防火墙基本配置

  • 20/12/2023
  • 阅读时间 1 分钟
  • 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网和公用网之间的界面上构造的保护屏障
  • 防火墙实际上是一种隔离技术
  • 防火墙最重要的特征是增加了区域的概念 防火墙详解

防火墙的安全区域

灵活实现区域间的控制

  • trust(85):用于定义内网所在的区域
  • Untrust(5):用于定义互联网流量
  • DMZ(50):用于定义服务器区域
  • local(100):用于定义设备收发的流量

路由器和防火墙的区别

首包状态检测

检查华为防火墙的先后顺序

  • net-server
  • 路由
  • 安全策略
  • 源net
  • IPsec vpn

VPN

  • 互联网中的隐患:
    • 机密性:网上传输的数据有被窃听的风险
    • 完整性:网上传输的数据有被篡改的风险
    • 不可抵赖性:通信的双方有被冒充的风险
  • 理解
    • 虚拟专用网
    • VPN可以在不改变网络架构的情况下,建立虚拟专用链接,可以提高数据传输的安全性和稳定性
    • 用于分公司和总部之间的联络
    • 用于员工接入到公司内部的网络
  • 特性:
    • 虚拟
    • 专用
    • VPN建立“保护”网络实体之间的通信
      • 使用加密技术防止数据被窃听
      • 数据完整性验证方式数据被破坏、篡改
      • 通过认证机制确认身份,防止冒充
  • VPN的优势
    • 安全:采用加密及身份验证等安全技术,保证传输数据的安全和保密性
    • 廉价(成本低):利用公共网络,家里虚拟隧道进行数据通信
    • 连接灵活方便:任何时间,任何地点,安全高效的访问资源
    • 可扩展性强:物理网络结构增加或改变,不影响VPN的部署

常见的VPN分类

  • IPSec VPN:站点到站点
  • L2TP VPN:员工远程访问
  • SSL VPN:员工远程访问
  • BGP/MPLS VPN:运营商专线网络

IPSec站点到站点

点到点或者点到多点

是什么

  • 互联网安全协议

通过对IP协议的分组进行加密和认证来保护IP协议的网络传输的协议簇

  • 通过对IP协议的分组进行加密和认证来保护IP协议的网络传输的协议簇
    • 认证头(AH):提供无连接数据完整性、消息认证以及防重防攻击保护
    • 封装安全载荷(ESP):提供机密性、数据源认证、无连接完整性等
    • 安全关联(SA):提供算法和数据包,提供AH、ESP操作所需的参数
    • 密钥协议(IKE):提供对称密码的钥匙的生存和交换

加密算法

  • 加密算法:保证数据机密性
    • DES:数据加密标准-56位的密钥
    • 3DES:三重数据加密算法-共168位密钥
    • AES:高级加密标准-分为128位、192位、256位密钥
    • SW1和SW4:国密算法-128位

认证算法

哈希(HASH)

散列算法、消息摘要算法,保证数据完整性

  • MD5:信息-摘要算法-128位密钥
  • SHA1:安全散列算法-160位密钥
  • SHA2-256、SHA2-384、SHA2-512
  • SM3:国产哈希算法

策略路由

定义和目的

  • FW转发数据是,会查找路由表,并根据目的地址来进行转发
  • 这种机制下,只能根据报文的目的地址位用户提供转发服务,无法提供有差别的服务
  • 策略路由实在路由表已经产生的情况下,不按照现有路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的维度(入接口、源安全区域、源/目的IP地址、用户、服务、应用)来决定报文如何转发,增加了在报文转发控制上的灵活度。策略路由并没有替代路由表机制,而是优先于路由表生效为某些特殊业务指定转发方向
  • 当策略路由都不匹配时执行路由表,策略路由的主要目的就是将一些特定的条件优先匹配网路,从而执行路由功能

匹配过程

  • 匹配顺序
    • 首先寻找第一条规则,如果满足条件执行动作
    • 如果不满足第一条规则的pipeitiaojian
    • 寻找下一条策略路由规则
    • 如果所有策略的匹配条件都无法满足
    • 则按照路由表进行转发

策略路由应用场景

  • 策略路由应用于多出口组网中
    • FW作为出口网关,存在两个网络出口
    • 通过策略路由,可以根据需要进行选择网络出口

策略路由的组成

  • 策略路由组成:匹配条件、动作
  • 匹配条件
    • 入接口/源安全区域
    • IP地址/MAC地址(源、目的)
    • 用户、服务、应用、时间按段
    • DSCP优先级:进行流量类型识别
  • 实施策略路由动作
    • 转发:单出口(下一跳)、多出口(智能选路)
    • 不做策略路由:按照现有路由表进行转发

双机热备

华为防火墙的双机热备包含以下两种模式:

  • 热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步绘画表及Server-map表
  • 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备,防火墙之间同步会话表及Server-map表

要求

  • 两台防火墙用于心跳线的接口加入相同的安全区域
  • 两台防火墙用于心跳线的接口的设备编号一致
  • 建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本

配置防火墙

防火墙的配置大多数是在图形界面进行配置。

Posts in this Series

ENSP华为设备配置 网络基础HCIE考试