华为防火墙理论与管理
前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生
文章目录
- 一、华为防火墙理论
-
- 1.特征
- 2.防火墙外观结构
-
- 1)百兆防火墙USG6507
- 2)千兆防火墙USG6550
- 3.防火墙的工作模式
- 4.华为防火墙的安全区域划分
- 5.防火墙的inbound和outbound
- 6.防火墙的状态化信息
- 二、管理
-
- 1.AAA介绍
- 2.远程管理华为防火墙
-
- 1)实验环境
-
- cloud云设置
- 2)拓扑图
- 3)配置
-
- 使用CRT软件连接
- 使用Web方式连接
- 使用ssh方式连接
- 总结
一、华为防火墙理论
1.特征
- 通常要求下一代防火墙产品具有以下特征
- 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素
- 集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容
- 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密
- 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施
2.防火墙外观结构
1)百兆防火墙USG6507
2)千兆防火墙USG6550
3.防火墙的工作模式
- 路由模式
- 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候
- 这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能
- 透明模式
- 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下
- 混合模式
- 既处于路由接口模式又处于透明模式下,则防火墙是混合模式
- 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用
4.华为防火墙的安全区域划分
- 华为防火墙通常划分4个区域:trust、untrust、DMZ、Local
- trust
- 主要用户连接公司内部网络,优先级是85,安全等级较高
- DMZ
- 非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中
- UNtrust
- 外部网络,优先级5,安全等级低
- Local
- 通常定义防火墙本身,优先级100,防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。
- trust
- 其他区域:用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级
5.防火墙的inbound和outbound
- 防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来标识inbound或outbound的方向
- inbound
- 数据有等级低的流向等级高的,如untrust(5) 区域流向trust(85)
- outbound
- 数据有等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)
- inbound
6.防火墙的状态化信息
- 防火墙内状态化信息包括:安全策略,连接表
- 因为首个数据包成功被安全策略放行,他的路由信息被保存到连接表中,所以返回流量可以通过状态化信息直接放行,连接表中的内容被称为五元组
- 传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号
//可以用 display firewall session table 命令查看
。。省略部分内容
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
。。省略部分内容
这里,http为协议,1.1.1.1为源地址,2049为源端口,2.2.2.2为目标地址,80为目标端口
- 新一带的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测。
- 默认情况下,华为防火墙的策略有如下特点
- 任何2个安全区域的优先级不能相同
- 本域内不同接口间的报文不过滤直接转发
- 接口没有加入域之前不能转发包文
- 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。
二、管理
- 华为防火墙的设备通过AAA认证管理,有四种方式,Console线连接,Telnet远程连接,Web网页连接,SSH连接
- 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用
1.AAA介绍
-
AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中:
-
验证:哪些用户可以访问网络服务器。
-
授权:具有访问权限的用户可以得到哪些服务,有什么权限。
-
记账:如何对正在使用网络资源的用户进行审计。
-
-
AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。
-
网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。
2.远程管理华为防火墙
1)实验环境
- 实验软件:eNSP软件
- 实验设备:一台cloud云,绑定VMnet1网卡;一台USG6000V防护墙
cloud云设置
2)拓扑图
- 实验需求
- 用户接口验证方式AAA、Telnet用户名为demo
- 密码是csdn@123 口令是密文(cipher)级别是3
- 远程工具:CRT软件
3)配置
使用CRT软件连接
- 登录并打开防火墙
- USG6000的初始账号为admin,初始密码为Admin@123
Username:admin //输入初始账号
Password: //输入初始密码Admin@123
The password needs to be changed. Change now? [Y/N]: y //输入y确定更改密码
Please enter old password: //输入旧密码Admin@123
Please enter new password: //输入新密码csdn@123
Please confirm new password: //再次输入一次新密码
//登录成功
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
- 给接口配上IP,IP地址为192.168.124.10
sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0 //进入接口
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.124.10 24 //配置IP
[USG6000V1-GigabitEthernet0/0/0]un sh //保存
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]dis this //查看
2020-02-10 15:44:37.780
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding -instance default
ip address 192.168.124.10 255.255.255.0 //确认配置上
alias GE0/METH
#
return
- 使用Telnet方式连接
[USG6000V1]int g0/0/0 //进入G0/0/0口
[USG6000V1-GigabitEthernet0/0/0]service-manage enable //配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit //允许Telnet服务
[USG6000V1-GigabitEthernet0/0/0]undo sh //激活接口
[USG6000V1-GigabitEthernet0/0/0]q //退出
[USG6000V1]telnet server enable //Telnet服务开启
[USG6000V1]firewall zone trust //防火墙trust区域
[USG6000V1-zone-trust]add interface g0/0/0 //将G0/0/0口加入trust区域
[USG6000V1-zone-trust]q //退出
[USG6000V1]security-policy //安全策略配置
[USG6000V1-policy-security]rule name alldw_telnet //取名规则alldw_telnet
[USG6000V1-policy-security-rule-alldw_telnet]source-zone trust //来自trust区域
[USG6000V1-policy-security-rule-alldw_telnet]destination-zone local //去local区域
[USG6000V1-policy-security-rule-alldw_telnet]action permit //动作是允许放通
[USG6000V1-policy-security-rule-alldw_telnet]quit //退出
[USG6000V1-policy-security]q
[USG6000V1]user-interface vty 0 4 //进入配置认证模式
[USG6000V1-ui-vty0-4]authentication-mode aaa //认证模式为AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet //允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]q
[USG6000V1]aaa
[USG6000V1-aaa] //进入AAA模式
[USG6000V1-aaa]manager-user demo //配置管理用户名demo
[USG6000V1-aaa-manager-user-demo]password cipher bdqn@123 //密码为bdqn@123
[USG6000V1-aaa-manager-user-demo]service-type telnet //服务类型是telnet
[USG6000V1-aaa-manager-user-demo]level 3 //用户权限级别是3
[USG6000V1-aaa-manager-user-demo]q
- 使用CRT软件连接
- 点击闪电,输入IP后直接connect即可
- 登录进去后,输入更新后的账号demo与密码csdn@123
使用Web方式连接
- 进入接口以及AAA进行配置
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit //允许HTTP服务
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit
[USG6000V1]aaa //进入AAA
[USG6000V1-aaa]
[USG6000V1-aaa]manager-user demo.
[USG6000V1-aaa-manager-user-demo]service-type web //服务类型改为web
- 配置完成后,登录网站,ip地址为192.168.124.10
- 输入账号密码后,即可登录成功
使用ssh方式连接
[USG6000V1]user-interface vty 0 4 //进入用户界面视图
[USG6000V1-ui-vty0-4]protocol inbound ssh //入方向ssh协议
[USG6000V1-ui-vty0-4]q
USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit //ssh流量放通
[USG6000V1-GigabitEthernet0/0/0]q
[USG6000V1]rsa local-key-pair create //生成密钥对
The key name will be: USG6000V1_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1] aaa
[USG6000V1-aaa]manager-user demo
[USG6000V1-aaa-manager-user-demo]service-type ssh //更改服务类型为ssh
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable //系统模式下开启ssh服务
- 配置完成后,再次使用CRT软件登录
- 需要输入账号密码
- 依次输入账号密码后,即可登录成功
总结
- 华为防火墙常见的管理方式
-
通过Console方式管理:属于带外管理,不占用户带宽,适用于新设备的首次配置场景。
-
通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。
-
通过Web方式管理:属于带内管理,可以基于图形化管理,更适用于新手配置设备。
-
通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,比如通过互联网远程管理公司网络设备。
-