华为硬件防火墙指导

2015年5月企业防火墙产品H3C公司●防火墙&VPN(VirtualPrivateNetwork，虚拟专用网)产品●统一威胁管理(UTM，UnifiedThreatManagemnet)产品●入侵防御系统(IPS，IntrusionPreventionSystem)●应用控制网关(ACG，ApplicationControlGateway)●安全管理中心(SecCenter)华为公司●面向中小企业用户的统一安全网关产品(USG系列)●面向电信级用户的防火墙产品(Eudemon系列)华为公司与美国赛门铁克成立合资公司华赛公司生产2.1简单操作防火墙●将厂商附带在设备中的专用配置线连接到防火墙面板的console控制台接口进行配置，与以学过的路由器和交换机的配置方式相同●每次通过Console口登录到华为防火墙，都需要输入用户名和密码，初始用户名为admin，密码为Admin@123，用户名和密码区分大小写。登录后用户可以修改密码。●很多操作命令与路由器和交换机中的相同1命令行操作方式2Web浏览器操作方式用户使用Web浏览器作为操控防火墙的客户端，用户所有的操作都是在Web浏览器界面中完成的。特点是窗口方式，符合学学者的认知习惯，简单易学。防火墙两种操作方式的区别连接到防火墙的接口个人计算机IP地址设置情况登录软件命令行操作方式专用连接线，一端连接到计算机COM口，一端连接到防火墙的Console控制台接口与个人计算机的IP地址无关，即个人计算机有没有配置IP地址都无关紧要Windows自带超级终端或其它超级终端软件Web操作方式普通网线，一端连接到计算机网口，另一端连接到防火墙的以太网接口如防火墙支持动态地址分配就不需设置，如不支持则需手工设置Web浏览器防火墙的web登录方式●将计算机连接到防火墙的任意一个LAN接口(不能连接到WAN口)●打开计算机的浏览器软件，在地址栏中输入，在出现的窗口中输入用户名和密码，初始用户名为admin，密码为Admin@123，用户名和密码区分大小写。登录后用户可以修改密码。防火墙的接口接口的类型----LAN口、WAN口、Console等接口防火墙的LAN口LAN(LocalAreaNetwork)意为局域网。防火墙的LAN接口就是用于连接企业局域网内部网络的接口。华为USG2160系列防火墙有8个LAN接口，名称分别为Ethernet1/0/0~Ethernet1/0/7；H3CSecpathF100-A防火墙有4个LAN接口，名称分别为Ethernet0/0~Ethernet0/3。两款防火墙的接口对比防火墙产品LAN口数量LAN口名称WAN口数量WAN口名称华为USG21608Ethernet1/0/01Ethernet0/0/0Ethernet1/0/1Ethernet1/0/2Ethernet1/0/3Ethernet1/0/4Ethernet1/0/5Ethernet1/0/6Ethernet1/0/7H3CF100-A4Ethernet0/03Ethernet1/0Ethernet0/1Ethernet1/1Ethernet0/2Ethernet1/2Ethernet0/3“Switch”表明LAN类型的接口是交换类型的接口，从网络层次上讲，属于二层接口，“Route”表明WAN类型的接口中属于路由性质的接口，属于三层接口。二层接口不能直接设置IP地址，需要将接口划分到VLAN中，为对应VLAN设置三层虚拟接口和IP地址，而路由类型的接口则可以直接设置IP地址。防火墙的WAN口防火墙的WAN接口是用于企业局域网连接外部Internet网络（例如中国电信、中国联通等互联网服务提供商）的接口。当只有一个WAN口不够用时，可以用多余的LAN口来替代。也就是说，防火墙面板上所标注的LAN口和WAN口仅只是网络连接的参考，并不是一定要把接口连接到局域网或广域网。防火墙的区域（1）●防火墙默认情况下包括四个区域---local、trust、DMZ、untrust区●防火墙划分区域是防火墙与路由器、交换机的最大区别●初学者最不容易理解的地方●理解了区域，就对防火墙理解了一大半防火墙的区域（2）默认时,有的区域包含接口,有的区域不包含接口防火墙的trust区用于连接企业局域网内网防火墙的untrust区用于连接外部Internet网区域优先级local区域优先级值100trust区域优先级值85untrust区域优先级值5dmz区域优先级值50区域优先级值越大表示来源该区域的数据越被信任区域优先级区域名称区域优先级值信任程度含义local100最高本地区域trust85高安全区域（信任区域）dmz50中隔离区（非军事化区域）untrust5低不安全区域（不信任区域）为什么有DMZ区?dmz这个名称来源于军事领域的“demilitarizedzone”，含义为非军事化区，也可理解为隔离区。