USG2100透明模式安全策略限制不生效

最新推荐文章于 2024-07-23 16:29:05 发布
最新推荐文章于 2024-07-23 16:29:05 发布
阅读量353 收藏 3
点赞数 7
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42803019/article/details/123817316
版权

USG2100透明模式安全策略限制不生效

发布时间:  2019-07-20  |   浏览次数:  1186  |   下载次数:  0  |   作者:  cWX536825  |   文档编号: EKB1001771010

目录

问题描述处理过程根因解决方案

问题描述

USG2100通过透明模式部署,防火墙Ethernet1/0/1属于untrust区域,Ethernet1/0/0属于trust区域,接口配置的access模式,加入的VLAN2。反馈trust和untrust接口间配置的安全策略不生效,从untrust区域下的设备始终能访问trust区域下的设备,当前防火墙系统版本V300R001C10SPC500 

处理过程

1.USG2100是老防火墙,首先通过display firewall packet-filter  default  all反馈下当前域间策略,发现当前所有策略都已经放行了

转存失败重新上传取消

2.当前要实现untrust区域不能访问trust区域,修改配置执行firewall packet-filter default deny interzone trust untrust direction inbound测试

3.执行如上命令行后untrust区域还是能访问trust区域下的设备,从untrust区域下的62.10.10.254还是能够ping通trust区域下的62.10.10.1,执行display firewall session table  verbose source inside 62.10.10.254 destination inside 62.10.10.1查看会话发现会话数为0

4.设备一直在长ping并且能通,但防火墙没有会话,说明数据报文可能没有上送CPU处理,查找手册得知老款的设备有交换板卡,如果一进一出的接口都是交换板卡的接口,那么数据直接走板卡,不会上升到CPU处理,所以安全策略是不生效的

5.要让数据报文通过防火墙上送CPU处理,因此需要将设备默认三层接口切换成二层口并接入网络中,具体操作:将eth0/0/0切换成交换口并加入untrust区域连接外网设备,并执行undo l2fwdfast enable禁止二层接口快速转发功能即可

根因

1.老款的设备有交换板卡,如果一进一出的接口都是交换板卡的接口,那么数据直接走板卡,不会上升到CPU处理,所以安全策略是不生效的,当前USG2100的Ethernet1/0/0到Ethernet1/0/7口属于二层交互接口卡,但是设备自身的Ethernet0/0/0口属于三层接口,因此将该接口切换成二层并接入网络即可
2.当设备开启二层接口快速转发功能后,二层转发业务不处理安全功能模块,因此需要关闭该功能
3.此次案例的产品型号:USG2120BSR,对应版本V300R001C10SPC500。如果遇到老防火墙的接口名称类似如 Ethernet1/0/1-Ethernet1/0/X,该序号的所有接口不支持配置IP地址,那么这种Ethernet1/0/X属于二层接口卡,需要将另外的三层接口切换成二层口接入网络中,以达到报文可以上送CPU处理,实现安全策略控制

