：对华为USG防火墙的入门规划、架构设计、和任何环境都可能用到的必配功能，及相关工作经验进行演示和描述。让初学者快速入门、让集成商及终最用户的管理员快速的理解华为USG防火墙的配置，为后期在防火墙上实施高端功能(高可用性、***、IPS、AV、虚拟防火墙等)打下基础。

课程内容：

卷A教学录像所包括的内容有：任何厂商防火墙的通用规划特点，华为的USG到底是什么？防火墙、***网关、IPS、防毒墙、或者……；推荐USG的理由；华为安全区域的定义及安全区域的方向、各个安全区域（信任、非信任、DMZ、Local）的默认安全关系、演示在信任和非信任区域中USG的远程管理（telnet\SSH\Web)；、网络管理行为与经验、有了安全设备当没有的愚蠢行为、安全区域规划的经验、从集成商或者用户角度来理解USG的三层和二层模式的取舍、华为USG透明模式的配置、以及如何规划管理接口、安全区域等级的划分、策略配置、Internet访问（NAT）及相关实践鉴评、理解防火墙安全策略（重点）、安全策略的粒度配置并鉴评部署安全策略的经验、简化策略配置的公共对象；理解防火错墙上的必须理解的服务-NAT、地址池方式的NAPT和NATServer、配置接口IP方式的NAPT和NAT Server、向不同ISP公布不同公网IP地址的NAT Server（出接口属于不同安全区域的多公对一私）。及出接口属于相同安全区域的多公对一私、带参数no-reverse的意义、加Zone的意义等、分析向不同ISP公布同一个公网IP地址的NATServer引发路由错位、理解原进原出、理解在同一安全域内的双向NAT（单臂NAT）。

卷A的另一个核心：正本清源的来理状态检测技术与常规包过滤的差异，从性能和安全上进行差异分析。理解应用层包过滤ASPF（重点），状态检测是如何处理ICMP、TCP、UDP、什么时侯需要关闭状态检测理解长连接、长连接的规划注意事项，理解多通道协议的工作原理，常规包过滤防火墙检测它的难度。配置FTP深度检测功能、端口映射、对分片报文的处理的案例；理解关于防火墙的会话表、长连接、防***措施、IP-MAC绑定、黑明名单、IDS联动（后期有更详细专项课程作分析）、防***、IP-MAC绑定、黑明名单案例配置；结束，总A卷完成后能满足的工作环境、该如何进阶、引出卷B内容。

1-9课为入门免费公开部分（10课以后为收费部分）

免费部分的下载位置：http://yunpan.cn/cFwvS9GEnGRd4

访问密码 81bb

完整课程的位置：http://edu.51cto.com/course/course_id-4932.html

第一课：任何厂商防火墙的通用规划特点

本课一开始就描述了深度理解USG分割的8个核心知识块学习的先后顺序，包括描述了目前市面上各个厂商的防火墙或者安全网关都是基于状态检测的特性、各个厂商的防火墙都要规划安全区域包括信任（内部）、非信任（外部）、DMZ（非军事防御区域）。描述安全设备与数通设备是不一样的设计思想，它的默认行为是“宁杀错，不放过”的原则，默认是不允许安全区域之间通信的，所以理解安全设备的策略设计是一件非常重要的事情。所有厂商的安全设备都需要将一个接口关联到一个具体的安全区域（信任、非信任、DMZ）所有的厂商对安全设备自身都有一套属于自己的策略机制。

第二课：华为的USG到底是什么及推荐它的理由

华为的USG到底是什么？防火墙、***网关、IPS、防毒墙、或者……，简介USG的产品线、推荐USG的理由。本节适合售前工程师和初次了解USG的人群。然后描述了华为防火墙的安全区域特性，初本描述了安全域间的方向（重要）。华为USG的默认安全行为。

