华为防火墙实战
文章平均质量分 87
网络之路Blog
公众号:网络之路博客 B站/头条/百家号:网络之路Blog
展开
-
当GRE遇上IPSec后,安全性终于有了保障
实际配置就是GRE+IPSec的配置,ACL与封装模式这里有点区别注意下GRE over IPSec标准情况下,双方之间都是需要公网地址建立的,而且建议使用传输模式注意分片问题,建议把GRE的tunnel隧道MTU减少在1380~1400之间,尽量减少分片如果分支之间不需要互访,又跑动态路由协议,建议使用多个进程进行区分分支少的场景可以直接使用静态路由协议GRE over IPSec 只要tunnel隧道不在NAT范围内,比如案例里面在GRE区域,则不需要做NONAT策略。pwd=y22m。原创 2024-09-23 09:03:51 · 1025 阅读 · 0 评论 -
结合配置、抓包来分析IKE/IPSec的整个协商过程
实际上在配置里面,只是配置了一个ike proposal 1,并没有定义详细的参数,但是这里博主说下,不管是思科、华三还是华为的设备,默认都会有一个内置的默认策略,当创建了一个porposal后,没有定义实际的配置,那么就会继承默认参数,但华为防火墙里面有一个更人性化的地方,它默认内置了一个default,并且加密与认证算法都包含了几种不同强度在里面,这样的好处就是尽可能得简化用户的配置,实用默认的就可以直接建立。下一篇来进入一个正式的环境,来看看在部署了NAT与安全策略后会遇到哪些问题。原创 2024-09-22 21:09:03 · 815 阅读 · 0 评论 -
“智能密钥管家”IKE
博主在补充个自己总结,在之前手工建立IPSec中,密钥都是由管理员自己定义,而IKE能够通过DH算法自动生成两边相同的密钥,并且这个密钥是有有效期的,到了定义的时间,它就会重新协商密钥,既解决了密钥的维护成本又保证了安全性,另外在建立IPSec SA的时候,IKE会先建立IKE SA,这个SA也是一个加密的安全隧道,它的作用是保障在internet不安全的网络下,构件一个安全隧道,然后两个peer之间在这个安全的隧道下进行协商IPSec SA。(该拓扑配置记得保存,后面两篇会一直使用)原创 2024-09-22 21:06:47 · 1137 阅读 · 0 评论 -
开始“熟悉又陌生”的IPSec奇妙之旅
IPSec算是比较复杂的协议之一了,标题写着“熟悉又陌生”,熟悉是IPSec这个技术应该听过很多次了,不管是在书中还是大佬聊天中说用IPSec可以实现这个需求,保护数据的安全,陌生则是并不知道IPSec具体是怎么工作的,为什么能够保证到数据的安全性,又在工作中应用这么广泛,所以这几篇也是最费心思了,博主的想法是把枯燥的固定算法等简单介绍,着重点在IPSec的整个框架以及在配置以及排错中用的上的知识点讲解。原创 2024-09-19 08:51:02 · 1246 阅读 · 0 评论 -
GRE隧道在实际部署中的优化、局限性与弊端
抓包软件就很能体现出来了,内容里面它直接显示是192.168.10.1到20.2的,具体内容都可以抓包看到,但是看详细的,会发现其实在前面有一层新的IP头部的(新的马甲),但是里面的内容只要被抓取的包,就能看的一清二楚,所以在实际中GRE单独使用会相对较少,以博主的来说,只有在IPSEC对接的时候出现问题,客户又急需要互通可能会提前用GRE先打通,把业务对接起来,在实际中用的更多的是gre over ipsec,用ipsec来加密保护GRE隧道。(这里只说局域网之间互通的情况,不讨论在MPLS中的使用)原创 2024-09-19 08:48:47 · 1106 阅读 · 0 评论 -
什么是虚拟专用网以及有哪些实现方式
虚拟专用网(VPN)相信IT人员是最熟悉的了,就算是一个不懂技术的多多少少也听过这个技术名词,特别是疫情其间流行的远程办公,大部分就通过VPN技术实现的,下面博主用实际场景介绍来带你走进新的知识点篇,企业组网常见的VPN系列。原创 2024-09-18 08:49:42 · 821 阅读 · 0 评论 -
