• 华为防火墙基本原理工作方法总结


    在这里插入图片描述
    两台防火墙在规划接口时一般2台防火墙的业务口相同,心跳口相同,这个上是基础,例如:第一台防火墙业务口用了g1/0/1口,那第二台防火墙业务口也得是这个g1/0/1口。

    防火墙只会对tcp首包syn建立会话表,其它丢掉,如syn+ack,ack
    udp直接建立会话表
    icmp只对首包请求包建立会话表,其它包,如应答的不会建立直接丢掉

    防火墙状态查看:
    rule name trust_untrust
    source-zone trust
    destination-zone untrust
    action permit

    dis firewall session table verbose
    查看详细会话情况
    在这里插入图片描述

    192.168.0.139已把包送到172.16.0.100,但172.16.0.100回不了包。
    <–packets: 0bytes: 0 --> packets: 1bytes: 60
    在这里插入图片描述
    dis policy interzone trust untrust outbound
    查看策略命中统计

    firewall interzone trust untrust
    detect ftp
    开启ftp或qq或msn的aspf功能

    当防火墙开启aspf功能后,会话会产生server-map表项(nat server、no-pat时也会产生server-map)
    dis firewall server-map
    查看会话表项

    自定义aspf项
    acl number 3000
    rule 5 permit ip source 192.168.0.1 0 destnation 172.16.0.100 0
    firewall interzone trust untrust
    detect user-defined 3000 outbound

    display interzone 查看域外是否开启了aspf
    dis zone 查看域内是否开启了aspf

    防火墙会默认阻挡单播报文,不会阻挡组播报文,所以ospf p2p网络不用配置策略。

    dis firewall statistic system discard
    查看丢包情况

    undo firewall session link-state check
    关闭状态检测功能,变成包过滤防火墙

    TTl 本条信息的老化时间
    loft 本条信息剩余老化时间
    mac 目标mac地址

    会话表的老化时间设备
    firewall session aging-time service-set icmp 1000

    类似于sql语句需要长连接的业务,需要单独设置长连接,华为只支持tcp类型长连接
    默认长连接会话时间是168小时。
    rule name trust_untrust
    source-zone trust
    destination-zone untrust
    long-link enable //开长连接
    action permit

    防火墙有两条ISP线路时,负载均衡时,要把不同的ISP加入两个不同的zone,设两条napt策略,两条安全策略,两个地址池。如果都放到一个zone时,就不会负载了,只会按NAT策略的顺序执行最上面的那条isp策略。

    如果把两条公网放在一个zone了,现在又要做nat server就用下面第二种方法:
    nat server向外发服务器地址时可以在命令后加上no-reverse,映射两个公网上
    [USG6000V1]nat server protocol tcp global 1.1.1.1 80 inside 192.168.0.1 80 no-re
    verse
    [USG6000V1]nat server protocol tcp global 1.1.1.2 80 inside 192.168.0.1 80 no-re
    verse

    dis firewall server-map
    查看

    firewall endpoint-independent filter enable
    用于开启只根据server-map表转发,不受策略的控制,华为默认这个配置是开的。

    双线,对外nat server时,要配置源进源出,两条外线接口上都要配置:
    gateway 1.1.1.254 //是对端公网网关下一跳地址
    redirect-rroute enable

    不同版本命令不同:
    redirect-reverse nexthop 1.1.1.254

    hrp会同步的内容:

    策略:案例策略、nat策略、带宽管理、认证策略、攻击防范、黑名单、ASPF
    对象: 地址、地区、服务、应用、认证服务器、时间段、URL分类、邮件地址过滤、关键字组、签名、安全配置文件
    网络: 新建立逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联运
    系统:管理员、日志配置

    能够备份的状态类的信息:
    会话表、server-map表、ip监控表、分片缓存表、GTP表、黑名单、PAT方式 端口映射表、NO-PAT方式地址映射表

    dis hrp configuration check
    查看配置是否有同步

    hrp sync config
    如果没有就手动同步一下配置(默认是开启了自动同步的)

    hrp auto-sync config
    这条命令默认是开启的

    防火墙在使用时的正确思路是:

    第一步:先把默认策略打开全部放行
    security-policy
    default active permit

    第二步:把正常的业务都配通,然后进行ping测试或业务连接测试。
    第三步:用命令看数据zone的走向:dis firewall session table verbose
    第四步:把看到数据走向的哪个区域到哪个区域都记下来,数据的来回正向和反向都要考虑到
    第五步:按记下的数据zone走向起安全策略,哪个zone到哪个zone,包括数据来回正向和反向策略都要考虑在内。
    第六步:关掉第一步的全部放行,改成默认全部拒绝,最后测试业务是否正常。
    security-policy
    default active deny

  • 相关阅读:
    【接口缓存】Alibaba - JetCache
    算法通关村第十一关白银挑战——位运算符的高频算法题
    由点汇聚成字的动效炫极了
    网络安全专业学习路线
    Python数据分析实战-实现一维列表(数组)和多维列表(数组)的相互转化(附源码和实现效果)
    51单片机1【单片机到底是什么】
    【Dison夏令营 Day 18】如何用 Python 中的 Pygame 制作国际象棋游戏
    036-第三代软件开发-系统时间设置
    MySQL数据库索引
    同样是巡检,巡检系统在不同行业运用大不同
  • 原文地址:https://blog.csdn.net/ydaxia110/article/details/134276414