2. 程式人生 > 實用技巧 >華為防火牆安全區域及安全策略配置舉例

華為防火牆安全區域及安全策略配置舉例

阿新 發佈:2021-01-10

場景

你是公司的網路管理員。公司總部的網路分成了三個區域,包括內部區域(Trust)、外部區域(Untrust)和伺服器區域(DMZ)。你設計通過防火牆來實現對資料的控制,確保公司內部網路安全,並通過DMZ區域對外網提供服務。

拓撲圖

在這裡插入圖片描述

步驟一. 基本配置與IP編址

給路由器和防火牆配置地址,並配置靜態路由,在交換機上配置VLAN。
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.10.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]interface loopback 0
[R1-LoopBack0]ip address 10.0.1.1 24

<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.0.20.1 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface loopback 0
[R2-LoopBack0]ip address 10.0.2.2 24

<Huawei>system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/1

[R3-GigabitEthernet0/0/1]ip address 10.0.30.1 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface loopback 0
[R3-LoopBack0]ip address 10.0.3.3 24

防火牆預設會啟用GigabitEthernet0/0/0介面的ip地址,為避免干擾,可以刪除。
<Huawei>system-view
[USG6300]sysname FW
[FW]int GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]undo ip address
[FW-GigabitEthernet0/0/0]quit
[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.0.10.254 24
[FW-GigabitEthernet1/0/0]quit
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 10.0.20.254 24
[FW-GigabitEthernet1/0/1]quit
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 10.0.30.254 24
[FW-GigabitEthernet1/0/2]quit

交換機上需要按照需求定義VLAN。
[Quidway]sysname S1
[S1]vlan batch 11 to 13
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 11
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 12
[S1-GigabitEthernet0/0/2]quit
[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type access
[S1-GigabitEthernet0/0/3]port default vlan 13
[S1-GigabitEthernet0/0/3]quit
[S1]interface GigabitEthernet 0/0/21
[S1-GigabitEthernet0/0/21]port link-type access
[S1-GigabitEthernet0/0/21]port default vlan 11
[S1-GigabitEthernet0/0/21]quit
[S1]interface GigabitEthernet 0/0/22
[S1-GigabitEthernet0/0/22]port link-type access
[S1-GigabitEthernet0/0/22]port default vlan 12
[S1-GigabitEthernet0/0/22]quit
[S1]interface GigabitEthernet 0/0/23
[S1-GigabitEthernet0/0/23]port link-type access
[S1-GigabitEthernet0/0/23]port default vlan 13

在R1、R2和R3上配置預設路由,在FW上配置明確的靜態路由,實現三個Loopback0介面連線的網段之間路由暢通。
[R1]ip route-static 0.0.0.0 0 10.0.10.254

[R2]ip route-static 0.0.0.0 0 10.0.20.254

[R3]ip route-static 0.0.0.0 0 10.0.30.254

[FW]ip route-static 10.0.1.0 24 10.0.10.1
[FW]ip route-static 10.0.2.0 24 10.0.20.1
[FW]ip route-static 10.0.3.0 24 10.0.30.1

配置完成後檢查防火牆路由資訊。
[FW]display ip routing-table
在這裡插入圖片描述

步驟二.配置防火牆區域

防火牆上預設有四個區域,分別是“local“、”trust“、”untrust“、”dmz“。實驗中我們使用到“trust“、”untrust“和”dmz“三個區域,分別將對應介面加入各安全區域,由於預設配置將GE0/0/0加入了“trust”區域,為避免干擾,將其刪除。
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/2
[FW-zone-dmz]quit
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/1
[FW-zone-trust]undo add interface GigabitEthernet 0/0/0
[FW-zone-trust]quit
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/0
[FW-zone-untrust]quit

檢查各介面所在的區域:
[FW]display zone interface
local
trust
interface of the zone is (1):
GigabitEthernet1/0/1

untrust
interface of the zone is (1):
GigabitEthernet1/0/0

dmz
interface of the zone is (1):
GigabitEthernet1/0/2

檢查各區域的優先順序:
[FW]display zone

local
priority is 100

trust
priority is 85
interface of the zone is (1):
GigabitEthernet1/0/1

untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/0

dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/2

可以看到三個介面已經被劃分到相應的區域內,預設情況下不同區域間是不可互通的。因此,此時各路由器之間流量是無法通過的,需要配置區域間的安全策略放行允許通過的流量。

步驟三.配置安全策略

如果防火牆域間沒有配置安全策略,或查詢安全策略時,所有的安全策略都沒有命中,則預設執行域間的預設包過濾動作(拒絕通過)。配置安全策略,僅允許Trust區域訪問其他區域,不允許其他區域之間的訪問。
[FW]security-policy
[FW-policy-security]rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1]source-zone trust
[FW-policy-security-rule-policy_sec_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_1]action permit
[FW-policy-security-rule-policy_sec_1]quit
[FW-policy-security]rule name policy_sec_2
[FW-policy-security-rule-policy_sec_2]source-zone trust
[FW-policy-security-rule-policy_sec_2]destination-zone dmz
[FW-policy-security-rule-policy_sec_2]action permit
[FW-policy-security-rule-policy_sec_2]quit
[FW-policy-security]quit

