华为防火墙之安全策略

最新推荐文章于 2024-04-30 17:32:00 发布
最新推荐文章于 2024-04-30 17:32:00 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: 华为防火墙 文章标签: 华为 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51575203/article/details/131196728
版权

1.安全策略初体验

安全策略在防火墙转发报文的过程中扮演着重要角色,只有安全策略允许通过,报文才能在安全区域之间流动,否则报文将被丢弃。

先来看一个简单的网络环境,如下图:

如果想在防火墙上允许PC访问Web服务器,用文字的形式来描述这个需求就是:
允许Trust安全区域到Untrust安全区域的、源地址是192.168.0.1、目的地址是172.16.0.1、目的端口是80(HTTP协议)的报文通过。

把上面这段文字描述改用安全策略的方式来表示,同时补充隐含的源端口信息,结果如下图所示:

从上图可知,安全策略基于安全区域的
域间关系来呈现,其内容包括两个组成部分。

  • 条件。检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。
  • 动作。对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。

安全策略之间是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找;如果报文没有命中某条安全策略,则会向下继续查找。

基于上述实现方式,在配置安全策略时要遵循“先精细,后粗犷”的原则。具体来说,就是先配置匹配范围小、条件精确的安全策略,然后再配置匹配范围大、条件
宽泛的安全策略。

上图两条策略,安全策略1:拒绝Trust安全区域到Untrust安全区域的、源地址是192.168.0.100的报文通过;安全策略2:允许Trust安全区域到Untrust安全区域的、源地址是192.168.0.0/24网段、目的地址是172.16.0.0/24网段的报文通过;匹配顺序从上向下

源地址是192.168.0.100的报文会先命中安全策略1,执行拒绝通过的动作,192.168.0.0/24网段的其他报文会命中安全策略2,执行允许通过的动作。

如果安全策略1安全策略2顺序调换,源地址是192.168.0.100的报文永远不会命中安全策略1,拒绝192.168.0.100的报文通过目的就无法实现。

防火墙自带缺省的安全策略,如果设置的所有安全策略都没有命中,则通过缺省安全策略来处理报文;如下图,安全策略1和安全策略2都没有命中,则会命中缺省包过滤,执行默认的缺省安全策略的动作;

默认情况下,缺省包过滤的动作是拒 绝通过,也就是说,如果没有配置任何安全策略,防火墙是不允许报文在安全区域之间流动的

如果把两个安全区域之间缺省包过滤的动作设置成允许通过,这样操作会带来极大的安全风险,允许所有报文通过,网络隔离和访问控制都无法实现,防火墙也就失去了存在的意义。

当防火墙的接口工作在二层模式(透明模式)时,经过防火墙的报文也会受到安全策略的控制,所以这种情况下也需要配置相应的安全策略对报文进行管控。

2.安全策略发展历程

华为防火墙安全策略的发展主要经历了三个阶段:基于ACL的包过滤阶段融合UTM的安全策略阶段一体化安全策略阶段

一体化安全策略除了基于传统的五元组信息之外,还能够基于Application
(应用)、Content(内容)、Time(时间)、User(用户)、Attack(威胁)、Location(位置)6个维度将模糊的网络环境识别为实际的业务环境,实现精准的访问控制和安全检测。

一体化安全策略由条件、动作和配置文件组成,其中配置文件的作用是对报文进行内容安全检测只有动作是允许通过时才能够引用配置文件

3.Local区域的安全策略

网络中的一些业务需要经过防火墙转发,还有一些业务是需要防火墙自身参与处
理。例如,管理员会登录到防火墙上进行管理、Internet上的设备或用户会与防火墙建立VPN、防火墙和路由器之间会运行OSPF(Open Shortest Path First,开放最短路径优先)路由协议、防火墙会与认证服务器对接等。

这些业务如果想要正常运行,需要在防火墙的 Local 安全区域与业务使用的接口所在的安全区域之间配置安全策略。

4.ASPF:隐形通道

ASPF(Application Specific Packet Filter)针对应用层的包过滤,其原理是检测报文的应用层信息,记录应用层信息中携带的关键数据,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。

记录应用层信息中关键数据的表项称为Server-map表,报文命中该表后,不再受安全策略的控制,这相当于在防火墙上开启了一条“隐形通道”。当然这个通道不是随意开启的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

Server-map表和会话表的区别:

  • 会话表中的会话是通信双方的连接在防火墙上的具体体现,其作用是记录通信双方的连接状态。防火墙为某条连接的首包生成会话后,该连接的后续包命中会话即可直接转发,不再受安全策略控制。
  • Server-map表记录的不是当前连接的信息,而是防火墙分析当前连接的报文后得到的信息,该信息预示了即将到来的报文的特征,防火墙通过Server-map表提前预测报文的行为方式。
  • 从处理流程看,防火墙收到报文后,先检查报文是否命中会话表,如果命中,说明该报文是后续包,直接转发。如果报文没有命中会话表,说明该报文是首包,接下来检查报文是否命中Server-map表,报文命中后就不再受安全策略的控制。当然,防火墙最后还是会为该报文生成会话表。

除了ASPF功能之外,NAT功能也会生成Server-map表。

在Trust和Untrust安全域间开启FTP协议的ASPF功能:

