当前位置:   article > 正文

理论+实操华为防火墙_华为防火墙二层透明模式

华为防火墙二层透明模式

华为防火墙

一:华为防火墙产品介绍

USG2100

USG6600

USG9500

在这里插入图片描述

在这里插入图片描述

备注:详细硬件可以到华为官网或者淘宝上面看

1.二层
华为三层s系列 S5352C-EI

通常运营商会买三层设备当二层用,因为性能更好
千万不要说配过傻瓜式交换机

2.三层的网络设备
服务器比如ATAE服务器(重)一般放在机柜下面,路由器交换机等网络设备(轻)放在上面,配过华为的路由器 AR1220C AR1220s 中小型企业
SRG路由器是运营商用的

2.防火墙
企业用USG防火墙
运营商E1000E-N3/N5

二:防火墙的工作原理

2.1 防火墙的工作模式

  • 路由模式

当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候,这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能。

  • 透明模式

华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下。

相当于二层交换机,透明模式可以监控数据,相当于一个门卫,检查流量

  • 混合模式

既处于路由接口模式又处于透明模式下,则防火墙是混合模式。

目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

2.2 华为防火墙安全区域划分

  • Trust

接口默认在trust区域

主要用户连接公司内部网络,优先级是85,安全等级较高

  • Untrust

外部网络,优先级5,安全等级低

  • DMZ

非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中

  • Local

通常定义防火墙本身,优先级100,是最高的

防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。

  • 其他区域(自定义区域)

用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级

备注:

流量从优先级高的区域流向优先级低的区域,是不需要设置规则策略的,如果想要允许流量从优先级的区域向优先级高的区域发送信息,就需要设置规则策略

默认情况下,华为防火墙因为优先级的关系,默认拒绝任何区域之间的流量,如需放行指定的流量,需要管理员设置策略

为了安全考虑,防火墙的外网口是不可以被ping的

2.3 防火墙Inbound和Outbound

Inbound

数据由等级低的流向等级高的,如untrust(5) 区域流向trust(85)

outbound

数据由等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)

在这里插入图片描述

2.4 状态化信息

传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号

状态化信息保存到连接表内

在这里插入图片描述

1.客户端发起到外网web服务器的请求
在这里插入图片描述

2.防火墙检查安全策略,放行流量,并保存该会话的状态化信息

在这里插入图片描述

3.Web服务端接收到数据,响应客户端,ack并syn
在这里插入图片描述

4.防火墙收到web服务端的回复,该流量因匹配连接表,所以跳过安全策略的检查

在这里插入图片描述

因为首个数据包成功被安全策略放行,所以返回流量可以通过状态话信息直接放行

2.5 安全策略

默认情况下,华为防火墙的策略有如下特点:

  • 任何2个安全区域的优先级不能相同
  • 本域内不同接口间的报文不过滤直接转发
  • 接口没有加入域之前不能转发包文
  • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。

在这里插入图片描述

新一代的防火墙除了传统的5元组之外,还加入了应用(识别软件)、内容(识别数据信息)、时间、用户、威胁(识别木马病毒)、位置进行深层次探测。

三:设备管理方式

3.1 AAA(Authentication Authorization Accounting)认证

  • 认证
  • 授予一定的权限
  • 统计登陆用户

3.2 常见的管理方式

  • console 最安全的是console
  • telnet 通常用的是telnet
  • web web界面通常不可以登,安全性低
  • ssh

telnet管理方式及配置

  • 登陆console控制台
  • 配置防火墙的接口
  • 打开防火墙的telnet功能
  • 配置防火墙允许远程管理
  • 接口加入安全区域
  • 配置安全策略
  • 配置认证方式及用户
  • 客户端测试

四:实操

USG6000的初始账号为admin,初始密码为Admin@123

在这里插入图片描述
在这里插入图片描述

4.1 首先先测试telnet

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: 自己输
Please confirm new password: 