檢查配置結果:
在這裡插入圖片描述
[FW]display security-policy rule policy_sec_1

(0 times matched)
rule name policy_sec_1
source-zone trust
destination-zone untrust
action permit

[FW]display security-policy rule policy_sec_2

(0 times matched)
rule name policy_sec_2
source-zone trust
destination-zone dmz
action permit
檢查從trust到untrust和dmz的連通性:
[R2]ping -a 10.0.2.2 10.0.1.1
PING 10.0.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=1 ms

— 10.0.1.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms

[R2]ping -a 10.0.2.2 10.0.3.3
PING 10.0.3.3: 56 data bytes, press CTRL_C to break
Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=1 ms

— 10.0.3.3 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms

檢查從untrust到trust和dmz的連通性:
[R1]ping -a 10.0.1.1 10.0.2.2
PING 10.0.2.2: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

— 10.0.2.2 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

[R1]ping -a 10.0.1.1 10.0.3.3
PING 10.0.3.3: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

— 10.0.3.3 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

檢查從dmz到untrust和trust的連通性:
[R3]ping -a 10.0.3.3 10.0.1.1
PING 10.0.1.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

— 10.0.1.1 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

[R3]ping -a 10.0.3.3 10.0.2.2
PING 10.0.2.2: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

— 10.0.2.2 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
經過驗證,以trust區域為源的資料可以訪問untrust和dmz,但以其他區域為源的資料不能互訪。
配置域間包過濾策略,允許Untrust區域訪問DMZ區域的特定伺服器。
DMZ區域有一臺伺服器,IP地址為10.0.3.3,需要對Untrust區域開放Telnet服務。同時為了測試網路,需要開放ICMP Ping測試功能。
[FW]security-policy
[FW-policy-security]rule name policy_sec_3
[FW-policy-security-rule-policy_sec_3]source-zone untrust
[FW-policy-security-rule-policy_sec_3]destination-zone dmz
[FW-policy-security-rule-policy_sec_3]destination-address 10.0.3.3 mask 255.255.255.255
(注:若是不配置以上這條命令,則10.0.3.3和10.0.30.1都可以訪問;配置這條命令,就只能訪問這個地址。)
[FW-policy-security-rule-policy_sec_3]service icmp
[FW-policy-security-rule-policy_sec_3]service telnet
[FW-policy-security-rule-policy_sec_3]action permit

為了能在進行Telnet測試,在R3上開啟Telnet功能。
[R3]telnet server enable
[R3]aaa
[R3-aaa]local-user test password irreversible-cipher [email protected]
[R3-aaa]local-user test service-type telnet
[R3-aaa]quit
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]protocol inbound telnet

測試從R1(untrust)到R3(dmz)的ping和telnet:
ping 10.0.3.3
PING 10.0.3.3: 56 data bytes, press CTRL_C to break
Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=1 ms

— 10.0.3.3 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms

ping 10.0.30.1
PING 10.0.30.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out

— 10.0.30.1 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

telnet 10.0.3.3
在這裡插入圖片描述
<R1>telnet 10.0.30.1
Press CTRL_] to quit telnet mode
Trying 10.0.30.1 …
Error: Can’t connect to the remote host
根據驗證可知,只有訪問指定地址的ICMP和telnet可以通過,其他流量全部禁止。

相關推薦

防火牆安全區域安全策略配置舉例

場景 你是公司的網路管理員。公司總部的網路分成了三個區域,包括內部區域(Trust)、外部區域(Untrust)和伺服器區域(DMZ)。你設計通過防火牆來實現對資料的控制,確保公司內部網路安全,並通過DMZ區域

汽車 BU 首席功能安全專家加入蔚來,擔任演算法研究內部專家

11 月 12 日訊息,據未來汽車日報,他們從多個獨立信源處獲悉,華為汽車 BU 首席功能安全專家佘曉麗將加入蔚來汽車,擔任演算法研究的內部專家。截至發稿,蔚來以及華為方面暫未作出迴應。據 36 氪此前報道,華為

應用市場2021年度安全隱私報告發布:護航應用安全是場“持久戰”

衣食住行娛,已經處處離不開手機應用。可以說,以手機載體的移動應用早已滲透到我們生活的方方面面,不斷重塑著“掌上新生活”。而伴隨著移動應用的爆發式增長,惡意扣費、簡訊詐騙、資訊竊取等違規問題對使用者安

