文章目录
前言
一:华为防火墙基础理论
1.1:华为防火墙产品介绍
-
低:USG2110
-
中:USG6600,同NGFW防火墙
-
高:USG9500
1.2:华为防火墙的工作模式
- 分类三类:路由模式,透明模式,混合模式
- 路由模式
- 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候使用
- 这个时候防火墙首先是台路由器,然后在提供其他的防火墙功能。
- 透明模式
- 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下。
- 混合模式
- 既处于路由接口模式又处于透明模式下,则防火墙是混合模式。
- 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用
1.3:华为防火墙的安全区域
- 华为防火墙通常划分5个区域:trust、untrust、DMZ、Local,自定义区域
- trust区域:主要用户连接公司内部网络,优先级是85,安全等级较高
- DMZ :非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中
- UNtrust:外部网络,优先级5,安全等级低
- Local :通常定义防火墙本身,优先级100,防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。
- 自定义区域:默认最多16个区域,默认没有优先级,所以要自己配置优先级。
- 默认情况下,华为防火墙拒绝任何区域之间的流量,如需方形指定的流量,需要管理员设置策略
1.4:华为防火墙的inbound和outbound
- inbound:数据有等级低的流向等级高的,如untrust(5) 区域流向trust(85)
- outbound:数据有等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)
- 防火墙流量根据优先级来的,规则:从高到低流入,从低到高需要设置规则
- 另外:华为防火墙的外网口是不允许ping通的
1.5:华为防火墙的状态化信息
- 防火墙内状态化信息包括:安全策略,连接表
- 因为首个数据包成功被安全策略放行,他的路由信息被保存到连接表中,所以返回流量可以通过状态化信息直接放行,连接表中的内容被称为五元组
- 传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号
- 新一带的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测。
- 五元组解释
- 安全策略解释
1.6:华为防火墙策略的特点
- 默认情况下,华为防火墙的策略有如下特点:
- 1、任何2个安全区域的优先级不能相同
- 2、本域内不同接口间的报文不过滤直接转发
- 3、接口没有加入域之前不能转发包文
- 4、在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。
二:华为防火墙的设备管理方式
- 通过AAA认证管理,管理方式有四种,Console线连接,Telnet远程连接,Web网页连接,SSH连接
- 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用
2.1:AAA
- AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
- 认证:验证用户是否可以获得网络访问权。
- 授权:授权用户可以使用哪些服务。
- 计费:记录用户使用网络资源的情况。
- 目的:提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
2.2:console线连接方式
- 设置接口号直接connect
2.3:实验环境
-
eNSP软件
-
一个cloud云,绑定VMnet1网卡
-
一个USG6000V防火墙
-
cloud云设置(右击设置)
2.4:实验拓扑图
- 按照拓扑图修改VMnet1网卡的IP地址
2.5:实验连接方式配置
-
先登录防火墙
-
打开防火墙
The device is running! Login authentication Username:admin '//默认用户名admin' Password: '//输入默认密码Admin@123' The password needs to be changed. Change now? [Y/N]: y Please enter old password: '//输入原本密码Admin@123' Please enter new password: '//输入自定义新密码,如qwer@1234' Please confirm new password: '//重复输入自定义新密码,如qwer@1234' <USG6000V1>sys '//进入系统视图' Enter system view, return user view with Ctrl+Z. [USG6000V1]int g0/0/0 '//进入接口' [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.11.10 24 '//添加IP地址' [USG6000V1-GigabitEthernet0/0/0]un sh '//保存'
2.5.1:使用Telnet方式连接
-
[USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage enable '//开启接口管理服务' [USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit '//允许Telnet服务' [USG6000V1-GigabitEthernet0/0/0]undo sh [USG6000V1-GigabitEthernet0/0/0]q [USG6000V1]telnet server enable '//系统视图Telnet服务开启' [USG6000V1]firewall zone trust '//进入防火墙trust区域' [USG6000V1-zone-trust]add interface g0/0/0 '//将G0/0/0口加入trust区域' [USG6000V1-zone-trust]q [USG6000V1]security-policy '//安全策略配置' [USG6000V1-policy-security]rule name allow_telnet '//取名规则allow_telnet' [USG6000V1-policy-security-rule-alldw_telnet]source-zone trust '//来自trust区域' [USG6000V1-policy-security-rule-alldw_telnet]destination-zone local '//去local区域' [USG6000V1-policy-security-rule-alldw_telnet]action permit '//动作是允许放通' [USG6000V1-policy-security-rule-alldw_telnet]quit [USG6000V1-policy-security]q [USG6000V1]user-interface vty 0 4 '//进入配置认证模式' [USG6000V1-ui-vty0-4]authentication-mode aaa '//认证模式为AAA' [USG6000V1-ui-vty0-4]protocol inbound telnet '//允许telnet连接虚拟终端' [USG6000V1-ui-vty0-4]q [USG6000V1]aaa '//进入AAA模式' [USG6000V1-aaa] [USG6000V1-aaa]manager-user demo. '//配置管理用户名demo' [USG6000V1-aaa-manager-user-demo]password cipher abcd@123 '//密码为abcd@123' [USG6000V1-aaa-manager-user-demo]service-type telnet '//服务类型是telnet' [USG6000V1-aaa-manager-user-demo]level 3 '//用户权限级别是3' [USG6000V1-aaa-manager-user-demo]q
使用crt软件连接
2.5.2:使用web方式连接
-
[USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage http permit '//允许HTTP服务' [USG6000V1-GigabitEthernet0/0/0]service-manage https permit '//允许HTTPS服务' [USG6000V1]aaa [USG6000V1-aaa] [USG6000V1-aaa]manager-user demo. [USG6000V1-aaa-manager-user-demo]service-type web '//服务类型改为web'
2.5.3:使用ssh方式连接
-
[USG6000V1]user-interface vty 0 4 '//进入用户界面视图' [USG6000V1-ui-vty0-4]protocol inbound ssh '//入方向ssh协议' [USG6000V1-ui-vty0-4]q USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit '//ssh流量放通' [USG6000V1-GigabitEthernet0/0/0]q [FW]rsa local-key-pair create '//生成ssh密钥对' [USG6000V1] aaa [USG6000V1-aaa]manager-user demo [USG6000V1-aaa-manager-user-demo]service-type ssh '//更改服务类型为ssh' [USG6000V1-aaa]q [USG6000V1]stelnet server enable '//系统模式下开启ssh服务'
四:选择连接方式的步骤总结
-
1.进入接口,开启管理服务,设置允许的服务,Telnet或者ssh或者HTTP/HTTPS
-
2.系统视图开启ssh(stelnet)服务或者Telnet服务,如果是ssh还要生成rsa密钥对
-
3.进入防火墙区域,将接口添加到区域,例如trust区域
-
4.进入安全策略配置:security-policy,为设置的规则取名,然后设置规则,源区域,目标区域,动作允许或拒绝
-
5.进入用户视图模式,选择aaa认证模式,允许Telnet或者ssh连接虚拟终端
-
6.进入aaa模式,设置管理用户名,密码,设置服务类型telnet/ssh/web,用户权限