 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW
[FW]un in en
Info: Saving log files...
Info: Information center is disabled.
[FW]int g 0/0/0
//进入接口
[FW-GigabitEthernet0/0/0]ip add 192.168.100.10 24
配置IP地址
[FW-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[FW-GigabitEthernet0/0/0]service-manage enable 	
在接口内配置接口服务管理,开启,允许telnet 服务
[FW-GigabitEthernet0/0/0]service-manage telnet permit 
[FW-GigabitEthernet0/0/0]q	
[FW]telnet server enable 	
在全局模式开启telnet服务
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
[FW]firewall zone trust 
//进入trust区域,将接口加入
[FW-zone-trust]add int g 0/0/0
 Error: The interface has been added to trust security zone. 
[FW-zone-trust]q
[FW]security-policy 
配置安全策略
[FW-policy-security]rule name allow_telnet
起个名字
[FW-policy-security-rule-allow_telnet]source-zone trust 
源区域是trust
[FW-policy-security-rule-allow_telnet]destination-zone local	
目标区域是local,也就是防火墙的内部区域
[FW-policy-security-rule-allow_telnet]action permit 
动作是允许
[FW-policy-security-rule-allow_telnet]quit
[FW-policy-security]q	
[FW]user-interface vty 0 4 
进入用户配置认证模式
[FW-ui-vty0-4]authentication-mode aaa
认证模式是aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.	
[FW-ui-vty0-4]protocol inbound telnet 
允许通过telnet服务,从级别低的流向级别高的
[FW-ui-vty0-4]q
[FW]aaa
进入aaa模式
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]password cipher bdqn@123
Info: You are advised to config on man-machine mode.	
[FW-aaa-manager-user-demo]service-type telnet 
Warning: The user access modes include Telnet or FTP, so security risks exist.
[FW-aaa-manager-user-demo]level 3
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68

打开crt

在这里插入图片描述
在这里插入图片描述

4.2 ssh

[FW]int g 0/0/0
[FW-GigabitEthernet0/0/0]dis this
2020-02-10 10:56:32.230 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.100.10 255.255.255.0
 alias GE0/METH
 service-manage telnet permit
#
return
[FW-GigabitEthernet0/0/0]service-manage ssh permit 
[FW-GigabitEthernet0/0/0]dis this
2020-02-10 10:57:41.140 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 192.168.100.10 255.255.255.0
 alias GE0/METH
 service-manage ssh permit
 service-manage telnet permit
#
return
[FW]rsa local-key-pair create 	//创建Rsa密钥对
The key name will be: FW_Host
The range of public key size is (2048 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.....+++++
........................++
....++++
...........++

[FW]aaa
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]dis this
2020-02-10 11:03:00.830 
#
 manager-user demo
  password cipher @%@%$i\48>Cr)>T(t%4FRh8@a*k8^;AM!V,9/1TYKIPVn5W!*k;a@%@%
  service-type telnet
  level 3
#
return
[FW-aaa-manager-user-demo]service-type ssh
[FW-aaa-manager-user-demo]q
[FW-aaa]q
[FW]stelnet server enable
Info: Succeeded in starting the Stelnet server.	
[FW]user-interface vty 0 4
[FW-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[FW-ui-vty0-4]protocol inbound ssh 
[FW-ui-vty0-4]q
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.3 接下来测试web

[FW]int g 0/0/0 
[FW-GigabitEthernet0/0/0]service-manage https permit 
[FW]aaa
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]dis this
2020-02-10 11:10:02.710 
#
 manager-user demo
  password cipher @%@%$i\48>Cr)>T(t%4FRh8@a*k8^;AM!V,9/1TYKIPVn5W!*k;a@%@%
  service-type ssh
  level 3
#
return
[FW-aaa-manager-user-demo]service-type web
[FW-aaa-manager-user-demo]q
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

https://192.168.100.10:8443/

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/187815
推荐阅读
相关标签
  

闽ICP备14008679号