全屋智慧智慧屏新品釋出會定檔 4 月 8 號,還有新手環

4 月 1 日訊息今日終於確認了 4 月的首個釋出會,也就是全屋智慧智慧屏新品釋出會將於 4 月 8 日舉行,此外有數碼博主透露此次釋出會上還將推出新款手環。

防火牆USG6320配置詳細教程

Console登陸 開局使用者名稱 admin 密碼 Admin@123 進入後強制修改密碼 reset saved-co 重置系統配置,恢復出廠

G750八核榮耀真機配置和圖片曝光

  新榮耀八核型號G750-T00,採用1.7G MTK592處理器,2G RAM,8G ROM,720P解析度,執行基於android4.2.2的Emotion2.0系統,目前該機真機圖片和配置已經曝光。  前不久,CEO餘承東表示將在12

鏈路聚合2種模式配置

第一:手工負載分擔模式 interface Eth-Trunk10 # interface GigabitEthernet0/0/1 eth-trunk 10 # interface GigabitEthernet0/0/2

關於雲伺服器的預設扣費配置以及檔案上傳下載

關於雲伺服器的配置以及檔案上傳下載 雲的計費由三個部分組成:雲伺服器(處理器)+雲硬碟+私有云(頻寬/IP)

私有云sftp第三方備份伺服器配置

1、準備工作 a.linux伺服器(centos7.5-1804) b.putty工具(根據個人習慣選擇即可) 2、a.建立使用者、目錄等資訊

H3C 路由策略典型配置舉例-在RIP中引入靜態路由時應用路由策略配置舉例

1.組網需求 ·     Switch A與Switch B通訊,都執行RIP協議。 ·     使能Switch A上的RIP協議,配置三條靜態路由。

H3C 路由策略典型配置舉例-在OSPF中引入IS-IS路由時應用路由策略配置舉例

1.組網需求 ·     Switch B與Switch A之間通過OSPF協議交換路由資訊,與Switch C之間通過IS-IS協議交換路由資訊。

安全系統終端晶片專利獲授權,可增加分析難度提高安全能力

4 月 29 日訊息,資訊顯示,4 月 29 日,華為技術有限公司申請的“一種安全系統終端晶片”專利獲授權。摘要顯示,該安全系統包括安全元件,以及時鐘隨機化處理單元。安全系統首先對時鐘訊號進行隨機化處理,然後再

Linux系統防火牆模組SELinux及其安全策略管理工具iptables/firewalld命令教程

為什麼要介紹Linux系統的防火牆安全模組呢?一個很直接的原因就是很多小夥伴搭建好扶牆服務之後,卻無法正常上網,回頭檢查各項操作都沒有問題,這時候卻被搞得焦頭爛額、一頭霧水。其實,一般都是由於Linux系統防火

義大利總裁:願接受徹底審查以自證產品無安全風險

10月4日訊息 據路透社本週三報道 , 華為義大利分公司總裁路易吉 · 德 · 維奇斯(Luigi De Vecchis)表示,華為準備接受徹底的審查,以證明其技術不會對將在 5G 網路建設中使用其裝置的國家構成任何風險。

怎麼學習Linux才能拿到高薪?首席安全技術專家給出答案

學習Linux,你用心了嗎? 首先,我想引用一下別人說過的一句話:“除非在過去的十年你一直生活在山洞裡,否則你一定聽說過Linux。”

雲資料安全中心正式公測:支援數字水印、資料脫敏、完全銷燬…

10月13日訊息從雲獲悉,近日,安全首席技術官楊松宣佈資料安全中心正式公測。

零時科技雷神公鏈Thor提供業內權威的安全審計檢測服務

近日,區塊鏈安全生態建設的行業頭部公司零時科技宣佈,已完成了對雷神公鏈Thor專案的全面安全審計。

​超簡單整合系統完整性檢測,搞定裝置安全防護

在不安全裝置,如被root或解鎖的手機上,執行應用通常會伴隨著一定安全風險,例如被惡意病毒或木馬軟體利用root許可權植入病毒、篡改使用者裝置資訊和破壞系統等。因此,如何做好應用的安全防護、避免在不安全裝置環

如何檢測手機惡意應用?整合應用安全檢測,提升App使用安全

手機等裝置上存在的病毒應用,可能會使使用者隱私資訊、交易安全等面臨威脅,甚至造成資金損失。

在中國建立其全球最大的網路安全透明中心

6 月 9 日訊息華為最大的網路安全透明中心今天在中國東莞正式啟用。 同時,華為還發布了《華為產品安全基線》白皮書,首次將產品安全需求基線框架以及管理實踐向業界公佈,與客戶、供應商、行業標準組織等利益相關方