华为防火墙智能选路篇之链路权重(带宽)负载分担
健康检查跟ip-link一样,需要先定好一个监测点,不变的思路,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际中就有更多的选择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。原创 2024-09-16 15:20:08 · 1277 阅读 · 0 评论 -
华为防火墙智能选路篇之结束篇(链路质量方式以及实际中如何选择哪种方式)
(1)同一运营商多线路的环境比较推荐使用基于带宽/权重方式来部署(包括传统方式)速率对等的场景(可以使用带宽货传统外网负载分担)速率不对等,相差不是特别大(可以使用带宽或者权重)速率不对等,并相差特别大(建议用权重)可以实现很多场景,基于一个网段来分开走电信与联通、多个网段分开走电信与联通、通过PBR来是实现某些协议走电信或者联通、基于某个域名、某个地址走对应线路。(3)一定以客户意愿为前提。原创 2024-09-16 15:15:08 · 1119 阅读 · 0 评论 -
华为防火墙智能选路篇之传统方案(电信走电信、联通走联通与“负载均衡“)
上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。原创 2024-09-14 22:25:19 · 909 阅读 · 0 评论 -
华为防火墙智能选路篇之传统方案(主备方式会遇到哪些问题)
在我们遇到有主备线路切换的时候,那么要注意几点。(1)DNS问题,如果双线路不是同一个运营商,建议使用公有DNS下发,这样保障线路切换的时候客户端不受影响(2)定义ip-link,注意先开启,然后在创建ip-link进程,在定义的时候,建议关联接口、模式以及下一跳(这里说明下,如果是拨号口的话则不需要写下一跳)原创 2024-09-14 22:17:08 · 799 阅读 · 0 评论 -
实际案例(7)你遇到这样的环境,如何解决?(这是一道讨论题)
环境介绍:一个非常普通的环境,但是怪就怪在服务器这块,服务器有两个网卡,他本身有一个外网上网,这个时候客户想把这个服务器加入到防火墙的网络里面来,怎么才能够让公网的用户通过防火墙的外网地址 202.100.1.1:9898访问到服务器 192.168.10.1的80。这个掌握了,实际中很多类似的例子都可以举一反三。(比如专线局域网可以互通,怎么让外网也能过访问专线对端的服务,比如局域网通过专线可以访问对方的服务,如果L2TP或者SSL过来怎么能够实现访问专线对端的访问等)原创 2024-09-13 22:14:02 · 234 阅读 · 0 评论 -
实战案例(6)动态公网地址配合DDNS组网
需求:客户外网是ADSL拨号,但是可以获取到动态的公网地址,现在有一台服务器需要对外发布服务,但是存在一个问题就是ADSL拨号在一定时间后,运营商会回收这个地址,ADSL会重新拨号获取新的地址,本身客户记住的是A地址,但是重拨后换成了B地址,导致业务访问失败,需要解决地址变化带来的访问问题,解决这个就需要用到标题提到的一个技术叫做DDNS。原创 2024-09-12 14:25:45 · 862 阅读 · 0 评论 -
实战案例(5)防火墙通过跨三层MAC识别功能控制三层核心下面的终端
(4)配置跨三层MAC识别,让防火墙从交换机获取正确的ARP表项(注意三层需要开启SNMP功能,防火墙需要制定三层的地址与正确的团体名),注意放行防火墙local_any的流量,否则同步不成功。,这是因为数据包在经过一个三层设备的时候,该数据包的源MAC会变成该三层设备出接口的MAC地址,这是IP通信基础转发的原理。(4)防火墙一定要放行Local到Trust(以实际拓扑为准,防火墙对接三层交换机接口所在的区域),如果不放行,防火墙的流量是发送不出去,导致失败。(1)配置思路与上面一样。原创 2024-09-12 14:13:10 · 822 阅读 · 0 评论 -
实战案例(4)如果想限制某些终端能上网,哪些不能上网有什么方法呢?
