华为防火墙
usg 2000 5000 6300
usg 6600 下一代防火墙
usg 9500
防火墙系列
包过滤防火墙:基于三层、四层过滤
下一代防火墙:基于应用、用户、内容、时间、威胁、位置
最佳使用原则:基于应用+白名单控制+最小授权
防火墙的工作模式
路由模式:接口直接配置ip地址,默认模式
透明模式:接口不能配置ip,作为交换机存在于现有网络
混合模式:一般用于双机热备
华为防火墙的安全区域划分
trust: 连内网,优先级85
dmz:非军事化区,发布服务器到外部,优先级50
untrust:连外网,优先级5
local:防火墙本身,优先级100
其他区域:用户自定义,最多可创建16个,无默认优先级
防火墙流量处理
传统防火墙默认高优先级可以访问低优先级区域
新一代防火墙,默认拒绝所有流量,即使高优先级访问低优先级也要配置策略
相同优先级区域不允许访问
inbound和outbound
inbound:低优先级区域访问高优先级区域
outbound:高优先级访问低优先级区域
状态化信息
五元组:源ip 目标ip 协议 源端口 目标端口
查看会话表:dis firewall session table
安全策略
保护特定网络不受非法者攻击,放行合法流量。
任何两个安全区域的优先级不能相同;
本区域不同接口间的流量不进行过滤
接口没有加入区域不能转发数据
usg6000系列默认无安全策略
AAA认证
Authentication验证、Authorization授权、Accounting统计,处理用户访问请求的服务器程序,
为有权限访问的用户提供服务。
验证:哪些用户可以访问
授权:验证后的用户拥有哪些权限
统计:审计用户都访问了哪些资源
华为防火墙的管理方式
console:本地管理,一般用于初始配置
telnet:一般仅用于内网管理防火墙
web:基于图形化,适合新手,不安全占资源
ssh: 配置复杂,安全性高,适合内外网访问管理防火墙
练习
打开防火墙
右击防火墙------>导入设备配置------>找到E:\eNSP路径下的USG6000V.zip文件------>导入即可
右击防火墙------>启动------>导入设备包------>找到E:\eNSP路径下的vfw_usg.vdi文件------>导入------>再次右击启动即可
打开防火强第一步设置密码,最好复杂点,这里我的密码为20010418skx
telnet访问防火墙
配置防火墙的ip地址
[USG]int g0/0/0
[USG-GigabitEthernet0/0/0]ip add 192.168.1.30 24
[USG-GigabitEthernet0/0/0]quit打开防火墙的Telnet功能
[USG]telnet server enable配置防火墙允许远程管理
[USG]int g0/0/0
[USG-GigabitEthernet0/0/0]service-manage enable
[USG-GigabitEthernet0/0/0]service-manage telnet permit
[USG-GigabitEthernet0/0/0]quit将防火墙接口g0/0/0加入安全区域
[USG]firewall zone trust
[USG-zone-trust]add int g0/0/0
[USG-zone-trust]quit将防火墙配置域间包过滤,以保证网络基本通信正常。
[USG]security-policy
[USG-policy-security]rule name allow_telnet //配置规则,其中allow_telnet是规则名
[USG-policy-security-rule-allow_telnet]source-zone trust //配置条件
[USG-policy-security-rule-allow_telnet]destination-zone local //配置条件
[USG-policy-security-rule-allow_telnet]action permit //配置动作
[USG-policy-security-rule-allow_telnet]quit
[USG-policy-security]quit配置认证模式及本地用户信息
[USG]user-interface vty 0 4
[USG-ui-vty0-4]aut
[USG-ui-vty0-4]authentication-mode aaa
[USG-ui-vty0-4]protocol inbound telnet //允许telnet连接虚拟终端
[USG-ui-vty0-4]quit
[USG]aaa
[USG-aaa]manager-user demo //配置本地用户demo
[USG-aaa-manager-user-demo]password cipher demo@1234 //配置密码
[USG-aaa-manager-user-demo]service-type telnet //配置服务类型
[USG-aaa-manager-user-demo]level 3 //配置用户权限级别
[USG-aaa-manager-user-demo]quitweb方式管理防火墙
[USG]int g0/0/0
[USG-GigabitEthernet0/0/0]ip add 192.168.1.30 24
[USG-GigabitEthernet0/0/0]quit
[USG]int g0/0/0
[USG-GigabitEthernet0/0/0]service-manage http permit //打开接口的http管理
[USG-GigabitEthernet0/0/0]service-manage https permit //打开接口的https管理
[USG-GigabitEthernet0/0/0]quit
[USG]firewall zone trust
[USG-zone-trust]add int g0/0/0
[USG-zone-trust]quit
[USG]security-policy
[USG-policy-security]rule name allow_web
[USG-policy-security-rule-allow_web]source-zone trust //接口加入Trust区域
[USG-policy-security-rule-allow_web]destination-zone local
[USG-policy-security-rule-allow_web]action permit
[USG-policy-security-rule-allow_web]quit
[USG-policy-security]quit
[USG]web-manager security enable //开启https功能
[USG]aaa //配置aaa以及本地用户
[USG-aaa]manager-user demo
[USG-aaa-manager-user-demo]password
Enter Password:1234.com
Confirm Password:1234.com
[USG-aaa-manager-user-demo]service-type web //指定用户类型
[USG-aaa-manager-user-demo]level 3 //指定权限级别
[USG-aaa-manager-user-demo]quit
[USG-aaa]quitssh方式管理防火墙
[USG]int g0/0/0
[USG-GigabitEthernet0/0/0]ip add 192.168.1.30 24
[USG-GigabitEthernet0/0/0]service-manage enable
[USG-GigabitEthernet0/0/0]service-manage ssh permit
[USG-GigabitEthernet0/0/0]quit
[USG]firewall zone trust
[USG-zone-trust]add int g0/0/0
[USG-zone-trust]quit
[USG]security-policy
[USG-policy-security]rule name allow_ssh
[USG-policy-security-rule-allow_ssh]source-zone trust
[USG-policy-security-rule-allow_ssh]destination-zone local
[USG-policy-security-rule-allow_ssh]action permit
[USG-policy-security-rule-allow_ssh]quit
[USG-policy-security]quit
[USG]rsa local-key-pair create //创建SSH所需的密钥对
[USG]user-interface vty 0 4
[USG-ui-vty0-4]auth
[USG-ui-vty0-4]authentication-mode aaa
[USG-ui-vty0-4]protocol inbound ssh
[USG-ui-vty0-4]quit
[USG]ssh user test //指定test为SSH用户
[USG]ssh user test authentication-type password //配置认证方式
[USG]ssh user test service-type stelnet //配置服务类型
[USG]aaa
[USG-aaa]manager-user test //创建本地用户test
[USG-aaa-manager-user-test]password cipher test@123 //指定密码
[USG-aaa-manager-user-test]service-type ssh
[USG-aaa-manager-user-test]level 3
[USG-aaa-manager-user-test]quit
[USG-aaa]quit
[USG]stelnet server enable //开启SSH
