华为防火墙理论与管理

前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生

文章目录

  • 一、华为防火墙理论
    • 1.特征
    • 2.防火墙外观结构
      • 1)百兆防火墙USG6507
      • 2)千兆防火墙USG6550
    • 3.防火墙的工作模式
    • 4.华为防火墙的安全区域划分
    • 5.防火墙的inbound和outbound
    • 6.防火墙的状态化信息
  • 二、管理
    • 1.AAA介绍
    • 2.远程管理华为防火墙
      • 1)实验环境
        • cloud云设置
      • 2)拓扑图
      • 3)配置
        • 使用CRT软件连接
        • 使用Web方式连接
        • 使用ssh方式连接
    • 总结

一、华为防火墙理论

1.特征

  • 通常要求下一代防火墙产品具有以下特征
    • 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素
    • 集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容
    • 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密
    • 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施
      华为防火墙理论与管理_第1张图片

2.防火墙外观结构

1)百兆防火墙USG6507

华为防火墙理论与管理_第2张图片
华为防火墙理论与管理_第3张图片

2)千兆防火墙USG6550

华为防火墙理论与管理_第4张图片

3.防火墙的工作模式

  • 路由模式
    • 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候
    • 这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能
  • 透明模式
    • 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下
  • 混合模式
    • 既处于路由接口模式又处于透明模式下,则防火墙是混合模式
    • 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

4.华为防火墙的安全区域划分

  • 华为防火墙通常划分4个区域:trust、untrust、DMZ、Local
    • trust
      • 主要用户连接公司内部网络,优先级是85,安全等级较高
    • DMZ
      • 非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中
    • UNtrust
      • 外部网络,优先级5,安全等级低
    • Local
      • 通常定义防火墙本身,优先级100,防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。
  • 其他区域:用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级
    华为防火墙理论与管理_第5张图片

5.防火墙的inbound和outbound

  • 防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来标识inbound或outbound的方向
    • inbound
      • 数据有等级低的流向等级高的,如untrust(5) 区域流向trust(85)
    • outbound
      • 数据有等级高的流向等级低的,如DMZ(50) 区域流向untrust(5)

6.防火墙的状态化信息

  • 防火墙内状态化信息包括:安全策略,连接表
  • 因为首个数据包成功被安全策略放行,他的路由信息被保存到连接表中,所以返回流量可以通过状态化信息直接放行,连接表中的内容被称为五元组
  • 传统的防火墙都是基于5元组:源IP、目标IP、协议、端口号、目标端口号
//可以用 display firewall session table 命令查看
。。省略部分内容
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
。。省略部分内容
这里,http为协议,1.1.1.1为源地址,2049为源端口,2.2.2.2为目标地址,80为目标端口
  • 新一带的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测。
  • 默认情况下,华为防火墙的策略有如下特点
    • 任何2个安全区域的优先级不能相同
    • 本域内不同接口间的报文不过滤直接转发
    • 接口没有加入域之前不能转发包文
    • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域报文传递。
      华为防火墙理论与管理_第6张图片
      华为防火墙理论与管理_第7张图片

二、管理

  • 华为防火墙的设备通过AAA认证管理,有四种方式,Console线连接,Telnet远程连接,Web网页连接,SSH连接
  • 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用

1.AAA介绍

  • AAA是验证(Authentication)、授权(Authorization)和记账(Accounting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中:

    • 验证:哪些用户可以访问网络服务器。

    • 授权:具有访问权限的用户可以得到哪些服务,有什么权限。

    • 记账:如何对正在使用网络资源的用户进行审计。

  • AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。

  • 网络设备的AAA认证方式有本地身份验证(local)、远程身份验证两大类。本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的AAA服务器来完成,这需要设备和AAA服务器进行关联。

2.远程管理华为防火墙

1)实验环境

  • 实验软件:eNSP软件
  • 实验设备:一台cloud云,绑定VMnet1网卡;一台USG6000V防护墙

cloud云设置

华为防火墙理论与管理_第8张图片

2)拓扑图

华为防火墙理论与管理_第9张图片

  • 实验需求
    • 用户接口验证方式AAA、Telnet用户名为demo
    • 密码是csdn@123 口令是密文(cipher)级别是3
    • 远程工具:CRT软件

3)配置

使用CRT软件连接

  • 登录并打开防火墙
  • USG6000的初始账号为admin,初始密码为Admin@123
Username:admin      //输入初始账号
Password:           //输入初始密码Admin@123
The password needs to be changed. Change now? [Y/N]: y   //输入y确定更改密码
Please enter old password:           //输入旧密码Admin@123
Please enter new password:           //输入新密码csdn@123
Please confirm new password:         //再次输入一次新密码
//登录成功
 Info: Your password has been changed. Save the change to survive a reboot. 
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************



