华为防火墙基本原理工作方法总结(包含源进源出)

已于 2023-11-11 16:03:29 修改
阅读量561 收藏 2
点赞数
分类专栏: 项目管理 网络安全 文章标签: 服务器 php linux
于 2023-11-07 22:18:29 首次发布
本文链接:https://blog.csdn.net/ydaxia110/article/details/134276414
版权

在这里插入图片描述
两台防火墙在规划接口时一般2台防火墙的业务口相同,心跳口相同,这个上是基础,例如:第一台防火墙业务口用了g1/0/1口,那第二台防火墙业务口也得是这个g1/0/1口。

防火墙只会对tcp首包syn建立会话表,其它丢掉,如syn+ack,ack
udp直接建立会话表
icmp只对首包请求包建立会话表,其它包,如应答的不会建立直接丢掉

防火墙状态查看:
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit

dis firewall session table verbose
查看详细会话情况
在这里插入图片描述

192.168.0.139已把包送到172.16.0.100,但172.16.0.100回不了包。
<–packets: 0bytes: 0 --> packets: 1bytes: 60
在这里插入图片描述
dis policy interzone trust untrust outbound
查看策略命中统计

firewall interzone trust untrust
detect ftp
开启ftp或qq或msn的aspf功能

当防火墙开启aspf功能后,会话会产生server-map表项(nat server、no-pat时也会产生server-map)
dis firewall server-map
查看会话表项

自定义aspf项
acl number 3000
rule 5 permit ip source 192.168.0.1 0 destnation 172.16.0.100 0
firewall interzone trust untrust
detect user-defined 3000 outbound

display interzone 查看域外是否开启了aspf
dis zone 查看域内是否开启了aspf

防火墙会默认阻挡单播报文,不会阻挡组播报文,所以ospf p2p网络不用配置策略。

dis firewall statistic system discard
查看丢包情况

undo firewall session link-state check
关闭状态检测功能,变成包过滤防火墙

TTl 本条信息的老化时间
loft 本条信息剩余老化时间
mac 目标mac地址

会话表的老化时间设备
firewall session aging-time service-set icmp 1000

类似于sql语句需要长连接的业务,需要单独设置长连接,华为只支持tcp类型长连接
默认长连接会话时间是168小时。
rule name trust_untrust
source-zone trust
destination-zone untrust
long-link enable //开长连接
action permit

防火墙有两条ISP线路时,负载均衡时,要把不同的ISP加入两个不同的zone,设两条napt策略,两条安全策略,两个地址池。如果都放到一个zone时,就不会负载了,只会按NAT策略的顺序执行最上面的那条isp策略。

如果把两条公网放在一个zone了,现在又要做nat server就用下面第二种方法:
nat server向外发服务器地址时可以在命令后加上no-reverse,映射两个公网上
[USG6000V1]nat server protocol tcp global 1.1.1.1 80 inside 192.168.0.1 80 no-re
verse
[USG6000V1]nat server protocol tcp global 1.1.1.2 80 inside 192.168.0.1 80 no-re
verse

dis firewall server-map
查看

firewall endpoint-independent filter enable
用于开启只根据server-map表转发,不受策略的控制,华为默认这个配置是开的。

双线,对外nat server时,要配置源进源出,两条外线接口上都要配置:
gateway 1.1.1.254 //是对端公网网关下一跳地址
redirect-rroute enable

不同版本命令不同:
redirect-reverse nexthop 1.1.1.254

hrp会同步的内容:

策略:案例策略、nat策略、带宽管理、认证策略、攻击防范、黑名单、ASPF
对象: 地址、地区、服务、应用、认证服务器、时间段、URL分类、邮件地址过滤、关键字组、签名、安全配置文件
网络: 新建立逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联运
系统:管理员、日志配置

能够备份的状态类的信息:
会话表、server-map表、ip监控表、分片缓存表、GTP表、黑名单、PAT方式 端口映射表、NO-PAT方式地址映射表

dis hrp configuration check
查看配置是否有同步

hrp sync config
如果没有就手动同步一下配置(默认是开启了自动同步的)

hrp auto-sync config
这条命令默认是开启的

防火墙在使用时的正确思路是:

第一步:先把默认策略打开全部放行
security-policy
default active permit

第二步:把正常的业务都配通,然后进行ping测试或业务连接测试。
第三步:用命令看数据zone的走向:dis firewall session table verbose
第四步:把看到数据走向的哪个区域到哪个区域都记下来,数据的来回正向和反向都要考虑到
第五步:按记下的数据zone走向起安全策略,哪个zone到哪个zone,包括数据来回正向和反向策略都要考虑在内。
第六步:关掉第一步的全部放行,改成默认全部拒绝,最后测试业务是否正常。
security-policy
default active deny

项目工程师余工
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为HCIE-Security培训视频教程【共37集】.rar
09-09
18.华为防火墙上的NAT技术——NAT-SERVER双口环境(进源)+Destination NAT 19.华为防火墙上的NAT技术——双向NAT 20.华为防火墙上的NAT技术——NAT与黑洞路由 21.华为防火墙上的NAT技术——SLB 22.华为...
华为防火墙USG多口网络场景是如何排除故障的?
mengmeng_921的博客
03-22 930
故障案例 USG2230多口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查 问题描述 USG2230配置等价路由时从外网访问内网服务器映射去的公网地址是通的,但将映射去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从外网再访问却不通。 处理过程 根据问题的描述可以判定导致该问题的原因应该是没有配置进源功能所致,在各个接口下配置进源功能: interface GigabitEthernet0/0/0 ip address A.A.6
华为防火墙之NAT技术
知识分享,学习记录,技术人生,,经验心得交流,IT晋升之路,一起成长,一起进步。
06-27 1908
对IP报文的地址进行转换,,使大量私网用户可以利用少量公网IP地址访问Internet,大大减少了对公网IP地址的消耗。NAT转换的过程如下图所示,当私网用户访问Internet的报文到达防火墙时,防火墙将报文的IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和Internet上的主机来说是完全透明的。
【案例分享】华为防火墙接口方式的单服务器智能DNS配置
XMWS-IT
11-16 1387
企业希望ISP2用户访问www.example.com时,能够通过DNS解析得到这个ISP2地址,然后通过ISP2网络访问企业的ISP1服务器。如果希望ISP2用户能够获得ISP2地址2.2.2.10,则需要配置接口方式的智能DNS功能,将DNS解析后的IP地址1.1.1.10修改为2.2.2.10。ISP1用户访问www.example.com时,会通过DNS解析并得到ISP1服务器地址1.1.1.10,然后通过ISP1网络访问企业的ISP1服务器。2.配置接口方式的单服务器智能DNS功能。
四、防火墙-NAT Server
u012451051的博客
11-24 730
第一条,反向表,将报文地址192.168.10.2转换为110.1.1.1,第二条,反向表,将地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文地址由192.168.10.2转换为110.1.1.1,又可以将地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。
100集华为HCIE安全培训视频教材整理 | 目的NAT及服务器负载均衡技术
COCO_gsta的博客
09-06 2185
学习视频来:《乾颐堂HCIP-HCIE-security安全 2019年录制》 针对内部到外部目的地址转换 放行的地址是NAT转换以后的地址,原因是先执行目的NAT,再执行安全策略 针对外部到内部的目的地址转换 server1后面可以跟zone 会产生正向和反向server-map NAT-Server产生Server-map与ASPF产生的Server-map意义不一样,NAT-Server产生的Server-map只能做映射的关系,必要要放...
华为防火墙企业双口专线,配置策略路由实现多个ISP接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条口线路现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
查看华为防火墙会话表
杨奇的博客
06-24 8276
Web查看防火墙会话表: 命令行查看防火墙会话表: <FW1>dis firewall session table Current Total Sessions : 19 icmp VPN: public --> public 192.168.1.2:18419 --> 172.16.1.2:2048 icmp VPN: public --> public 192.168.1.2:18163 --> 172.16.1.2:2048 icmp VPN:
防火墙简单实验
坏坏-5的博客
10-16 2988
本片是防火墙的简单实验配置分享!
华为防火墙介绍和原理,配置详细解析
最新发布
外游者
12-27 1251
