华为防火墙USG5500
重点:什么是防火墙;防火墙基础;防火墙功能配置
一.什么是防火墙:
1.什么是防火墙:
防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。
2.对比交换机路由器及防火墙:
1)交换机:组建局域网、通过二层或三层交换快速转发报文;
2)路由器:连接不同网络、通过路由协议实现互联互通、确保报文转发到目的地;
3)防火墙:部署在边界,对进出网络的访问行为进行控制,安全防护是核心特性;
总结:路由器和交换机的本质是转发,防护墙的本质是控制。
3.防火墙发展历史及特点:
1)访问控制越来越精确;
2)防护能力越来越强;
3)处理性能越来越高;
4.防火墙接口、网络和安全区域的关系:
1)安全区域(security zone):简称区域(zone)是一个或多个接口的集合,作用是划分网络、标识表文流动的“路线”;当报文在不同安全区域之间流动时才会受到控制;
2)防火墙接口、网络、安全区域的关系:接口连接网络、接口再加入到区域,实现通过接口把安全区域和网络关联起来,通常说某个安全区域即表示安全区域中接口所在网络;(注意华为防火墙,一个接口只能加入到一个安全区域)
3)华为防火墙默认安全区域:
trust区域:受信任程度高,通常为内部用户所在网络;
DMZ区域:受信任程度中等,通常为内部服务器所在网络;
untrust区域:不受信任的网络,通常为Internet等不安全的网络;
local区域:防火墙本身,凡是由防火墙主动发出的报文均为local区域发出,凡是需要防火墙响应并处理(非转发)的报文均为local区域接收;local区域不能添加任何接口;
4)安全级别(受信任程度):1-100(数越大越可信)、local=100、trust=85、DMZ=50、untrust=5;
5)报文在两个安全区域之间流动的规则:
inbound(入方向):报文从低级别的安全区域向高级别的安全区域流动;
outbound(出方向):报文从高级别的安全区域向低级别的安全区域流动;
6)防火墙通过安全级别划分等级明确的区域,连接各个网络,实现各个网络之间流动的报文(数据传输流向)实施控制。
5.防火墙如何判断报文在哪两个区域之间流动?
1)确认目的安全区域:查表(路由表、MAC地址表)确认转发的接口,接口所在的区域即为目的安全区域;
2)确认原安全区域:反查路由表确认原安全区域;
注意:确定报文的源和目的安全区域是精确配置安全策略的前提条件。
二.华为防火墙基础配置:
1.华为防火墙配置安全区域:
系统试图:新建或进入安全区域:firewall zone name 区域的名称
区域试图:设置安全级别(0-100):set prio 安全级别
区域试图:添加接口到区域:add int 接口编号
系统试图:查看区域配置:display zone
2.状态检测防火墙:
状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。为数据流的第一个报文建立会话,数据流内的后续报文直接配置会话转发,不需要再进行规则的检查,提高转发效率。
3.防火墙会话:
1)会话:通信双方建立的连接在防火墙上的具体体现,代表两者的连接状态,一条会话表示通信双方的一个连接,防火墙上的多条会话的集合叫做会话表(session table);
2)五元组:一条连接(即一个会话)由源地址、源端口、目的地址、目的端口和协议五个元素唯一确认,即只要这5个元素相同的报文即可任务属于同一条会话流。没有目标端口的协议防火墙使用固定值,如ICMP:ID=源端口、2048=目的端口;IPSsec(×××:AH认证头/ESP:封装安全载荷):源、目的端口=0.
