防火墙基础学习1

最新推荐文章于 2024-07-10 10:54:49 发布
最新推荐文章于 2024-07-10 10:54:49 发布
阅读量883 收藏 3
点赞数
分类专栏: 网络 华为 网络安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44713929/article/details/109802374
版权
网络 同时被 3 个专栏收录
18 篇文章 3 订阅
订阅专栏
华为
17 篇文章 1 订阅
订阅专栏
网络安全
17 篇文章 1 订阅
订阅专栏

一、防火墙基本概念

位置:边界
形态:软件防火墙、硬件防火墙
范围:单机防火墙、网络防火墙
检测:状态检测型防火墙:数据在转发的过程中会产生一个会话表
代理型防火墙(淘汰)、
包过滤防火(淘汰)
1、防火墙的局限性:
在这里插入图片描述
2、防火墙安全区域定义
缺省安全区域
 非受信区域Untrust
 非军事化区域DMZ
 受信区域Trust
 本地区域Local
当你把防火墙上的一些接口划分到了某一个区域的时候,指这个借口下所连接的设备是属于那个区域的。
所有接口都是属于local这个区域
3、防火墙的区域
 Local区域,优先级为100
 Trust区域,优先级为85
 DNZ区域,优先级为50
 Untrust区域,优先级为5
区域优先级是无法改变,所有接口都属于loacl
华为所有防火墙的第0个接口,都是默认的预配。
所有防火墙都支持图形化配置。

在这里插入图片描述

二、 防火墙配置

在这里插入图片描述
1、 查看防火墙的默认的四个区域

[SRG]display CU

2、 自定义区域

[SRG]firewall zone name lewis
[SRG-zone-lewis]set priority 80
[SRG]undo firewall zone name lewis

3、 G0/0/0接口的默认配置(用户:admin 密码:Admin@123)

[SRG]display current-configuration   20:48:47  2019/07/11
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1

4、将接口划分到相应的区域
防火墙上如果接口没有划分到区域

 [SRG]sys FW1
 [FW1]interface GigabitEthernet 0/0/0
 [FW1-GigabitEthernet0/0/0]IP ADD 192.168.1.254 24     
Info: The DHCP server configuration on this interface will bedeleted.
[FW1-GigabitEthernet0/0/0]Q
 [FW1]firewall zone trust 	
[FW1-zone-trust]display this 
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 [FW1-zone-trust]INT G0/0/01
 [FW1-GigabitEthernet0/0/1]IP ADD 192.168.2.254 24
[FW1]firewall zone trust 	
[FW1-zone-trust]ADD interface GigabitEthernet 0/0/1	
[FW1-zone-trust]display this    21:04:59  2019/07/11
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
[FW1]interface G0/0/2
[FW1-GigabitEthernet0/0/2]IP ADD 192.168.3.254 24	
[FW1]firewall zone dmz     21:05:53  2019/07/11	
[FW1-zone-dmz]add interface GigabitEthernet 0/0/2  
[FW1-zone-dmz]display this      21:06:17  2019/07/11
[FW1-zone-dmz]int g0/0/3        21:06:28  2019/07/11
[FW1-GigabitEthernet0/0/3]ip add 202.1.1.254 24	
[FW1]firewall zone untrust      21:06:59  2019/07/11
[FW1-zone-untrust]add interface g 0/0/3	
[FW1-zone-untrust]display this   21:07:14  2019/07/11
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/3

一、防火墙的基本配置-区域间规则
1、 查看默认的区域间规则

[FW1]display firewall packet-filter default all  //查看防火墙策略命令

问:
1、 防火墙是否可以访问其他三个默认区域的设备(可以用ping)
2、 Cliene1是否可以ping通client2?
3、 三个默认区域之间可以相互访问吗?
2、 放行trust到DMZ之间的流量
放行trust 到dmz (85至50 是outbound)

[FW1]firewall packet-filter default permit interzone trust dmz direction outbound

3、查看会话表项

[FW1]display firewall session table

三、防火墙的基本配置—基本管理

防火墙 默认的登入账号:
用户名:admin 密码:Admin@123
测试一:R1可以Telnet到防火墙(local到 untrust 方向是inbound)

[FW1]firewall packet-filter default permit interzone local untrust direction inbound

/*Telnet 202.1.1.254
测试二:创建AAA账户

修改用户级别的三个方案
1、 针对某一个用户

[FW1-aaa]local-user lewis password cipher 123  //创建一个用户及密码
[FW1-aaa]local-user lewis service-type telnet  //设置用户类型是
[FW1-aaa]local-user lewis level 3   //设置权限级别
[FW1]user-interface  vty  0 4  :13:07  2019/07/11	
[FW1-ui-vty0-4]authentication-mode  aaa   //认证是通过aaa认证的