向外网的流量中,我们使用默认路由来指定默认的口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
display firewall session table 显示会话信息
世界上最差的男孩子
05-07 5896
display firewall session table verbose命令输信息描述 项目 描述 TTL 该会话表项总的生存时间。 Left 该会话表项剩余生存时间。 Interface 接口。 NextHop 下一跳IP地址。 MAC 下一跳MAC地址。 <--packets:1269 ...
目的NAT转换,进源功能,外网访问内部服务器(双口属于不同安全域)
IT技术小Home
08-29 4712
介绍双口环境下公网用户通过NAT策略访问内部服务器(双口属于不同安全区域)的配置举例。 企业一共申请了1.1.1.1和1.1.10.10公网ISP1的公网IP;2.2.2.2和2.2.20.10公网ISP2的公网IP地址; 1.1.1.1和2.2.2.2分别配置到防火墙的两个口接口上;1.1.10.10和2.2.20.10 分别作为服务器的公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8 配置思路 配置接口IP地址和安全区域,完成网络基本参数配置。 配置安全策略,允许外部网络用
华为防火墙NAT/Easy_IP配置
weixin_46503909的博客
03-25 1728
实验物理拓扑: 实验配置: FW1: [FW1] sysname FW1 #web-manager enable interface GigabitEthernet0/0/0 //web管理接口 undo shutdown ip binding vpn-instance default ip address 172.16.1.2 255.255.255.0 service-manage http permit service-manage https permit serv...
路由交换-华为usg6000防火墙上配置内网外网通过公网ip访问http服务
weixin_34160277的博客
09-30 1万+
nat是将私网地址转换为公网地址,实现内部网络访问外网。目的dnat是将对公网访问Ip转换为内网ip,实现外部网络访问内网资。目的nat的实现有多种方式,一对一转换,带端口和不带端口的转换,最常用的就是使用带端口的一对多转换,即我们常说的端口映射。在华为的设备中,作为端口映射的配置被称为nat-sever.有时候,网络中需要内网ip能够访问对应的公网ip,...
USG Firewall
Anything that can make the world better is promising!
06-22 242
USG Firewall
防火墙NAT实验,双机热备实验
qq_58187222的博客
04-14 816
抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。抓包测试:在这两个口进行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。测试:FW1为主用,FW2为 备用,断开FW1的接口,两个防火墙就会进行切换。抓包测试:trust区域中的设备访问内部服务器,IP地址的变化。NAT策略中建立服务器映射。
华为防火墙简介及其工作原理
小健健的博客
10-22 4873
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用。华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推了一代又一代防护墙及安全系列产品。这篇博文主要介绍华为防火墙产品及其工作原理。 博文大纲:一、华为防火墙产品简介1.USG21102.USG66003.USG95004.NGFW 二、防火墙工作原理1.防火墙工作模式(1)路...
02-防火墙介绍
qianlai22的博客
03-04 5096
包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的/目的IP地址、/目的端口号、IP标识和报文传递的方向等信息。(五元组:IP地址,端口,目的IP地址,目的端口和传输层协议) 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
一文搞懂华为防火墙的原理和配置
lwljh134的博客
03-02 1251
这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。某公司网络使用防火墙作为口路由器,要求将公网设置为untrust区域,对外http服务器所在区域设置为dmz区域,内网的其他pc所在区域设置为trust区域。可以看到会话的安全区域放行为trust到untrust区域,该会话的老化时间(TTL)为20s,接收到报文的接口为G1/0/2,发送报文的接口为G1/0/1。纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。图11-1:防火墙的发展历程。
信息安全工程师第二版考试总结+笔记
11-29 1万+
信息安全工程师第二版考试总结+笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

项目工程师余工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值