第三课：演示：华为防火墙各个安全区域（信任 非信任 DMZ）与local区域的默认行为

本课是通过取证和实验华为防火墙入门非常重要的一堂课，通过防火墙在网络拓扑的连接情况，取证防火墙各个安全区域（信任非信任 DMZ）与local区域的默认行为，以及如何通过防火墙默认的包过滤行为，放行与local区域的通信，其主要目标是为了网络管理。本课与第四课的区别在于重点关注local安全区域的相关事项。本课暂不涉及区域间的通信，主要以描述不同区域与设备接口之间的默认通信原则。

第四课：演示：各个安全区域（信任、非信任、DMZ）之间的默认安全关系

本课主要描述、取证并实验各个安全区域（信任、非信任、DMZ）之间防火墙的默认包过滤策略为拒绝一切，并根据实践需求放行相应的流量，申明哪些行为是在边界安全规划中的推荐思想，应该避免哪些放流的行为。在描述整个案例全程采取了现象反推论法完成。

第五课：演示：在不同安全区域中telnet华为的防火墙（注意安全策略）

本课主要描述了，在华为USG防火墙上的telnet配置，重点在于演示网管主机处于不同安全区域（untrust和trust）telnet防火墙时，安全策略的放行及相关注意事项，以及如何利用设备固有配置来减少telnet的配置时的过多指令敲入，使得整个设备的配置看上去更简洁。包括直接调用设备默认的关于网管的AAA配置完成telnet的验证，以及在VTY线序下提权为级别3

第六课：演示：华为USG的SSH登陆及分解SSH服务器身份验证的意义

本课首先帮助有数通基础的工程人员回忆SSH的工作原理，特别说明一下SSH的方式并演示实施过程包括SSH的分类（密码认证和RSA认证），在用户没密码与身份鉴别技术基础之前，建议只演示SSH的密码认证过程！注意一个完整的安全技术应该包括身份鉴别与加密。

第七课 关于Web管理、带外管理经验、入门的安全规划原则

本课通过放样USG的面板，认识USG的默认带外管理接口G/0/0/0并识别设备的预配置的Web管理指令和默认的用户名及密码，如果没有默认配置，用户如何启动对USG的Web管理。鉴评：网络管理行为与经验、演示：有了安全设备当没有的愚蠢行为、一般情况下，建议使用如下经验部署您的边界安全设备。

第八课 理解并演示USG典型的部署架构、自定义安全区域的注意事项、透接与三层的取舍

本课描述了防火墙的的部署架构非常灵活跟据不同工业场景部署是不一样的，包括：不破坏用户原有网络架构的防火墙透明接入；三层接入（常见）；二、三层混合接入（二层接口+Vlanif接口+外部三层接口）（常见）；关于其它具备实践性意义的架构（不常见）。以及在透接模式下如何建立网管接口，以及什么时候使用自定义安全区域，以及自定义安全区域时的注意事项，鉴评：从集成商或者用户角度来理解USG的三层和二层模式（透明）的取舍。

第九课：案例演示：华为USG的安全区域等级的划分、策略配置、Internet访问

自本节课程开始正式的逐步进入具备实践意义的课程了。在本课程中，通过一个工业环境网络的环境规划网络中的trust\untrust\DMZ安全区域，从实践的角度调整针对trust、untrust、Local区域的默认的包过滤安全策略，配置内部网络通过PAT共享防火墙外部接口的公共地址访问Internet、通过配置基于目标的NAT（NAT server）让DMZ区域的服务器对外部世界提供伺服、粒度化调整从untrust区域到DMZ区域的安全策略。并回放了一个重要的工程经验：在工业网络被内外分割的情况下，trust和untust都要访问DMZ区域中的DNS时，DNS服务器上的A记录到底应该配置私网IP还公共IP。然后分析了，同一台防火墙上同时存在PAT和NAT server时，PAT区域的主机要访问NAT server区域的主机是否会执行两次NAT翻译，通过实践环境说明访问过程，并取证这种情况，最后在这个本课节尾时引出一些相关常见的疑问和故障。