2、 针对部分用户

[FW1-aaa]local-user lewis1 password cipher 123   //创建超级用户
[FW1-aaa]local-user lewis1 service-type telnet
[FW1-aaa]super password level 3 cipher Huawei@123

3、 针对大面积用户(只用通过vty0-4就能telnet了)

   [FW1]user-interface vty 0 4   22:39:19  2019/07/11
   [FW1-ui-vty0-4]user privilege l	
[FW1-ui-vty0-4]user privilege level 3

四、防火墙的中的流量过滤

域内流量过滤:
测试:pc 1无法访问pc2(使用policy来完成)

[FW1]policy zone trust  //策略域内用    22:49:29 2019/07/11
[FW1-policy-zone-trust] policy 10      //给一个策略Id号	
[FW1-policy-zone-trust-10]policy source  192.168.1.0 0.0.0.255  //策略的源地址ip及反掩码
[FW1-policy-zone-trust-10] policy destination 192.168.2.0 0.0.0.255  
//策略的目的地址ip及反掩码
[FW1-policy-zone-trust-10]action deny   //制定规则deny
或者[FW1-policy-zone-trust-10]action permit

域间流量过滤:
测试一:只允许外网访问内部服务器的ping/ftp/www流量
非法操作
1、 放行untrust到dmz–等会解决
放行untrust 到dmz (5至50 是intbound)

[FW1] firewall packet-filter default permit interzone untrust dmz direction intbound      

[FW1] firewall packet-filter default deny interzone untrust dmz direction inbound  //关闭untrust到dmz方向的策略命令
[FW1] ip service-set set1 type object   // ip 服务集
[FW1-object-service-set-set1] service 0 protocol icmp  //ping 
[FW1-object-service-set-set1] service 1 protocol tcp destination-port 21 //
[FW1-object-service-set-set1] service 2 protocol tcp destination-port 80
[FW1] policy interzone untrust dmz inbound      
[FW1-policy-interzone-dmz-untrust-inbound-10] action permit 
[FW1] policy interzone untrust dmz   inbound 
[FW1-policy-interzone-dmz-untrust-inbound] policy 10
[FW1-policy-interzone-dmz-untrust-inbound-10] action   permit 
[FW1-policy-interzone-dmz-untrust-inbound-10] policy service service-set set1   //调用服务集
[FW1-policy-interzone-dmz-untrust-inbound-10] policy destination 192.168.3.10 0.0.0.0

/*注:ftp比较特殊,有两个通道(控制通道、数字通道),上面命令放行的是控制通道
在这里插入图片描述
2、R1上添加一条去3.0路由–等会解决

[FW1]acl 2000        21:54:44  2019/07/16
[FW1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[FW1]nat-policy interzone untrust trust outbound 
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat     //源地址nat转换
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.0 0.0.0.255
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip GigabitEthernet 0/0/3
[FW1-nat-policy-interzone-trust-untrust-outbound-10]
[FW1]firewall packet-filter default permit  interzone untrust trust direction outbound

[FW1]display firewall session table nat //查看会话表

[FW1]nat server global 202.1.1.123 inside 192.168.3.10   //私有地址 nat映射 公网地址

测试二:成功后,在把ICMP给拒绝掉。

[FW1]ip service-set set1 type object
[FW1]firewall interzone untrust dmz      21:35:50  2019/07/16	
[FW1-interzone-dmz-untrust]detect ?
  activex-blocking  Indicate ActiveX blocking 
  dns               Indicate the DNS protocol 
  ftp               Indicate the File Transfer Protocol 
  h323              Indicate the H.323 protocol 
  icq               Indicate ICQ protocol 
  ils               Indicate the ILS protocol 
  ipv6              Configure internet protocol version 6 
  java-blocking     Indicate Java blocking 
  mgcp              Indicate the Media Gateway Control Protocol 
  mms               Indicate the MMS protocol 
  msn               Indicate MSN
  nat64             Configure the information about network address and        
                protocol translation from IPv6 clients to IPv4
                servers (NAT64)
  netbios           Indicate the NetBIOS protocol 
  pptp              Indicate the Point-to-Point Tunnel Protocol 
  qq                Indicate QQ
  rtsp              Indicate the Real Time Streaming Protocol 
  sip               Indicate the Session Initiation Protocol 
  sqlnet            Indicate the SQL*NET protocol 
  user-defined      Indicate defined by user
[FW1-interzone-dmz-untrust]detect qq     21:36:00  2019/07/16
[FW1-interzone-dmz-untrust]dis this      21:37:23  2019/07/16
#interzone dmz untrust
 detect qq#
[FW1]policy interzone untrust dmz inbound      21:40:33  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound]policy 5    21:40:38  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound-5]action deny 
21:40:45  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound-5]policy destination 192.168.3.10 0.0.0.0       21:41:02  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound-5]dis this    21:41:08  2019/07/16
    #policy 5 
      action deny 
      policy destination 192.168.3.10 0.0.0.0
#
[FW1-policy-interzone-dmz-untrust-inbound-5]policy servic service-set icmp     21:42:44  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound]policy move  5 before 10
21:45:41  2019/07/16
[FW1-policy-interzone-dmz-untrust-inbound]dis this
21:45:50  2019/07/16
#
policy interzone dmz untrust inbound
 policy 5 
  action deny 
  policy service service-set icmp
  policy destination 192.168.3.10 0.0.0.0

