前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生

文章目录

  • 一、华为防火墙理论
    • 1.特征
    • 2.防火墙外观结构
      • 1)百兆防火墙USG6507
      • 2)千兆防火墙USG6550
    • 3.防火墙的工作模式
    • 4.华为防火墙的安全区域划分
    • 5.防火墙的inbound和outbound
    • 6.防火墙的状态化信息
  • 二、管理
    • 1.AAA介绍
    • 2.远程管理华为防火墙
      • 1)实验环境
        • cloud云设置
      • 2)拓扑图
      • 3)配置
        • 使用CRT软件连接
        • 使用Web方式连接
        • 使用ssh方式连接
    • 总结

一、华为防火墙理论

1.特征

  • 通常要求下一代防火墙产品具有以下特征

    • 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素
    • 集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容
    • 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密
    • 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施

2.防火墙外观结构

1)百兆防火墙USG6507


2)千兆防火墙USG6550

3.防火墙的工作模式

  • 路由模式

    • 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候
    • 这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能
  • 透明模式
    • 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下
  • 混合模式
    • 既处于路由接口模式又处于透明模式下,则防火墙是混合模式
    • 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

4.华为防火墙的安全区域划分

  • 华为防火墙通常划分4个区域:trust、untrust、DMZ、Local

    • trust

      • 主要用户连接公司内部网络,优先级是85,安全等级较高
    • DMZ
      • 非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中
    • UNtrust
      • 外部网络,优先级5,安全等级低
    • Local
      • 通常定义防火墙本身,优先级100,防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。
  • 其他区域:用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级

5.防火墙的inbound和outbound

  • 防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来标识inbound或outbound的方向

    • inbound

      • 数据有等级低的流向等级高的,如untrust(5) 区域流向trust(85)
    • outbound
      • 数据有等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)

6.防火墙的状态化信息

  • 防火墙内状态化信息包括:安全策略,连接表
  • 因为首个数据包成功被安全策略放行,他的路由信息被保存到连接表中,所以返回流量可以通过状态化信息直接放行,连接表中的内容被称为五元组
  • 传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号
//可以用 display firewall session table 命令查看
。。省略部分内容
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
。。省略部分内容
这里,http为协议,1.1.1.1为源地址,2049为源端口,2.2.2.2为目标地址,80为目标端口
  • 新一带的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测。
  • 默认情况下,华为防火墙的策略有如下特点
    • 任何2个安全区域的优先级不能相同
    • 本域内不同接口间的报文不过滤直接转发
    • 接口没有加入域之前不能转发包文
    • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。

二、管理

  • 华为防火墙的设备通过AAA认证管理,有四种方式,Console线连接,Telnet远程连接,Web网页连接,SSH连接
  • 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用

1.AAA介绍

  • AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中:

    • 验证:哪些用户可以访问网络服务器。

    • 授权:具有访问权限的用户可以得到哪些服务,有什么权限。

    • 记账:如何对正在使用网络资源的用户进行审计。

  • AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。

  • 网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。

2.远程管理华为防火墙

1)实验环境

  • 实验软件:eNSP软件
  • 实验设备:一台cloud云,绑定VMnet1网卡;一台USG6000V防护墙

cloud云设置

2)拓扑图

  • 实验需求

    • 用户接口验证方式AAA、Telnet用户名为demo
    • 密码是csdn@123 口令是密文(cipher)级别是3
    • 远程工具:CRT软件