第10开始到A卷的结束第35课止为收费部分（不免费公开，为支费者提供答疑）

第十课：经验鉴评：NAT和在防火墙的常见问题（多通道协议与ALG）

在具备第九课的基础之上，主要描述企业入门级网管的常见疑问：如何在NAT策略中翻译多个子网访问Internet，多个子网访问Internet的配置，以及多个子网访问Internet遭遇的路由问题.如果在DMZ区域做对外伺服的NAT时，如果两台使用私网的服务器只有一个公共IP可用，怎么办？如果在只有一个公共IP可用的情况下，两台服务器还提供同一种伺服怎么办？然后重点帮助工程人员理解并取证多通道协，分析了在使用多通道协议（比如：FTP、QQ等）在穿过防火墙时，状态检测及NAT可能出现的问题，如何解决？NAT ALG功能等。

第十一课：经验鉴评：由于路由导致的NAT的故障

由于执行NAT防火墙的外部分配了与本地接口不同子网的公共IP，引发NAT的故障，本课描述了关于这类故障的解决方案，以及使用NAT在内网部分常规人群易犯的错。

第十二课：理解并演示：防火墙粒度安全策略控制通用原理与域间控制（A卷课程重点）

对域间、域内、设备访问控制、接口收发流量的安全控制、用户认证访问网络进行概述，申明简单的包过滤与防火墙***检测的差异、防火墙安全策略执行的逻辑、并解释为什么必须要包过滤被允许的数据才被送入***检测的原因、并描述和演示了使用粒度化的方式配置域间安全策略及效果检测，通过演示实例说明不合理的安全策略规划将导致过滤策略被旁路，造成安全风险，说明配置安全策略的窍门。

第十三课 理解并演示：域内控制与策略顺序、模式、步长

本课紧接十二课的内容，对域内安全策略进行了描述，说明了一般初学者对域内安全策略容易理解错误的地方，取证了域内安全策略与域间安全策略不同的默认行为，并演示了如果在域内隔离两个不同部门的通信。然后对域间和域内安全策略组成和匹配顺序进行了说明，包括安全策略排序的两种方式（人工和自动），如何调整安全策略的顺序，在自动模式下如何实施安全策略的步长，以及UTM的其它功能为什么在模拟器或者有些真设备不可用，何时可以使用UTM的其它功能。

第十四课：鉴评：关于安全策略的配置思路与经验

对安全策略部署的两种思路做出说明，让用户根据自身的情况进行取舍，包括何时建议启动防火墙的默认包过滤行为、穿过防火墙网速变慢的原因，处理的线索、理解安全策略可以为二层和三层策略，不同层次的策略分别应用于哪些架构、关于接口控制的核心技术是什么？哪些USG系列支持接口包过滤功能、MAC包过滤与硬件包过滤。

第十五课：华为USG防火墙模式下安全策略专项训练

一、按照图型自定义两个安全区域分别为serversec(60)、lansec(95)。并将防火墙的g0/0/1和g0/0/3规划到相应的安全区域；二、将防火墙的g0/0/2-4规划到 trust区域。

三、保持防火墙的默认安全行为不允行改变（也就是不允行使用firewall packet-filter default 指令及任何参数,要求使用安全策略粒度化控制通信）四、要求防火墙不同安全区域都仅能ping通防火墙上各自的网关地址（不允行使用firewallpacket-filter default 指令及任何参数，要求使用安全策略粒度化控制通信）；五、完成上述配置后请回答trust区域的两个子网是否能在不加任何安全策略的情况下通信？并回答为什么；六、如果希望同一个安全区域trust中不同两个子网默认被隔离通信该怎么处理，请执行这个配置。并指出实践工程环境的应用场景；七、完成第七项配置后，C能否与A和B通信？A和B之间能否通信，如果能请说明为什么？八、配置trust安全区域可以主动访问serversec区域，反之则不能（不允行使用firewall packet-filter default 指令及任何参数，要求使用安全策略粒度化控制通信）；九、配置lansec安全区域可以主动访问 trust和serversec,反之则不能（不允行使用firewallpacket-filter default 指令及任何参数，要求使用安全策略粒度化控制通信）十、为什么不让serversect和trust主动访问lansec,通过安全设计原则来回答十一、部署Web和DNS服务器，DNS的域名为usg.com十二、要求非工作时间不允许Trust和lansec访问Web服务，但是任何时间可以访问DNS服务。（注意这里有个坑，安全策略不会生效）