policy 10 
    action permit 
 policy service service-set set1
 policy destination 192.168.3.10 0.0.0.0
  #
Return
weixin_44713929
关注
专栏目录
防火墙基础知识
m0_46270507的博客
07-19 2651
防火墙基础知识
华为防火墙学习
weixin_54111663的博客
03-12 2075
防火墙原理与基础配置,工作原理。以及trust,untrut,DMZ区域配置
华为USG防火墙配置命令
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
防火墙安全策略(基本配置)
2301_78439235的博客
07-10 3496
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
华为防火墙(usg5500)区域间实验
weixin_54223979的博客
05-07 3315
以下通过防火墙的不同区域间策略来了解防火墙的工作原理, 路由器和防火墙之间最大的不同之处就是防火墙接口下是有区域的,而路由器接口之间是平价的,防火墙根据不同的区域分配不同的安全等级实现隔离控制。 实验拓扑图 由于防火墙下的PC为直连,所以这里不做路由。 需求: 1.内网(trust)可以访问外网(untrust) 2.内网(trust)可以访问服务器(dmz) 3.外网(untrust)可以访问服务器(dmz) 开机之后我们查看以下华为防火墙USG5500的缺省区域 分.
华为防火墙地址对象地址组、服务对象服务组
更多内容查看博客描述。
04-17 1355
在地址对象中添加MAC地址时,其格式可以为XXXX-XXXX-XXXX、XX:XX:XX:XX:XX:XX或XX-XX-XX-XX-XX-XX(其中X是1位十六进制数)。地址对象是地址的集合,可以包括一个或多个IPv4地址、IPv6地址、MAC地址。跟地址对象不同的是,地址组中不仅可以添加各种地址,也可以添加地址对象、地址组。向地址组中添加地址的操作,跟向地址对象中添加地址的方法是一样的。source-address address-set R&D_Dept //以地址组方式指定源地址。
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
qq_53058639的博客
01-26 572
解决网络不通讯问题代理与隧道技术:代理:流量转发至跳板机,可以是服务器或者肉鸡,最主要的特征是,无论代理后面挂了几个设备,代理对外只表现为一个设备。隧道:是通过特定的通讯方法,直接找到这个目标reverse_tcp:向 后门主动连接自己服务器 目标防火墙 出bind_tcp:正向 自己服务器主动连接后门 目标防火墙 入。
防火墙产品基础学习
10-28
防火墙基础学习学习基础开始,喜欢网络的同学可以下载来看看。该PDF以华为Eudemon 系列产品阐述
基础学习华为防火墙的安装和使用
最新发布
07-15
基础学习华为防火墙的安装和使用
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 3348
理解并学会配置防火墙的local、trust、untrust、dmz四种区域的连通。
华为HCIE安全实验 | 配置Local安全策略
COCO_gsta的博客
06-30 455
网络拓扑 关键配置及验证 OKLABFW配置本地转发策略 policy interzone local untrust inbound policy 0 action permit policy service service-set icmp policy source 202.100.1.0 mask 24 验证Outside可以ping通untrust接口 <Outside>ping 202.100.1.10 PING 202.100.1.10: 5
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 7096
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrust,untru
H12-821_293
cn_1949的博客
01-06 792
local区域定义的是设备本身,包括设备的各接口本身。所以不管把防火墙的接口划分到哪个安全域,该接口都属于local区域。293.将防火墙的一个接口划分到Untrust安全域之后,该接口就属于Untrust区域,不再属于Local区域。
华为防火墙安全区域介绍及配置
热门推荐
lzs
04-25 1万+
安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外 一个安全区域的网络***和入击行为。从防火墙的定义中可以看出防火墙是基于安 全区域的,其它厂商(Cisco,Juniper 等)都是有这个概念的。 什么是安全区域呢? 安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理 防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。 管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策 略的统一管理。 讲
H12-821题库详解(301-400)
lwljh134的博客
12-12 9180
H12-821
天融信防火墙基础:配置、应用与维护详解
防火墙基础知识是网络安全的重要组成部分,本文档主要围绕天融信防火墙展开教学,适合学习者系统理解和掌握防火墙的原理与实践操作。首先,文章从防火墙的基本定义出发,解释了防火墙作为一种高级访问控制设备,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值