华为下一代USG防火墙 安全策略深入扩展(防火墙狠起来自己都限制)

最新推荐文章于 2025-02-23 12:23:27 发布
最新推荐文章于 2025-02-23 12:23:27 发布
阅读量1.8k 收藏 31
点赞数 15
分类专栏: 华为防火墙实战 文章标签: 华为 网络 智能路由器 华为防火墙 USG防火墙 防火墙安全策略
文章原创网络之路Blog(其他平台同名,公众号:网络之路博客),用心分享技术的IT人,主要精通思科、华为、H3C路由交换、防火墙、无线、安全系列,希望分享的技术对大家有帮助,原创不易,大家多多支持!
本文链接:https://blog.csdn.net/weixin_46948473/article/details/141923371
版权

Local区域的安全策略

 在学习安全区域的时候,提到过防火墙有一个特殊的区域为Local区域,Local区域的作用是管理防火墙自身的流量的,包括去往防火墙自身的流量,以及防火墙自身发出去的流量,别小看这个Local,很多技术都依赖防火墙自身去建立,如果策略没有得到放行,那么这些技术都实现不起来,工作中最常见的

(1)管理防火墙的流量,比如TELENT、SSH、HTTPS、Ping

(2)VPN的流量,不管站点到站点还是远程拨入,都需要与防火墙建立通道

(3)路由协议,防火墙除了支持静态路由以外,OSPF、BGP、RIP这些都是支持的

上述提到的就是工作中比较常见的需要防火墙来处理的数据,之前我们介绍的安全策略都是针对穿越防火墙的数据进行安全策略的配置,这里来了解了解防火墙自身报文处理应该如何做安全策略。

防火墙狠起来自己都限制!(实验来感受Local区域的存在感)

图片

整个环境很简单,三个区域,分别连接了PC以及路由器,并且配置好了对接地址,加入了安全区域,我们来看看默认情况下防火墙Local区域流量的限制是怎么样的。

图片

防火墙就简单的配置了三个对接地址

图片

接口分别加入了安全区域

(1)感受下Ping防火墙,以及防火墙Ping直连地址

图片

图片

图片

测试下来,不管是Trust、DMZ、Untrust 双方都不通。

这里博主讲解一个比较实用的拍错命令,displayfirewall statistics system discard  ,在遇到问题的时候还是非常有帮助的,能够提供一些提示帮助。

图片

提示里面显示了,三种类型,第一个暂时不看,我们来看第二个与第三个

(1)IPv4 service-manage deny packets discarded:指的是IPV4管理服务被丢弃的包

(2)Packet default filter packets discarded:指的是默认策略过滤的数据包数量。

显然,我们的数据包是发出去了,或者防火墙收到了,只是安全规则没有做,导致不通,下面我们先来做下Local区域的安全策略,看看做完后的结果,在做之前首先得分析下区域流量的方向性,这样才好去配置。

图片

有了这个图是不是变的很清晰了,Local代表防火墙本身,那么PC1去ping防火墙,流量方向是Trust到Local,反之,防火墙主动去Ping PC1,那么流量方向是Local到trust(DMZ与untrust同样的分析方式)。