第十六课：演示为简化防火墙配置管理的公共对象配置

本课主要描述为简化防火墙的配置管理，对公共对象地址集、服务集、时间段的定义与配置，其中包括：为什么要使用公共对象，如何定义基于object、group不同类型的地址集、执行地址集的套嵌的意义、定义基于object、group不同类型的服务集、通过定义服务集如何减少重复配置、执行服务集的套嵌的意义、理解预定义服务集与自定义服务集的差别、如何定义时间段，为什么要定义时段，区别相对时间与周期时间、如果一个时间段内既有绝对时间又有周期时间并存时该依据一个怎样的原则来确保时间生效、并通过多个实例说明一般情况下绝对时间在工业环境中应用于何处？周期时间用于何处？

第十七课：必须理解的所有厂商安全设备上NAT的通用原理

本课主要描述所有厂商安全设备上NAT的通用原理，包括基于源NAT中的PAT和no-NAPT（常规动态NAT），并说明了PAT可以基于仅有的一个公共IP也可以基于多个公共IP，PAT与no-NAPT的最大区别是什么，并申明no-NAPT常见的应用环境；然后描述了基于目标NAT的两种形式：一对一的NAT-server，一对多的NAT-server；然后描述了双向NAT的意义及可能出现的相关实践环境，初学者对双向NAT可能理解有误的一个情况，最后对域内NAT（单臂NAT）迫使内部流量强制流向防火墙的应用作了说明，为整个NAT部分的实践演示打下了相关的必备基础。注意这些理论并非仅为华为所支持，其它设备，只要是知名厂商设备都应该支持的。

第十八课：演示：多个地址的PAT和使用一个地址的多对一NAT-server

本课是在学员已经具备第十七课的基础上，开始对实践环境中的各种NAT来作演示的第一个案例，该案例详细的演示了基于多个公共地址的PAT配置，以及使用一个公共地址的多对一NAT-server的配置，看到多对一NAT-server可以通过套接字来识别不同的NAT会话，理解在这种多对一的NAT-server的情况下，ICMP的检测特性丢失，并理解为什么。

第十九课：演示：PAT和NAT-server都使用同一个公共IP的案例

本课主要演示企业有多台使用私有IP的服务器需要提供给Internet用户访问，同时企业的内部使用私有IP地址的主机也需要被代理成一个公共IP地址访问Internet，但是此时企业仅有唯一的一个公共IP地址，那么如何将这一个仅有的公共IP地址拿来映射给多个使用私有IP的服务器，同时又能让内部用户可以使用NAT代理上网。在整个案例中还顺带描述了在这种只有一个公共IP的情况下，企业DNS服务器A记录的注意事项，以及ICMP检测功能丢失的原理和理由。注意这个案例并不是双向NAT，双向NAT将在第二十课描述。

第二十课：演示：防火墙特殊环境下同时对一个会话的源和目标进行NAT翻译

　　双向NAT一般被这样的环境所设计：假设一个处于公共网络的A主机需要使用一个公共源IP地址去访问一台私网络中使用RFC1918的私网地址被映射成为公共IP的地址伺服器，同时安全设备不允许主机A的使用原本的公共IP进入特定的网络，需要将其源IP翻译成一个安全设备允许的或者指定的IP，所以在这个过程中需要同时对一个会话上的源和目标执行翻译，这种情况多出现在进入内网需要对特点的源IP进行审计的情况下。

第二十一课：域内NAT（单臂NAT）和NAT Server（迫使流量必须经过防火墙）

当服务器与客户端都处于同一个安全区域内，用户原本可以通过私有IP访问服务器，只需要通过交换机客户端就能和服务器交换流量，这样就会旁路防火墙，现在由于管理员可能怀疑内部区域的流量也不安全，需要强迫客户端在同一个安全区域内将流量发到防火墙，并以公共IP作为源和目标，来访问原本处于同一个安全域中的使用私有IP的服务器。达到单臂NAT的效果，让防火墙对客户端的流量做更***的分析。事实上，这就是在同一个安全域中的双向NAT。