(2)关于只让某一个能够上网或者不上网,在防火墙里面控制有两个办法,第一个是控制IP,第二个是控制MAC,如果我们要控制IP的话 就需要在DHCP静态绑定,这样保证每次获取的IP是同一个,MAC的话直接安全策略输入即可。(1)内网根据客户的需求是划分在同一个网段还是不同网段,如果是同一个网段要把接口切换成二层,然后配置VLANIF,在开DHCP(上面案例演示的是不同网段)(4)如果涉及到基于时间的策略,那么一定要确保防火墙的时间是正确的。3)安全策略的顺序,一定要从精细到粗犷的顺序来规划配置。原创 2024-09-11 23:13:17 · 313 阅读 · 0 评论 -
实战案例(3)防火墙+三层交换机VLAN组网
(4)内网出现故障不通,可以从VLAN创建以及网关与DHCP是否正常配置,如果终端设备获取不到地址,可以手动设置看是否可以通,如果可以通,建议配置快速边缘端口,加速端口收敛,快速获取地址。(1)内网部署方面,三层交换机(核心)对接办公网的交换机两种方式 1、直接三层交换机接二层的划入到VLAN2,这样下面的都属于VLAN2 2、配置trunk,然后下面的二层交换机在划分VLAN,这种比较推荐,可以配置管理地址,方便后续管理。(4)核心与接入的二层对接模式错误,以及turnk忘记放行VLAN通过。原创 2024-09-11 23:11:35 · 747 阅读 · 0 评论 -
实战案例(2)防火墙+二交换机VLAN组网
(1)外网对接这一块,如果是DHCP方式对接(内网建议不要使用192.168.0.0/1.0/31.0这些),可以使用10.X.X.X或者172.16开头以及192.168.100往后,避免跟外网分配的网段冲突(2)外网对接如果是PPPOE或者是固定IP,一定要写默认路由,这个是容易被忽略,如果是PPPOE拨号,注意修改下MTU跟MSS。原创 2024-09-10 22:48:07 · 863 阅读 · 0 评论 -
实战案例(1)防火墙在小型办公环境组网
这套课程竟然以解决实际工作需求为主的,那当然少不了实战了,之前一直没涉及到实战的内容,主要是就算是一个小型办公也离不开最简单的安全策略配置、NAT配置,但这2个内容就已经讲解了14篇内容,但是这14篇内容已经把这几个方面讲解的非常通透了,对于实际中不管是规划、配置、排错都有很大的帮助,接下来就是博主以工作中常见的场景为案例讲解下部署与容易遇到的问题。特别说明:实战的内容跟细节比较多,文章部分就只给出重点方向以及配置部分,不然篇幅太长了,视频讲解会以真机或者模拟器的WEB进行演示,加上细节部分讲解。原创 2024-09-10 22:42:29 · 741 阅读 · 0 评论 -
多出口下的NAT server(电信、联通多出口,源进源出与NAT ALG)
由于这里配置的是直接两条默认路由指向各自出口,那么带来的问题就是防火墙会随机的选择一个接口发送出去,有可能是电信、有可能是从联通,出现的问题就在这,没办法保证用户从哪个接口进来,在从哪个接口出去,所以在UTM时代V2R3版本就已经推出了一个功能,叫做源进源出,它的作用就是当接口启用该功能后,访问该接口的数据(包括映射),从这个接口进入的,返回的时候依旧从这个接口出去,它的优选级高于路由表。在之前学的基础上面加入了安全区域的绑定,这个时候就不在有什么提示了,在来看看server-map表。原创 2024-09-09 08:46:37 · 720 阅读 · 0 评论 -
工作中实用的NAT技术分享(黑洞路由、内网使用公网地址访问、内网使用域名方式访问)
讲解了这么多内容了,这里博主在开一篇,分享下在实际环境中更实用的配置以及经常会遇到的需求经典案例。原创 2024-09-09 08:42:11 · 2149 阅读 · 0 评论 -
NAT技术之NAT server(名称很懵?服务器映射、端口映射、DMZ傻傻分不清楚)
技术背景在很多场景中,比如企业、学校、甚至家里都有一些对外访问的业务提供,比如门户网址、NAS、ERP等,在实际部署中,这些提供访问的服务器都属于内网内,配置的是内网地址,导致的情况是公网用户没法对私网地址直接进行访问,学过上篇内容的源NAT功能是把私网用户的源地址转换成可上网的地址(当然可上网的就分私网跟公网了,由运营商分配的)然后发送出去,那么NAT Server的作用正好相反, 它是当其他公网用户访问我们服务的公网地址时候,进行目的地址转换(注意一定要是公网地址),在华为防火墙里面的这个功能叫原创 2024-09-08 10:01:33 · 1302 阅读 · 0 评论 -
华为下一代USG防火墙-NAT技术之源NAT-想上网少不了它
