两台防火墙在规划接口时一般2台防火墙的业务口相同,心跳口相同,这个上是基础,例如:第一台防火墙业务口用了g1/0/1口,那第二台防火墙业务口也得是这个g1/0/1口。
防火墙只会对tcp首包syn建立会话表,其它丢掉,如syn+ack,ack
udp直接建立会话表
icmp只对首包请求包建立会话表,其它包,如应答的不会建立直接丢掉
防火墙状态查看:
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit
dis firewall session table verbose
查看详细会话情况
192.168.0.139已把包送到172.16.0.100,但172.16.0.100回不了包。
<–packets: 0bytes: 0 --> packets: 1bytes: 60
dis policy interzone trust untrust outbound
查看策略命中统计
firewall interzone trust untrust
detect ftp
开启ftp或qq或msn的aspf功能
当防火墙开启aspf功能后,会话会产生server-map表项(nat server、no-pat时也会产生server-map)
dis firewall server-map
查看会话表项
自定义aspf项
acl number 3000
rule 5 permit ip source 192.168.0.1 0 destnation 172.16.0.100 0
firewall interzone trust untrust
detect user-defined 3000 outbound
display interzone 查看域外是否开启了aspf
dis zone 查看域内是否开启了aspf
防火墙会默认阻挡单播报文,不会阻挡组播报文,所以ospf p2p网络不用配置策略。
dis firewall statistic system discard
查看丢包情况
undo firewall session link-state check
关闭状态检测功能,变成包过滤防火墙
TTl 本条信息的老化时间
loft 本条信息剩余老化时间
mac 目标mac地址
会话表的老化时间设备
firewall session aging-time service-set icmp 1000
类似于sql语句需要长连接的业务,需要单独设置长连接,华为只支持tcp类型长连接
默认长连接会话时间是168小时。
rule name trust_untrust
source-zone trust
destination-zone untrust
long-link enable //开长连接
action permit
防火墙有两条ISP线路时,负载均衡时,要把不同的ISP加入两个不同的zone,设两条napt策略,两条安全策略,两个地址池。如果都放到一个zone时,就不会负载了,只会按NAT策略的顺序执行最上面的那条isp策略。
如果把两条公网放在一个zone了,现在又要做nat server就用下面第二种方法:
nat server向外发服务器地址时可以在命令后加上no-reverse,映射两个公网上
[USG6000V1]nat server protocol tcp global 1.1.1.1 80 inside 192.168.0.1 80 no-re
verse
[USG6000V1]nat server protocol tcp global 1.1.1.2 80 inside 192.168.0.1 80 no-re
verse
dis firewall server-map
查看
firewall endpoint-independent filter enable
用于开启只根据server-map表转发,不受策略的控制,华为默认这个配置是开的。
双线,对外nat server时,要配置源进源出,两条外线接口上都要配置:
gateway 1.1.1.254 //是对端公网网关下一跳地址
redirect-rroute enable
不同版本命令不同:
redirect-reverse nexthop 1.1.1.254
策略:案例策略、nat策略、带宽管理、认证策略、攻击防范、黑名单、ASPF
对象: 地址、地区、服务、应用、认证服务器、时间段、URL分类、邮件地址过滤、关键字组、签名、安全配置文件
网络: 新建立逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联运
系统:管理员、日志配置
能够备份的状态类的信息:
会话表、server-map表、ip监控表、分片缓存表、GTP表、黑名单、PAT方式 端口映射表、NO-PAT方式地址映射表
dis hrp configuration check
查看配置是否有同步
hrp sync config
如果没有就手动同步一下配置(默认是开启了自动同步的)
hrp auto-sync config
这条命令默认是开启的
第一步:先把默认策略打开全部放行
security-policy
default active permit
第二步:把正常的业务都配通,然后进行ping测试或业务连接测试。
第三步:用命令看数据zone的走向:dis firewall session table verbose
第四步:把看到数据走向的哪个区域到哪个区域都记下来,数据的来回正向和反向都要考虑到
第五步:按记下的数据zone走向起安全策略,哪个zone到哪个zone,包括数据来回正向和反向策略都要考虑在内。
第六步:关掉第一步的全部放行,改成默认全部拒绝,最后测试业务是否正常。
security-policy
default active deny