第二十二课 演示：向不同的ISP公布不同公网IP的NAT-server(出口处于不同安全区域）

现代化企业边界都使用两条不同运营的链路进行备份和负载均衡已经是司空见惯的事情了，那么访问速度的问题也产生了，比如你将你私网络服务器映射为联通的公共IP，那么移动的Internet用户来访问这个联通的公共IP，速度一般会很慢，反之亦同，那么你已经具备了两根ISP的链路，你到底是将私网络的服务器映射为联动的好呢？还是移动的好呢？为了防止不同ISP访问的网速过慢，向不同的ISP公布不同公网IP的NAT-server(出口处于不同安全区域），并且理解为什么要使用两根不同运营商的链路来备份或者负载均衡？什么是原进原出法则，在多运营商链路接入时，如果设计NAT，引出并取证由于违反原进原出法则的通信故障。

第二十三课 插一堂解答典型公众疑问的课程

本堂课主要描述了，实践环境中关于多运营商链路源进源出的规划，以及在NAT-server中一个公共IP映射多个私有IP地址时的套接字及NAT正反一致性检测的相关疑问；多个公共IP映射为一个私有IP，加套接字也写不进设备的原因，关于多公对一私的反向NAT一致性检测失败的原因，然后描述了两种解决方案：安全设备上加上不同的Zone或者禁用反向翻译。并分别描述了这两种解决方案的得失。并理解NAT-server时加上参数Zone与不加的区别是什么？加上参数no-reverse 与不加的区别是什么？

第二十四课 演示：多公对一私出口处于同一安全区域的案例

本堂课主要是强化对多公对一私的NAT-server，关于一致性问题的论证，并应用于实践案例中，当防火墙使用多运营商链路，并且将多运营商链路规划到同一个安全区域中，此时多公对一私的NAT-server，将丧失使用安全zone来加强反向一致性检测的特性，只能通过参数no-reverse解决，当服务器在no-reverse配置下丢失了反向NAT功能后，使用基于不同运营商出口地址的源NAT来弥补反向NAT丢失的功能。

第二十五课：演示：向不同ISP公布同一个公网IP地址的NAT Server导致路由错位

企业用户有两根链路联通和移动的WAN，联通的链路用于Internet访问，并且现在由于业务需求，仅将一个联通的公共地址202.202.1.100映射到私有服务器172.16.1.100，，由于内部用户需要访问Internet，所以在防火墙上配置了到Internet的默。认路由0.0.0.0 0.0.0.0的下一跳为联通的IP，同时该企业有到目标是移动网络的业务，所以也在防火墙上配置了到移动网络的一条具体路由。然后现在问题出来了，移动运营商的用户需要访问企业DMZ区域的202.202.1.100（172.16.1.100），由于你映射的公共地址是联通的也就是把一个公共IP发布到了不同的运营商中，所以移动的用户只能通过联通的网络去访问172.16.1.100，然后返回的流量就会在防火墙上错位，导致访问速度很慢，或者丢包的现象。

第二十六课 :理解并配置：状态检测、会话表、长连接（上部分）

在前面已经具备防火墙的基础配置能力后，现在来详细理解防火墙的工作原理，如果没有前面的描述，估计初学者瞬间放弃，在本课中理解防火墙的会话表,从两个典型特性（性能和防御***上）来理解状态检测的意义，状态检测必须依赖防火墙的会话表，但会话表不仅仅为支持状态检测而存在。一个真正意义上的状态检测还得依赖于ASPF及server Map表。同时详细描述了主动FTP和被动FTP都在载荷中封装了随机的端口号，为什么主动FTP不能通过常规的状态检测，被动的FTP却能通过。