NAT技术的出现主要是为了解决IPV4地址枯竭的问题,回想下上一篇,学过了几种主流接入Internet的方式,但是这几种方式都是配置在防火墙上面,防火墙访问外网没问题,但是下面的终端设备呢?不管是DHCP还是PPPOE拨号都只有一个可以上网的地址分配下来,而固定专线可能有几个,对于一个局域网几十台、几百台终端设备的场景显然可上网地址就不够用了,就需要利用NAT技术了。NAT技术里面分为两大类,这一篇我们来讲解源NAT技术,也就是解决局域网下多个终端通过一个或者数个可上网地址来复用共享上网。原创 2024-09-08 09:58:28 · 784 阅读 · 0 评论 -
互联网主流的几种接入方式(防火墙篇)
在实际工作中,防火墙常见的部署位置还是在位于接入Internet的区域,一个或者多个接口接入到互联网,其余的用于接内网区域,那么在目前接入Internet的方式有这么几种(1)DHCP:这种可能大家最熟悉了,家用的光纤过来接入光猫,光猫可以分成两种模式,一个是路由模式,就是猫自己拨号,只需要接到猫上面的终端自动获取地址就能上网了,这种模式就叫做DHCP。原创 2024-09-06 17:03:41 · 803 阅读 · 0 评论 -
华为下一代USG防火墙 安全策略深入扩展(防火墙狠起来自己都限制)
PASV之前说过,是服务器被动等待客户端去连接,但是这个连接就不在是FTP的标准端口号了,而是服务器告诉客户端一个临时的端口号,那这个端口号怎么来,就是(192,168,2,1,8,5)服务器告诉客户端的这个参数,192,168,2,1表示服务器的地址,你来连这个地址,端口号8,5(计算方式是8*256+5)也就是2053, 综合起来就是告诉客户端 你要想跟我建立数据通道,那就来连 192.168.2.1的2053端口号。改成port也是一样登录失败了。可以先想想哦~答案下面一篇认真学,可以解决这个疑问!原创 2024-09-05 10:04:31 · 1182 阅读 · 0 评论 -
下一代防火墙安全策略初体验
(3)排错:不管是新手还是经验丰富的老手,对于策略的规划与配置,随着网络结构的复杂度越大,难度就越大,有时候某些策略不通、比如服务器映射、VPN过来的流量等,没匹配上任何策略,这个时候可以把缺省的安全策略打开,然后查看会话表,这个时候就一目了然了(这个博主会实际演示的)。(1)临时全部放行:在有时候配置防火墙的时候,策略的规划与实施是比较耗时间的,特别是条件比较多,需要考虑的因素就多了,还要考虑先后顺序,那么这个时候可以临时的打开缺省的安全策略放行,让客户网络先通起来,策略实施完毕后,在改成拒绝。原创 2024-09-05 10:00:54 · 924 阅读 · 0 评论 -
防火墙二层组网结构的区域划分案例(包括如何用eNSP进行WEB操作防火墙配置)
学完安全区域后,应该懂得安全区域的作用以及配置与注意事项,安全区域作为防火墙区分流量方向的依据是最基础也是最重要的环节,这里博主在来总结下(1)华为防火墙默认内置了四个安全区域:Trust/DMZ/Untrust/Local,并且内置了默认的安全等级(2)新建的安全区域默认是没有安全等级的,需要手动输入,然后把对应的接口加入到安全区域(3)安全等级每个区域是唯一的,不能相同。原创 2024-09-03 20:22:27 · 1235 阅读 · 0 评论 -
防火墙的区域特性与划分(从实验中了解防火墙的特性)
在第二篇的时候我留下了一个思考的作业,就是防火墙默认的管理口能否正常通信,相信看到了上面这个图后,就有了答案,那肯定是可以的,因为接口属于了Trust,收到来自于这个接口的流量后,查询该接口已经加入安全区域,防火墙可以正常处理数据包,而案例里面的G1/0/0、G1/0/1、G1/0/2没有加入任何的安全区域,防火墙在收到来自于这些口报文后,由于没有加入区域,无法判断报文的路线跟方向,防火墙就会直接丢弃报文,导致我们最终不通的现象。上一篇,我们做了一个小实验,以路由器的部署方式来部署防火墙,发现是哪都不通!原创 2024-09-03 20:18:29 · 939 阅读 · 0 评论 -
防火墙的初始化以及基础配置介绍
博主这次用的真机是USG6307E(在模拟器不支持的功能下使用),尽量还是用模拟器给搭建讲解与演示,方便大家跟着一起学习。(在学习防火墙的内容建议大家有一定的路由交换基础,更容易理解)本次课程还是以命令行为主,WEB为辅,结合工作中常见的组网案例以及会遇到的问题进行讲解,让大家在学习完后对华为防火墙的应用有一个很大的提升。原创 2024-08-30 11:16:28 · 1233 阅读 · 0 评论