华为防火墙基础知识

防火墙的发展历史

第一代防火墙:包过滤防火墙
第二代防火墙:代理防火墙
第三代防火墙:状态监测防火墙
第四代防火墙:统一威胁管理防火墙(UTM)
第五代防火墙:下一代防火墙(NGFW)

未来防火墙的发展趋势是基于人工智能(AI)的防火墙

NGFW

NGFW即下一代防火墙,更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换、状态检测、虚拟专用网和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略、日志统计、安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等。

传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管理控制和防护,分别是应用、用户、内容、时间、威胁、位置。

  • 基于应用:运用多种手段准确识别Web应用内超过6000以上的应用协议及其附属功能,从而进行精确的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略

  • 基于用户:借助于AD活动目录、目录服务或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护

  • 基于位置:结合全球位置信息,智能识别流量的发起位置,从而获取应用和的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制,同时支持根据IP信息自定义位置

华为防火墙的安全区域

华为防火墙默认有四个区域,分别是Trust、Untrust、DMZ和Local。不同的区域拥有不同的受信优先级,防火墙则根据这些区域的受信优先级来区分区域的保护级别。

  • Untrust:非受信任区域,安全级别5,通常定义互联网流量
  • Trust:受信任区域,安全级别85,通常定义内网所在区域
  • DMZ:非军事化区域,安全级别50,通常定义服务器所在区域
  • Local:本地区域,安全级别100,通常定义防火墙本身
  • 其他区域:用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定

命令行配置区域归属指令

进入接口配置IP地址
[FW]interface GigabitEthernet1/0/1
[FW-GigabitEthernet1/0/1]ip address 192.168.1.254 255.255.255.0
允许ping流量通过
[FW-GigabitEthernet1/0/1]server-manage ping permit
进入trust区域,将接口添加进该区域
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet1/0/1

命令行配置安全策略指令---------区域间互通

允许信任区域至非信任区域的流量
[FW]service-quality
[FW-policy-security]rule name XXX
[FW-policy-security-rule-XXX]source-zone trust
[FW-policy-security-rule-XXX]destination-zone untrust
[FW-policy-security-rule-XXX]action permit

命令行配置安全策略指令---------配置NAT策略

动态PAT,端口地址转换

配置Easyip
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name EASYIP
[USG6000V1-policy-nat-rule-EASYIP]source-zone trust
[USG6000V1-policy-nat-rule-EASYIP]destination-zone untrust
[USG6000V1-policy-nat-rule-EASYIP]action nat easy-ip

基于地址池配置NAPT

首先保障区域间互通

配置NAPT中的地址池
[USG6000V1]nat address-group pool
[USG6000V1-address-group-pool]mode pat
[USG6000V1-address-group-pool]section x.x.x.x x.x.x.x(ip范围)
配置NAT策略----实现私有地址转换公有地址
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name napt
[USG6000V1-policy-nat-rule-napt]source-zone trust
[USG6000V1-policy-nat-rule-napt]destination-zone untrust
[USG6000V1-policy-nat-rule-napt]action nat address-group pool

服务器映射发布

首先保障区域间互通
[USG6000V1]nat server natserver zone untrust protocol tcp global 200.1.1.11 www inside 1
92.168.3.10 www no-revers
no-reverse: 不允许服务器主动访问外网

你可能感兴趣的:(华为防火墙基础知识)