分类:

  • 包过滤防火墙---基于数据包的

  • 代理防火墙

  • 状态检测防火墙:由内部向外部的访问生成状态会话表项(源目端口,源目IP,协议号 五元组),当外部访问内部时默认是拒绝的,但是如果存在状态表项的话可以放行,对于外部主动访问内部的时候是拒绝的。-----五元组去匹配,基于数据流

  • USG6600]display firewall     session table

  • USG6600]display firewall     statistic system discard

  • USG]undo firewall     session link-state check     关闭状态检测机制

  • USG6600]display firewall     session table verbose

协议


开启状态检测功能

关闭状态检测功能

TCP

SYN报文

创建会话,转发报文

创建会话,转发报文


SYN+ACKACK报文

不创建会话,丢弃报文

创建会话,转发报文

   UDP


创建会话,转发报文

创建会话,转发报文

ICMP

Ping回显请求报文

创建会话,转发报文

创建会话,转发报文


Ping回显应答报文

不创建会话,丢弃报文

创建会话,转发报文


其他ICMP报文

不创建会话,转发报文

不创建会话,转发报文

 

 

模式:

  • 透明模式:当成二层交换设备,不用配IP,不会隔离现有的网段

  • 路由模式:当成三层路由设备,需要配上IP地址,传输路由数据。

 

区域:

  • 华为的防火墙的策略部署在区域上,思科是基于接口的

  • 同一个安全区域内所有接口之间默认是可以在直接互访的,不需要部署策略

  • 不同区域之间部署策略

  • 一个接口只能在一个安全区域内,一个安全区域可以有多个接口

默认华为有四个区域,无需创建,不能更改安全级别,安全级别1-100100不能用),两个不同的安全区域不能有相同的安全级别(思科两个安全区域可以有相同的安全级别)

  • Untrust    5

  • DMZ     50(通常放置服务器,而且同时可供trustUNtrust同时访问,而私网内部服务器不给外网访问时放在trust和终端放一区域)

  • Trust   85

  • Local   100(访问防火墙自身的接口==访问防火墙自身的local,比如Telnet防火墙,就是其他区域访问local区域)

 

Inbound/outbound

  • trust-->Untrust  == outbound

从安全级别高的去往级别低的 == outbound

  • Untrust-->trust  == inbound

从安全级别低的去往级别高的 == inbound

  • 不管写的时候顺序如何 Untrust trust     outbound 也是高去低

 

实际应用:

  • 当防火墙去访问其他路由器时默认是通的:默认firewall     packet-filter default permit interzone local xxxx direction outbound放行了出去的流量。

  • 但是其他路由器访问防火墙时则不通:firewall     packet-filter default permit interzone local ahang direction inbound

  • 其他区域之间默认也是不通的:firewall     packet-filter default permit interzone huawei ahang direction inbound

 

命令:

display firewall packet-filter default all

dis firewall session table

 

防火墙安全策略(USG5500):

域间:

policy interzone huawei ahang inbound

 firewall default packet-filter is deny

 policy 1 (1 times matched)

  action permit

  policy service service-set icmp (predefined)

  policy source 10.1.1.0 mask 24

  policy destination 20.1.1.0 mask 24

 

 policy 2 (0 times matched)

  action permit

  policy service service-set telnet (predefined)

  policy source 10.1.1.1 0

  policy destination 20.1.1.1 0

 

display policy interzone ahang huawei inbound

 

域内:

policy zone huawei

 policy 1

  action deny

  policy service service-set icmp

  policy source 30.1.1.1 0

  policy destination 20.1.1.1 0

 

 policy 2

  action permit

  policy service service-set telnet

  policy source 30.1.1.1 0

  policy destination 20.1.1.1 0

 

<FW1>display  policy zone  huawei

 

地址集:

[FW1]ip address-set  huawei

[FW1-object-address-set-huawei]address  30.1.1.1 mask  24

 

ASPF

更够针对一些特殊的协议实时的生成service-map的表项,比如ftp中根据应用层的信息分析出数据层面的端口和控制层面的端口

 

匹配策略时:同类为或,异类为且

USG6000security-policyrulename,先配的先生效,依次向下,可以通过rule move A before B

对于用了GRE头有两层IP头时,需要放行两层IP头。