3)配置

使用CRT软件连接

  • 登录并打开防火墙
  • USG6000的初始账号为admin,初始密码为Admin@123
Username:admin      //输入初始账号
Password:           //输入初始密码Admin@123
The password needs to be changed. Change now? [Y/N]: y   //输入y确定更改密码
Please enter old password:           //输入旧密码Admin@123
Please enter new password:           //输入新密码csdn@123
Please confirm new password:         //再次输入一次新密码
//登录成功Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************<USG6000V1>
  • 给接口配上IP,IP地址为192.168.124.10
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0     //进入接口
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.124.10 24   //配置IP
[USG6000V1-GigabitEthernet0/0/0]un sh        //保存
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]dis this    //查看
2020-02-10 15:44:37.780
#
interface GigabitEthernet0/0/0undo shutdownip binding vpn-instance defaultip address 192.168.124.10 255.255.255.0     //确认配置上alias GE0/METH
#
return
  • 使用Telnet方式连接
[USG6000V1]int g0/0/0                                   //进入G0/0/0口
[USG6000V1-GigabitEthernet0/0/0]service-manage enable       //配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit     //允许Telnet服务
[USG6000V1-GigabitEthernet0/0/0]undo sh         //激活接口
[USG6000V1-GigabitEthernet0/0/0]q               //退出
[USG6000V1]telnet server enable               //Telnet服务开启
[USG6000V1]firewall zone trust                  //防火墙trust区域
[USG6000V1-zone-trust]add interface g0/0/0      //将G0/0/0口加入trust区域
[USG6000V1-zone-trust]q                         //退出
[USG6000V1]security-policy                      //安全策略配置
[USG6000V1-policy-security]rule name alldw_telnet                       //取名规则alldw_telnet
[USG6000V1-policy-security-rule-alldw_telnet]source-zone trust           //来自trust区域
[USG6000V1-policy-security-rule-alldw_telnet]destination-zone local      //去local区域
[USG6000V1-policy-security-rule-alldw_telnet]action permit               //动作是允许放通
[USG6000V1-policy-security-rule-alldw_telnet]quit       //退出
[USG6000V1-policy-security]q
[USG6000V1]user-interface vty 0 4                       //进入配置认证模式
[USG6000V1-ui-vty0-4]authentication-mode aaa            //认证模式为AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet            //允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]q
[USG6000V1]aaa
[USG6000V1-aaa]                        //进入AAA模式
[USG6000V1-aaa]manager-user demo           //配置管理用户名demo
[USG6000V1-aaa-manager-user-demo]password cipher bdqn@123    //密码为bdqn@123
[USG6000V1-aaa-manager-user-demo]service-type telnet         //服务类型是telnet
[USG6000V1-aaa-manager-user-demo]level 3             //用户权限级别是3
[USG6000V1-aaa-manager-user-demo]q
  • 使用CRT软件连接
  • 点击闪电,输入IP后直接connect即可
  • 登录进去后,输入更新后的账号demo与密码csdn@123

使用Web方式连接

  • 进入接口以及AAA进行配置
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit  //允许HTTP服务
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit
[USG6000V1]aaa                     //进入AAA
[USG6000V1-aaa]
[USG6000V1-aaa]manager-user demo.
[USG6000V1-aaa-manager-user-demo]service-type web       //服务类型改为web
  • 配置完成后,登录网站,ip地址为192.168.124.10
  • 输入账号密码后,即可登录成功

使用ssh方式连接

[USG6000V1]user-interface vty 0 4          //进入用户界面视图
[USG6000V1-ui-vty0-4]protocol inbound ssh            //入方向ssh协议
[USG6000V1-ui-vty0-4]q
USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit       //ssh流量放通
[USG6000V1-GigabitEthernet0/0/0]q
[USG6000V1]rsa local-key-pair create  //生成密钥对
The key name will be: USG6000V1_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512, it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1] aaa
[USG6000V1-aaa]manager-user demo
[USG6000V1-aaa-manager-user-demo]service-type ssh       //更改服务类型为ssh
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable         //系统模式下开启ssh服务
  • 配置完成后,再次使用CRT软件登录
  • 需要输入账号密码

  • 依次输入账号密码后,即可登录成功

总结

  • 华为防火墙常见的管理方式

    • 通过Console方式管理:属于带外管理,不占用户带宽,适用于新设备的首次配置场景。

    • 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。

    • 通过Web方式管理:属于带内管理,可以基于图形化管理,更适用于新手配置设备。

    • 通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,比如通过互联网远程管理公司网络设备。

华为防火墙理论与管理相关推荐

  1. 华为防火墙(远程管理)

    目录 一.华为防火墙常见的管理方式 二.远程管理实例 2.1.拓扑图 2.2.配置命令 2.3.测试 2.4.总结 一.华为防火墙常见的管理方式 通过Console方式管理 属于带外管理,不占用户带宽 ...