[FW] firewall interzone trust untrust
[FW-interzone-trust-untrust] detect ftp

ASPF可以根据报文应用层中的信息动态生成Server-map表项,既简化了安全策略的配置又确保了安全性。可以把ASPF看作是一种穿越防火墙的技术,ASPF生成的Server-map表项,相当于在防火墙上打开了一个通道,使类似FTP的多通道协议的后续报文不受安全策略的控制,利用该通道就可以穿越防火墙。

ITPro进化论
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为防火墙安全策略配置
foamy_3379的专栏
04-17 6499
华为防火墙安全策略配置 一、配置要求及拓扑; 要求: 1、Trust区域用户可以访问Untust区域与DMZ区域用户; 2、Untrust区域用户只能访问DMZ区域ICMP与Telnet流量; 3、DMZ区域用户即不能访问Untrust区域和Tust区域; 4、区域trust内只允许源地址为192.168.1.0/24,ICMP ; 二、基础配置 防火墙huaweiFW system-vie
华三防火墙安全策略配置
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
华为防火墙的基本安全策略
不定期分享一些自己的学习笔记
10-16 2651
华为防火墙的基本安全策略,permit\deny
防火墙演示实验:从trust区域访问untrust区域
m0_68498873的博客
08-08 948
第一步:在PC1,PC2和R1上配置ip地址,在R1上写一条缺省使得PC1访问PC2上的路由可以正常返回。1.添加一个UDP端口和一个虚拟网卡,尽量使用虚拟机网卡。注意:华为防火墙默认用户名:admin 默认密码:Admin@123。第三步:在你的浏览器输入防火墙的G0/0/0接口地址进入防火墙配置界面。2.将防火墙的接口ip设置为与虚拟网卡一个网段,开启防火墙的功能。防火墙演示实验:从trust区域访问untrust区域。第二步:对Cloud1 和防火墙进行简单配置。
安全防御——二、ENSP防火墙实验学习
baimao__Ch的博客
04-30 893
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
防火墙中的DMZ区域,Trust区域,Untrust区域
冷鞘-的博客
07-01 4万+
** 区域的作用: ** 1.安全策略都基于区域实施 2.在同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区域,而一个区域可以有多个接口。 ** DMZ区域, ** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务
防火墙实验——trust区域访问untrust区域
qq_47175413的博客
07-23 2911
通过云设备进入防火墙的图形化配置界面,首先配置云设备,添加一个UDP端口和一个虚拟网卡,虚拟网卡尽量使用虚拟机网卡。修改管理接口IP,防火墙的管理接口为 g0/0/0 接口,默认IP为192.168.0.1/24,将其修改为和云设备加载的虚拟网卡相同网段的IP,并开启接口服务。配置防火墙策略,放通 trustuntrust 区域的流量,因为防火墙默认禁止所有区域之间的通讯。trust 区域能够成功访问 untrust 区域,但 untrust 区域无法访问 trust 区域,实现了对流量的控制。
网络设备】H3C FW V7:Trust域到Trust域之间访问受限
Fanqie_tomato的博客
12-31 1737
问题情况: Trust域内无法访问,但其他安全域可以正常访问Trust域内的接口。 修改前的配置: security-zone name Trust import interface Vlan-interfaceYY import interface Vlan-interfaceXY security-zone name Untrust import interface GigabitEthernet1/0/XX1 import interface GigabitEthernet1/0/XX2 zone-p
华为防火墙ssl xxx配置
cx的博客
02-17 8326
华为防火墙,ssl xxx
华为防火墙安全策略基础
09-16
安全策略基础
华为防火墙如何优化安全策略
09-16
如何优化安全策略
华为防火墙 安全策略精要
09-16
华为防火墙 安全策略精要
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
华为防火墙安全策略管理与配置的原则
09-16
安全策略管理与配置的原则
防火墙trustuntrust什么意思?】
mengmeng_921的博客
03-17 8473
​我们都知道,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵。 而trustuntrust可以说是防火墙中的一种区域概念,那么和大家一起聊聊防火墙中的trustuntrust防火墙trustuntrust什么意思? trustuntrust其实并不难理解,英文trust是信任的意思
初识防火墙
Reloaded12138的博客
01-01 3732
防火墙的特征:逻辑区域过滤器、隐藏内网络结构、自身安全保障、主动防御攻击 **根据访问控制:**包过滤防火墙、代理防火墙、状态监测防火墙 包过滤防火墙:无法关联数据包之间关系、无法适应多通道协议、通常不检查应用层数据 2.代理防火墙:处理速度慢、升级困难 3.状态检测防火墙:处理后续保速度快、安全性高 **防火墙的组网方式:**直连组网和旁挂组网 - 包过滤技术 对需要转发的数据包、先获取数据包头部信息,然后和设定的规则进行比较,根据比
防火墙实验(实现trustuntrust、DMZ区域互通)
weixin_64311421的博客
03-17 4851
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
热门推荐
Skye's Blog
04-14 4万+
实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 ...
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 9772
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
华为防火墙查看策略命中情况
最新发布
05-18
华为防火墙可以通过查看策略命中情况来判断防火墙是否正常工作。下面是一个简单的步骤: 1. 首先登录到防火墙Web界面,在菜单中选择"安全管理"->"安全策略",进入安全策略页面。 2. 在安全策略页面中,可以看到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ITPro进化论

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值