第二十七课：理解并配置：状态检测、会话表、长连接（下部分）

本课紧接第二十六课的内容，总结状态检测是如何处理ICMP、TCP、UDP报文通过防火墙，理解会话往返不一致路径的情况，描述何时必须关闭防火墙的状态检测，当在工业环境中出现业务故障时，如何通过查看会话表信息大致定位发生故障的原因，理解什么防火墙的长连接，通过实践需求来说明，何时需要配置长连接，为什么长连接的范围过大会影响防火墙的性能，演示：配置会话记录老化时间和长连接的配置。

第二十八课：理解并配置：状态检测如何与ASPF、Server Map协同

理解什么是单通道协议，什么是多通道协议，一般的状态过滤对多通道协议执行检测的困难在那里，然后以分析取证主动模式的FTP为实例来理解状态检测如何与ASPF、Server Map协同，并配置ASPF使其主动模式的FTP通过防火墙的状态检测。解释一下华为文档上容易引发初学者误解的描述。

第二十九课：理解Server Map的作用与意义、端口映射、分片缓存

解疑在不启动ASPF的情阅下为什么华为文档说被动FTP通不过防火墙，而思科的却永远拿主动FTP穿越防火墙说事儿，本课详细的描述了Server Map是如何处理多通道协议，如何处理STUN类型的即时通信软件的状态检测与应用识别，因为类似QQ\MSN等软件是不法确定任何外部来源的IP和端口号的，那么ASPF将如何工作，去建立怎样的Server Map关系。以及server Map是如何建立NAT server的一致性关系的，如何处理NO-PAT过程。防火墙怎样去做端口映射识别及分片缓存。

注意：26-29（共4节课）是理解防火墙工作原理的核心内容，建议必须清晰的理解！方便学习者从一个厂商的防火墙，复盘到其它厂商的设备，千万别死记指令！

第三十课：演示：防火墙建立动态及静态的黑名单、IP-MAC的绑定

本课对黑名单功能进行描述，说明为什么黑名单开销系统资源少，动态与静态黑名单的差异，演示***被防火墙检测出后，动态加入到黑名单，及手工配置静态黑名单。理解将IP和MAC绑定的原因是什么，IP和MAC绑定的前提条件是什么，演示MAC与IP地址的绑定。解释了很多初学者的疑问，比如：对IP-MAC绑定与常规ARP表的区别，IP-MAC可以静态配置，而ARP表也可以静态配置，如果发生冲突，那么结果会是怎样，IP-MAC捆绑与常规ARP的关系是怎么?

第三十一课：演示：防火墙***防御配置（上部分）

理解***的分类：流量类型***、扫描窥探***、畸形报文***、特殊报文***。并对应上述几种分类的***，本课首先取证了SYN泛洪***的特点，然后分别描述了在华为设备上针对SYN泛洪***的三种防御方案：配置连接门限、源探测、TCP代理，但是本课的关键在于给初学者便识一个重要的疑问：在仅使用连接门限防御SYN泛洪***时，达到告警值时，难道只给用户告警，不采取任何实质性的防御措施吗？难道坐等最大门限的到来？难道它就毫无理志的丢弃过载的SYN包吗？其实设置TCP的连接门限防御方案时，会悄然声息的调用TCP代理防御的AUTO模式，并取证这个过程。所以说所谓典型的三种对SYN泛洪***的防御，其实质上只有两种。以及为什么推荐使用源检测来防御SYN泛洪等。

第三十二课：演示：防火墙***防御配置（下部分）

本课主要紧接上一课的内容，针对扫描***和畸形报文进行描述，演示并证取ICMP扫描、端口扫描、Smurf***、LAND***的原理，并针对上述***原理在防火墙上开启相关的防御功能。

第三十三课：演示：防火墙与***检测系统（IDS）的联动

本节课将描述USG如果处于UTM模式下，那么它自身将具备IDS/IPS功能，如果USG处理防火墙模式下或者不具备UTM功能时，它可以和华为的***检测系统（IDS）联动，所谓联动的概念事实上就是协同防御，类似于小哥在思科***检测课程中所描述的blocking功能，并指明思科的IDS是不能和华为的防火墙进行协同联动防御的。演示在华为的USG防火墙上配置IDS协同防御。