解决方案

将防火墙默认三层口eth0/0/0切换成交换口并加入untrust区域连接外网设备,并执行undo l2fwdfast enable禁止二层接口快速转发功能即可

weixin_42803019
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2236
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
防火墙详解(USG6000V)
Thewei666的博客
07-08 1124
例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求会话表技术:提高转发效率的关键,其主要是采用老化机制。
华为USG6306多线负载均衡、ISP选路配置记录。
超燃&超自然
09-12 1万+
UP: 假如多链路(电信和移动)设置了过载保护,并且全局模式下为根据负载分担流量的话,可能导致企业微信发送接收消息乃至图片转圈,并且发送失败,可取消链路过载保护,改成主备模式分担,策略路由规则也是如此。 UP: 如开启了DNS透明代理功能,静态域名列表则不生效! 付USG6000&USG9000系列使用手册,必须先做好基本的配置再看本教程! 前排警告,使用手册有些错误,不一定准,楼主看了走...
2024年网络安全最新华为HCIP Route&Switch认证学习笔记总结_臧老师的笔记
2401_84301948的博客
05-01 115
软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。SDN采用分层的开放架构,定义集中式架构和Openflow的是ONF。SDN基本工作过程包括哪些步骤:拓扑信息搜集、网元资源信息收集、生成内部交换路由。
华为安全 HCIP722笔记
u014576453的博客
03-20 9397
华为安全722题库知识点总结。
华为防火墙配置(防火墙NAT)
热门推荐
1风天云月的博客
12-05 1万+
目录 前言 一、防火墙NAT概述 1、防火墙NAT策略介绍 2、NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3、NAT策略组成 4、NAT策略匹配规则 5、NAT策略处理流程 6、源NAT的使用限制 7、目的NAT的使用限制 8、与双机热备结合使用的限制 9、其它使用限制 10、源NAT简介 11、源NAT分类 (1)NAT No-PAT (2)NAPT (3)Smart NAT
防火墙相关内容补充
m0_61858762的博客
01-29 2339
防火墙的分类及其部分相关内容,
数通IP-222
qq_41862216的博客
10-09 3400
1、为了给不同的用户或业务提供不同的服务,可以根据报文的信息(如报文优先级、源IP、目的IP、端口号等)来精细划分用户或业务,那么为了实现划分功能,我们通常采用的QoS技术是? A.拥塞避免 B.流量监管 C.复杂流分类 D.拥塞管理 【正确答案】C 【答案解析】给不同的用户或者业务提供不同的服务,可以根据报文信息进行分类 ,分类包含简单流分类和复杂流分类,比如用报文优先级、源IP、目的IP、端口号等来精细划分用户或业务的,所以正确答案是“复杂流分类”。 2、SDN架构主要包含两个接口:N
防御保护--前六天笔记整理
最新发布
wzhlove_的博客
07-23 358
防火墙的核心任务 --- 控制和防护 --- 安全策略 --- 防火墙通过安全策略识别流量并做出相应。优先级---1 -100 ---从优先级高的区域到优先级低的区域----出方向---Outbound。保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用。策略路由 --- PBR --- 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行。
华为USG2100防火墙配置文档-配置安全策略参考.pdf
02-04
华为USG2100防火墙配置文档-配置安全策略参考.pdf
Secoway_USG2100_BSR&HSR;_V300R001固件
06-15
_V300R001固件是一款针对Secoway USG2100系列防火墙设备的更新软件,其核心目标是提升设备的安全性和稳定性。这款固件版本V300R001代表着该软件的一个特定迭代,通常会包含性能优化、新功能添加以及已知问题的修复。...
USG2100 快速入门
03-25
USG2100 快速入门手册,初接触者使用。
USG2100&BSR;&HSR; 最新固件
03-05
涉及USG2100,USG2110-A-GW-C,USG2110-A-GW-W,USG2110-A-W,USG2110-F,USG2110-F-W,USG2120BSR,USG2130BSR,USG2130HSR,USG2160BSR,USG2160HSR型号
USG6000防火墙安全策略实验.zip
03-03
USG6000防火墙安全策略实验
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8342
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于当前信息(截至2024年7月)的SpringCloud配置概览
07-22
基于当前信息(截至2024年7月)的SpringCloud配置概览
毕业设计javajsp校园二手商品交易(jsp+sqlserver)-qkrp源码含文档工具包
07-22
毕业设计javajsp校园二手商品交易(jsp+sqlserver)-qkrp源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 本系统以JSP为主要制作工具,实现了用户注册、登陆、商品发布,商品浏览/查询、对商品的购买使用购物车以及用户订单生成等功能,从而实现了一套比较完善的网上二手商品交易平台。系统的前台主要是客户浏览和操作,系统的后台只有管理员可以进行操作主要实现了客户管理,公告管理,订单管理等。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
以ImageNet数据集为基础,构建深度神经网络,演练图像分类或目标检测或图像分割问题的高分课程报告
07-22
报告题目: 以ImageNet数据集为基础,构建深度神经网络,演练图像分类或目标检测或图像分割问题。 报告要求: (1)图像类别不少于200,图像数量不少于10.000,评价指标不少于4种,包括但不限于Accuracy Precision,Recall,F-score,PR,ROC和AUC; (2)需对预训练神经网络模型进行改进,创新可从模型架构、损失函数、训练策略等方面入手; (3)图像分类精度不低于85%,实验结果与不少于3种经典的机器学习算法进行对比,例如SVM 聚类、神经网络预训练模型等; (4)参考顶会、顶刊、毕业论文写作方式,中英文均可,正文内容包括题目、研究背景及意义 相关知识、方法介绍、实验及结果分析、结论等,报告正文不少于5页,外加参考文献1页(近2 年文献需占40%及以上) 评分标准: 给自己的研究起一个响亮高级的题目占10%,对深度模型进行一定改进(非直接采用预训练模 型)占30%,对比实验效果好占30%,论文写作及参考文献引用均满足页数要求日符合学术规范 占30%。
usg6000透明模式
05-01
USG6000透明模式是指在网络安全防护设备中使用一种特殊的方式,将其置于网络中间,既能起到网络安全防护的作用,又能保证网络的正常运行。通常情况下,网络中有多个不同的子网,每个子网都拥有自己的IP地址范围和网关等信息,而当USG6000透明模式开启后,在网络的整个通信链路中,USG6000会像一个“无形的神奇盒子”,使得整个网络的通信流量都被动态地路由到其内部进行检测,而不影响子网间的通信。 USG6000透明模式的特点在于它不需要对网络进行改动,不需要更改IP地址、不需要更改路由信息,也不会影响网络的带宽。其主要原理在于,将USG6000安装在网络中间,使用网线连接至双向交换机或双网卡服务器,使得USG6000成为一个链路层设备,可以对网络中的所有数据包进行监测、过滤、分析等操作,同时依据设定的规则对可疑行为进行拦截和防范。 USG6000透明模式对中小企业或家庭用户来说是非常实用的,可以有效地防护网络攻击和病毒侵入,保护企业或个人关键信息的安全。此外,USG6000透明模式还具有安装快速、部署简单,在线升级等优点,为用户带来更好的使用体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_42803019

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值