  2. 华为防火墙NAT策略

    前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录 一.理论 1.NAT分类 1)NAT NO-PAT 2)N ...

  3. 华为防火墙(USG)的管理方式配置

    一.华为防火墙设备的几种管理方式介绍: 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Author ...

  4. 华为模拟器防火墙打开web_华为防火墙的管理方式(Console、Telnet、Web、SSH)

    一.华为防火墙设备的管理方式 1.AAA介绍 AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请 ...

  5. 华为防火墙双机热备(VGMP+HRP)理论+实操!

    文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...

  6. 理论+实操华为防火墙

    华为防火墙 文章目录 一:华为防火墙产品介绍 二:防火墙的工作原理 2.1 防火墙的工作模式 2.2 华为防火墙安全区域划分 2.3 防火墙Inbound和Outbound 2.4 状态化信息 2.5 ...

  7. 【逗老师带你学IT】HUAWEI华为防火墙自动化运维Python ssh管理网络设备

    本文,介绍一种.通过Django框架,搭建API服务器,并通过此API服务器管理华为防火墙.并以此衍生出,通过Django+Python+ssh的方式管理网络设备的方法. 关于Django环境的搭建, ...

  8. 华为防火墙配置(远程管理)

    目录 前言 一.设备管理方式 1.AAA介绍 2.常见管理方式 (1)Console (2)Telnet (3)Web (4)SSH 3.密码遗忘 (1)Console口密码遗忘 (2)管理员账号/密 ...

  9. 华为防火墙管理地址的坑

    华为防火墙 5150配置管理地址时不能配置网关,不然会自动生成一条道网关的默认路由,如果还有其他默认路由就会产生路由的负载均衡,环路等不良影响.导致部分通部分不通的故障. 转载于:https://ww ...

最新文章

  1. Linux下双网卡绑定(bonding技术)
  2. 【sping揭秘】9、容器内部事件发布(二)
  3. 引入antd组件样式_如何使用 dumi 和 fatherbuild 创建组件库
  4. 笔记-项目进度管理-复习要点
  5. boost::gregorian模块实现打印一个月中的所有日期的测试程序
  6. 河南理工大学python挂科率_河南高校2021届保研率排名,上榜仅有10所,河南理工大学第6...
  7. 如何手动更新Kafka中某个Topic的偏移量
  8. Linux uptime 命令详解
  9. 四则运算之Right-BICEP测试
  10. 中科院院士:很多人没有真正理解科学研究的本质
  11. mysql5.6.20开启慢查询日志以及创建索引优化慢查询
  12. erp代码matlab,ERP1 Protocol in Matlab - 源码下载|Windows编程|其他小程序|源代码 - 源码中国...
  13. 寻找linux最新版本,在各大Linux发行版中安装和使用inxi以查找Linux系统详细信息...
  14. 【线性规划】基本概念
  15. 【Linux命令】su 和 sudo
  16. 攻防世界-warmup详解
  17. Eclipse j2ee开发环境的搭建
  18. Excel下拉列表多选框实现
  19. Python实现文件夹复制操作
  20. 1758: [Wc2010]重建计划(TLE)

热门文章

  1. Java输入三条边判断是否能组成三角形,若能构成则输出什么三角形
  2. Google浏览器中扩展插件方法
  3. 怎么修改图片的kb大小?如何缩小照片kb?
  4. STM32产生固定频率和占空比可变的PWM
  5. 2021-08-13 TM32F103 SRAM 内存扩展管理
  6. MybatisPlus 通用CRUD操作
  7. CPU与GPU区别 通俗易懂
  8. 用html编写一个红绿灯,红绿灯.html
  9. google搜索引擎的高级用法
  10. http前后端传参写法