1.网络基础设备
园区网络安全部署场景
路由器:跨网段通信设备。
交换机:同网段或跨网段通信设备。
AntiDDoS:DDoS防御系统,通常旁挂部署于网络出口处,位于防火墙上游,用于减轻防火墙报文处理负担。
NGFW:下一代防火墙,可部署在网络出口处进行初步防护,或者保护数据中心不被攻击。
vNGFW:软件NGFW,部署在VM(VirtualMachine)中,与硬件防火墙功能相似。
NIP:华为下一代入侵防御系统,专业的入侵检测设备/入侵防御设备,可部署在数据中心保护数据中心不被入侵。
Agile-Controller:基于用户和应用的网络资源自动化控制系统,通常部署于DMZ服务区,用于准入控制。
交换机
交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
MAC地址表:存放MAC地址与交换机端口的映射关系(老化时间为300s)
- 交换机对帧的转发操作行为一共有三种:泛洪(Flooding),转发(Forwarding),丢弃(Discarding)。
- 泛洪:交换机把从某一端口进来的帧通过所有其它的端口转发出去(注意,“所有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口)。
- 转发:交换机把从某一端口进来的帧通过另一个端口转发出去(注意,“另一个端口”不能是这个帧进入交换机的那个端口)。
- 丢弃:交换机把从某一端口进来的帧直接丢弃。
- 交换机的基本工作原理可以概括地描述如下:
- 如果进入交换机的是一个单播帧,则交换机会去MAC地址表中查找这个帧的目的MAC地址。
- 如果查不到这个MAC地址,则交换机执行泛洪操作。(使用ARP地址解析协议,此时D-MAC为广播地址,S-MAC为发送方主机的MAC)
- 如果查到了这个MAC地址,则比较这个MAC地址在MAC地址表中对应的端口是不是这个帧进入交换机的那个端口。如果不是,则交换机执行转发操作。如果是,则交换机执行丢弃操作。
- 如果进入交换机的是一个广播帧,则交换机不会去查MAC地址表,而是直接执行泛洪操作。
交换机还具有学习能力。当一个帧进入交换机后,交换机会检查这个帧的源MAC地址,并将该源MAC地址与这个帧进入交换机的那个端口进行映射,然后将这个映射关系存放进MAC地址表。
路由器是网络层设备,其主要功能是实现报文在不同网络之间的转发。
防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
路由器与交换机的本质是转发,防火墙的本质是控制。
防火墙安全区域
- Zone的作用
- 安全策略都基于安全区域实施;
- 在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;
- 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;
- 在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。
缺省的安全区域
区域 | 优先级(1~100) | ||
非受信区域 | Untrust | 5 | 一般用于连接企业外网/合作伙伴 |
非军事化区域 | DMZ | 50 | 连接对外对内提供服务的区域 |
受信区域 | Trust | 85 | 一般连接企业内网/对内部提供服务的服务器 |
本地区域 | Local | 100 | 代表防火强本身,凡是防火墙接口都认为属于local区域 |
防火墙安全区域与接口关系
防火墙中是以接口为单位来进行分类,即同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLANIF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。
2.设备初始登录
VRP系统命令采用分级保护方式
参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该级别命令不允许进行配置文件保存的操作。
监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。
防火墙管理
Web
int g0/0/0
ip add 192.168.10.2 24
service-manage ping permit //放行ping
service-manage https permit
service-manage http permittelnet
telnet server enable
#全局启用telnet
aaa
manager-user USER1
password cipher Huawei@123
service-type telnet
#指定USER1是为telnet登录服务,身份认证
q
bind manager-user USER1 role system-admin
#设置USER1为系统管理权限
q
user-interface vty 0 4
#进入用户虚拟线路接口
authentication-mode aaa
#基于aaa数据库中的USER执行验证
protocol inbound all
#允许telnet,ssh
int g0/0/0
service-manage telnet permitSSH登录
SSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。
配置思路(基于password认证)
- 配置FW作为SSH服务器。
- 在接口上启用SSH服务。
- 配置VTY管理员界面。
- 创建SSH管理员账号,并指定认证方式和服务方式。
- 生成本地密钥对。
- 启用Stelnet服务。
- 配置SSH服务参数。
- 配置管理员PC作为SSH客户端。
- 配置管理员PC的IP地址。
- 安装PuTTY工具软件。
- 使用PuTTY工具软件以SSH方式登录FW。
#1.在接口上启用SSH服务
system-view
int g0/0/0
service-manage enable
service-manage ssh permit
q
#2.配置VTY管理员界面。配置验证方式为AAA
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user privilege level 3
q
#3.创建SSH管理员账号sshadmin,指定认证方式为Password,服务方式为Stelnet。
aaa
manager-user sshadmin
password
Huawei@123
Huawei@123
service-type ssh
q
bind manager-user sshadmin role system-admin
#设置sshadmin为系统管理权限
q
ssh authentication-type default password
#4.生成本地密钥对
rsa local-key-pair create
y
#5.启用STelnet服务。
stelnet server enable
#6.配置SSH用户。
ssh user sshadmin
ssh user sshadmin authentication-type password
ssh user sshadmin service-type stelnet
#7.可选:配置SSH服务器参数。
# 配置SSH服务器服务端口号1025,认证超时时间为80秒,认证重试次数为4次,密钥对更新时间为1小时,并启用兼容低版本功能。
ssh server port 1025
ssh server timeout 80
ssh server authentication-retries 4
ssh server rekey-interval 1
ssh server compatible-ssh1x enable基础系统设置
擦除配置文件(恢复出厂配置):配置文件被擦除后,防火墙下次上电将采用缺省的配置参数进行初始化。
方法1(命令):在用户视图下,执行命令resetsaved-configuration。
配置下次启动时的系统软件
命令行:在用户视图下,执行命令startupsystem-software sysfile。
License配置
License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式,License可以动态控制产品的某些特性是否可用。
lLicense文件必须以“.dat”作为扩展名,不支持中文。
配置命令:
执行命令system-view,进入系统视图。
执行命令licenseactive license-file,激活指定的License文件。可以通过命令displaylicense,查看License的信息。