(1)当某些区域访问防火墙的流量时,安全策略放行区域到Local的流量

security-policy

 rule name Trust_local

  source-zone trust

  destination-zone local

  source-address 192.168.1.0 mask 255.255.255.0

  destination-address 192.168.1.254 mask255.255.255.255

  service http

  service https

  service icmp

  service ssh

  service telnet

  action permit

 rule name DMZ_local

  source-zone dmz

  destination-zone local

  source-address 192.168.2.0 mask 255.255.255.0

  destination-address 192.168.2.254 mask255.255.255.255

  service http

  service https

  service icmp

  service ssh

  service telnet

  action permit

 rule nameUntrust_local                 

  source-zone untrust

  destination-zone local

  source-address 100.100.0.0 mask 2

最低0.47元/天 解锁文章
华为防火墙介绍
GZ_TOGOGO的博客
07-15 1351
因为服务器既为内网用户提供服务,也为外网用户提供服务,也就是内外网的PC都可以访问这个服务器,那么服务器就不可以部署在内网中,但是又需要为服务器提供一定的安全功能,所以就部署在非军事化区域。代理防火墙防火墙网络中起到第三 方代理的作用,比如,主机和服务器要通信的话,就都需要先把报文提交给防火墙,之后由防火墙进行检查,检查通过后,再把报文转发出去。默认情况下,同一个安全区域的主机可以互相访问,而不同安全区域的主机互相隔离,如果不同区域的主机需要互相访问,就必须要配置安全策略,通过后才可以互相访问。
华为防火墙配置笔记
weixin_30375247的博客
07-05 7102
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
华为防火墙简介及其工作原理
小健健的博客
10-22 5352
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用。华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产品。这篇博文主要介绍华为防火墙产品及其工作原理。 博文大纲:一、华为防火墙产品简介1.USG21102.USG66003.USG95004.NGFW 二、防火墙的工作原理1.防火墙的工作模式(1)路...
防火墙安全策略(基本配置)
最新发布
m0_74825003的博客
02-23 6137
凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。此时,即使配置了接口所在安全域允许访问local区域安全策略,也不能通过该接口访问本地防火墙。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。id表示安全区域ID,取值4~99,默认递增。
华为_防火墙(一)
玩IT的川
07-09 6716
华为防火墙 华为防火墙产品介绍: 华为防火墙目前共有四款系列的防火墙USG2000、USG5000、USG6000和USG9500分别适用于不同的网络环境中,其中USG2000和USG5000系列定位于UTM,统一威胁管理的网络需求,其中USG6000系列属于下一代防...
华为下一代USG防火墙-NAT技术之源NAT-想上网少不了它
网络之路Blog(其他平台同名)
09-08 1271
NAT技术的出现主要是为了解决IPV4地址枯竭的问题,回想下上一篇,学过了几种主流接入Internet的方式,但是这几种方式都是配置在防火墙上面,防火墙访问外网没问题,但是下面的终端设备呢?不管是DHCP还是PPPOE拨号都只有一个可以上网的地址分配下来,而固定专线可能有几个,对于一个局域网几十台、几百台终端设备的场景显然可上网地址就不够用了,就需要利用NAT技术了。NAT技术里面分为两大类,这一篇我们来讲解源NAT技术,也就是解决局域网下多个终端通过一个或者数个可上网地址来复用共享上网。
华为防火墙智能选路篇之传统方案(电信走电信、联通走联通与“负载均衡“)
网络之路Blog(其他平台同名)
09-14 1639
上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。
防火墙概述
weixin_52194536的博客
07-19 2480
一、防火墙概述。
华为防火墙智能选路篇之传统方案(电信走电信、联通走联通与“负载均衡“)...
cnzzs的博客
08-08 1522
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商(2)速率要求一样,否则会出现某一条带宽被占满导致网络...
防火墙防火墙
mengjialiang2002的博客
09-11 922
防火墙是一种网络安全设备或软件,用于监控和控制网络流量,以保护网络免受未经授权的访问、恶意攻击和数据泄露等威胁。
华为防火墙简单介绍
weixin_53049621的博客
04-08 7116
防火墙防火墙分类第一代防火墙:包过滤防火墙包过滤防火墙的缺点第二代防火墙:代理防火墙第三代防火墙:状态防火墙第四代防火墙:UTM防火墙第五代防火墙下一代防火墙华为防火墙介绍安全策略防火墙的会话表 防火墙分类 第一代防火墙:包过滤防火墙 属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
华为防火墙技术漫谈PDF文档
08-12
防火墙基本原理、架构入门书籍,高清扫描版,有需要的同学不要错过呀!
HUAWEI USG6000&USG9500 V500R001C60 产品文档.chm
06-06
华为USG6000系列防火墙配置说明书
配置华为防火墙将默认的安全策略放行
杨奇的博客
06-24 7421
Web配置将默认的安全策略放行: 命令行配置将默认的安全策略放行: [FW1]security-policy [FW1-policy-security]default action permit Warning:Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data fl
华为防火墙(远程管理)
j2669283004的博客
12-02 1925
目录 一、华为防火墙常见的管理方式 二、远程管理实例 2.1、拓扑图 2.2、配置命令 2.3、测试 2.4、总结 一、华为防火墙常见的管理方式 通过Console方式管理 属于带外管理,不占用户带宽,适用于新设备的首次配置场景。 通过Telnet方式管理 属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。 通过Web方式管理 属于带内管理,可以基于图形化管理,更适用于新手配置设备。 通过SSH方式管理 ...
华为防火墙(工作原理)
j2669283004的博客
12-01 6553
目录 一、防火墙的工作原理 1.2、防火墙安全区域 1.2.1、常见的区域 1.2.2、总结 1.3、防火墙Inbound和Outbound 1.4、状态化信息 1.5、安全策略 1.5.1、防火墙策略规则的执行策略 1.5.2、一体化安全策略的特点 1.5.3、防火墙策略的特点 一、防火墙的工作原理 华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。 1、路由模式 如果华为防火墙连接...
华为USG防火墙 NAT配置
weixin_33921089的博客
07-13 1073
USG防火墙 NAT配置学习目的掌握在USG防火墙上配置NATServer的方法掌握在USG防火墙上配置NATEasy IP的方法拓扑图 场景: 你是公司的网络管理员。公司使用网络防火墙隔离成三个区域。现在要将DMZ区域中的一台服务器(IP地址:10.0.3.3)提供的telnet服务发布出去,对外公开的地址是10.0.10.20、24.并且内...
华为USG6000V防火墙安全策略用户认证
duoba_an的博客
07-11 3150
系统-->管理员-->管理员角色创建新建管理员管理员登录权限发生变化实验到这里就全部做完了,不完美的就是这里的用户验证不完全,不知道做的配置和策略能不能完全成功。其他的思路只要清晰,这个配置起来不难吧!
小白也能看懂的华为防火墙配置教程
热门推荐
XMWS-IT
08-02 1万+
01 了解防火墙基本机制 配置防火墙之前请了解防火墙基本工作机制。 1.1 什么是防火墙 防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。 如图1-1所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为.
华为HCNA-Security实验手册:全面掌握防火墙与路由配置
本篇文档是华为HCNA-Security实验手册的详细指南,主要针对想要考取HCNA安全认证的学习者,该手册涵盖了华为下一代防火墙USG6300、6500及6600系列产品的基础实验内容。通过阅读,学员将能深入理解路由、交换、防火墙...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值