  • 给接口配上IP,IP地址为192.168.124.10
sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0     //进入接口
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.124.10 24   //配置IP
[USG6000V1-GigabitEthernet0/0/0]un sh        //保存
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[USG6000V1-GigabitEthernet0/0/0]dis this    //查看
2020-02-10 15:44:37.780 
#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding -instance default
 ip address 192.168.124.10 255.255.255.0     //确认配置上
 alias GE0/METH
#
return
  • 使用Telnet方式连接
[USG6000V1]int g0/0/0					               //进入G0/0/0口
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 		//配置接口管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 	 //允许Telnet服务
[USG6000V1-GigabitEthernet0/0/0]undo sh			//激活接口
[USG6000V1-GigabitEthernet0/0/0]q				//退出
[USG6000V1]telnet server enable            	  //Telnet服务开启
[USG6000V1]firewall zone trust 				    //防火墙trust区域
[USG6000V1-zone-trust]add interface g0/0/0	    //将G0/0/0口加入trust区域
[USG6000V1-zone-trust]q					        //退出
[USG6000V1]security-policy					    //安全策略配置
[USG6000V1-policy-security]rule name alldw_telnet                      	//取名规则alldw_telnet
[USG6000V1-policy-security-rule-alldw_telnet]source-zone trust 	         //来自trust区域
[USG6000V1-policy-security-rule-alldw_telnet]destination-zone local 	 //去local区域
[USG6000V1-policy-security-rule-alldw_telnet]action permit 	             //动作是允许放通
[USG6000V1-policy-security-rule-alldw_telnet]quit 	    //退出
[USG6000V1-policy-security]q  
[USG6000V1]user-interface vty 0 4				        //进入配置认证模式
[USG6000V1-ui-vty0-4]authentication-mode aaa			//认证模式为AAA
[USG6000V1-ui-vty0-4]protocol inbound telnet 			//允许telnet连接虚拟终端
[USG6000V1-ui-vty0-4]q
[USG6000V1]aaa
[USG6000V1-aaa]						   //进入AAA模式
[USG6000V1-aaa]manager-user demo		   //配置管理用户名demo
[USG6000V1-aaa-manager-user-demo]password cipher bdqn@123	  //密码为bdqn@123	
[USG6000V1-aaa-manager-user-demo]service-type telnet		 //服务类型是telnet
[USG6000V1-aaa-manager-user-demo]level 3			 //用户权限级别是3
[USG6000V1-aaa-manager-user-demo]q
  • 使用CRT软件连接
  • 点击闪电,输入IP后直接connect即可
    华为防火墙理论与管理_第10张图片
  • 登录进去后,输入更新后的账号demo与密码csdn@123
    华为防火墙理论与管理_第11张图片
    华为防火墙理论与管理_第12张图片

使用Web方式连接

  • 进入接口以及AAA进行配置
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit 	//允许HTTP服务
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit 	 
[USG6000V1]aaa                     //进入AAA
[USG6000V1-aaa]		
[USG6000V1-aaa]manager-user demo.
[USG6000V1-aaa-manager-user-demo]service-type web	    //服务类型改为web
  • 配置完成后,登录网站,ip地址为192.168.124.10
    华为防火墙理论与管理_第13张图片
  • 输入账号密码后,即可登录成功
    华为防火墙理论与管理_第14张图片

使用ssh方式连接

[USG6000V1]user-interface vty 0 4	      //进入用户界面视图
[USG6000V1-ui-vty0-4]protocol inbound ssh	         //入方向ssh协议
[USG6000V1-ui-vty0-4]q
USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit 	    //ssh流量放通
[USG6000V1-GigabitEthernet0/0/0]q
[USG6000V1]rsa local-key-pair create  //生成密钥对
The key name will be: USG6000V1_Host
The range of public key size is (2048 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
.+++++
........................++
....++++
...........++
[USG6000V1] aaa	
[USG6000V1-aaa]manager-user demo
[USG6000V1-aaa-manager-user-demo]service-type ssh	    //更改服务类型为ssh
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable 	     //系统模式下开启ssh服务
  • 配置完成后,再次使用CRT软件登录
    华为防火墙理论与管理_第15张图片
  • 需要输入账号密码
    华为防火墙理论与管理_第16张图片
    华为防火墙理论与管理_第17张图片
  • 依次输入账号密码后,即可登录成功
    华为防火墙理论与管理_第18张图片

总结

  • 华为防火墙常见的管理方式
    • 通过Console方式管理:属于带外管理,不占用户带宽,适用于新设备的首次配置场景。

    • 通过Telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。

    • 通过Web方式管理:属于带内管理,可以基于图形化管理,更适用于新手配置设备。

    • 通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,比如通过互联网远程管理公司网络设备。

你可能感兴趣的:(华为,华为防火墙)