4.华为防火墙排错命令:
系统试图:查看区域:display zone
系统试图:查看丢包:dis firewall statistic system discard
系统试图:查看会话表:dis Firewall session table verbose
系统试图:修改dns老化时间为3秒:firewall session aging-time dns 3(内网有大量dns查询,修改老化时间,避免内存耗尽)
三.防火墙功能配置:
1.配置DHCP:
接口试图:配置DHCP:dhcp select int-->dhcp server gateway 网关-->dhcp server dns dns服务器地址-->q
2.配置SNAT内网上网:
1)配置NAT策略:
进入nat配置试图:nat-policy interzone 高区域1 低区域2 outbound
nat配置试图:新建策略1:policy 1
策略配置试图:指定源网段:policy source 源网段 反码
策略配置试图:启用SNAT:action source-nat
策略配置试图:指定nat类型:easy-ip 外网接口编号
策略配置试图:退出:return
2)配置安全策略:
系统试图:进入安全策略配置试图:policy interzone 高区域1 低区域1 outbound
安全策略配置试图:新建策略:policy 1
策略配置试图:policy source 源网段 反码
策略配置试图:设置策略为允许:action permit-->return
3)配置动态NAPT:
系统试图:定义地址池:nat address-group 组号 开始地址 结束地址
策略配置试图:指定nat类型:address-group 组号
其他配置与easy-ip相同。
3.华为防火墙安全策略:
1)安全策略基于安全区域之间关系来呈现,其内容包括条件(端口和地址)+动作(permit允许或deny拒绝);
2)安全策略的匹配顺序:从上到下顺序匹配,匹配即停止,无匹配默认拒绝;
3)华为防火墙安全策略发展历程:ACL五元组(usg2000/5000支持)-->UTM(usg2000/5000支持)-->一体化安全策略(usg6000支持)
UTM(统一威胁管理)配置语法:policy interzone 源区域 目标区域 outbound或inbound-->policy 名称-->policy source或destination 网段或ip-->action deny或permit
一体化安全策略配置语法:security-policy-->rule name 名称-->source-zone 源区域-->destination-zone 目标区域-->source-address 原地址-->action deny或permit;
4)ASPF(应用层包过滤):根据报文应用层中的信息动态生成server-map表项,即简化安全策略的配置又确保安全性,ASPF是一种穿越防火墙的技术,ASPF生成的server-map表项,相当于在防火墙上打开一个通道,使类似于FTP(qq、msn)的多通道协议的后续报文不受安全策略的控制,利用该通道即可穿越防火墙。
ASPF配置语法:firewell interzone trust unstrust -->detect {ftp|qq|msn}
注意:ASPF的服务支持自定义。
5)华为防火墙安全策略配置思路和故障排除:
安全策略配置思路:配置默认包过滤为允许-->对业务进行调试-->查看会话表并以其中记录的信息为匹配条件配置安全策略-->最后恢复默认包过滤策略配置-->调试业务
故障排除:dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改变策略顺序

4.华为防火墙负载均衡:
1)负载均衡是一种集群,由多台服务器共同处理任务,实现统一对外,处理大量任务。
2)配置负载均衡:
系统视图:启用负载均衡(SLB):slb enable
slb视图:设置远端服务器:rserver 1 rip 服务器ip地址 weight 权重
slb视图:新建组:group 负载均衡组名
slb组视图:设置调度算法:metric 算法
slb组视图:添加远端服务器:addrserver 1
slb视图:设置集群vip:vserver grp vip 集群ip地址 group slb组 vport 集群端口 rport 真实服务器端口
系统视图:查看:dis slb group slb组

5.华为防火墙nat-server发布内网服务:
1)nat server的server-map表中包括正向表项和反向表项,正向表项记录服务器私网地址及端口和公网地址及端口的映射关系,作用是在公网用户访问服务器时对报文的目的地址做转换;
反向表项作用是当私网服务器主动访问公网时,可以直接使用该表项的源地址,将私网地址转换为公网地址,而不用再单独为服务器配置源SNAT策略;
即一条命令同时打通私网服务器和公网之间出入两个方向的地址转换通道。
2)nat-server发布内网服务配置语法:
系统试图:发布内网服务:nat server protocol tcp global 公网地址 端口 inside 内网服务器地址 端口
3)发布内网服务器安全策略配置:
注意:策略的目的地址是服务器私网地址,而不是服务器对外映射公网地址,为了避免路由环路,nat server需要配置黑洞路由。
4)DNAT安全策略配置语法:
policy interzone dmz untrust inbound-->policy 1-->policy destination 服务器私网ip地址 0 -->policy service service-set 服务 -->action permit -->return
5)配置黑洞路由的语法:ip route-static 公网ip地址 32 null 0