企业网络中通常有Web、e-mail、OA等企业服务器。企业服务器应该放置于哪一个区域呢？如果放置于untrust区域，则服务器易受外部网络黑客用户的攻击，这明显不是一个好主意。有人认为放置于“trust”区域是理所当然的，因为企业服务器属于企业局域网内部网络，它理应和企业用户计算机一样置于trust区域。但是这种想法实际上也有极大的风险，因为个企业网络内部用户同样也有网络攻击行为。因此现代放火墙增加了一个专门放置企业网络服务器的高度安全的区域---dmz非军事化区。放置于dmz区域的企业网络服务器，无论是外部Internet区域的用户，还是企业局域网内部网络用户访问企业网络服务器，都要经过防火墙进行安全检查。综上所述，防火墙设置这个区域实际是为现代企业网络中需要架设各种类型的服务器如Web、e-mail和文件服务器而量身定做的，充分体现了网络设备生产商尽力生产出符合企业需要的产品。防火墙的local区Local区域是防火墙的一个特别的区域。local是“本地、自身”的意思，这个名称意味着是指防火墙自身。的确，防火墙的local区域是指防火墙本身。我们可以把包含防火墙的物理接口以及配置在物理接口上的IP地址称为local区域。local区域不能用于连接任何内部网络、外部网络、服务器等，它仅只是指防火墙本身。可以看到local区域没有包含任何接口有时在说到防火墙的区域时，喜欢把local区域排除在外，只说防火墙包括三个区域。local区域不能用于连接任何内部网络、外部网络、服务器等，它仅只是指防火墙本身。防火墙的默认区域间数据访问安全策略默认情况下存在4条安全策略inbound和outbound含义二者在交换和路由技术中的含义RTARTBS6/0S6/1g0/0g0/0ACLinbound从这个接口流出的数据流不受ACL影响流入到这个接口的数据流接受ACL检查inbound和outbound含义二者在交换和路由技术中的含义local区trust区dmz区untrust区高低outboundoutboundoutboundoutboundoutboundoutboundinboundinboundinboundinboundinboundinboundinbound和outbound在防火墙的区域间数据访问规则中代表的含义优先级优先级进出防火墙含义（1)数据从所有高优先级区域向低优先级区域转发称为outbound方向数据从所有低优先级区域向高优先级区域转发称为进防火墙（inbound）当数据从所有高优先级区域向低优先级区域转发时，都称为出防火墙（outbound）当数据从所有低优先级区域向高优先级区域转发时，称为inbound方向有时还如下这么说特别注意，当叙述两个区域的inbound或outbound方向时，跟所说的两个区域的先后没有关系。进出防火墙含义（2）防火墙也有接口，防火墙也有交换和路由的能力，所以在防火墙中也可以定义ACL语句和使用NAT技术。ACL语句或NAT同样需要应用于防火墙的接口，此时也需要指定作用于接口的方向是inbound还是outbound。当ACL语句或NAT应用于防火墙的接口时，inbound和outbound关键词的含义和交换及路由技术中的含义相同。其含义可以前页图。inbound是指进入接口，而outbound是指从接口出来。防火墙的默认区域间数据访问安全策略local区trust区dmz区untrust区防火墙的默认区域间数据访问规则高低outboundoutboundoutboundoutboundoutboundoutboundinboundinboundinboundinboundinboundinbound优先级优先级④①①②②③③④默认数据访问安全策略的具体含义CONLANWAN1/0/01/0/11/0/21/0/31/0/41/0/51/0/61/0/70/0/0DMZ区untrust区IP:172.31.1.2/24IP:192.168.1.2/24PC1PCzCONLANWAN1/0/01/0/11/0/21/0/31/0/41/0/51/0/61/0/70/0/0trust区untrust区IP:172.16.1.2/24IP:192.168.1.2/24PC1PCA从PCAping其网关，结果ping通从防火墙pingPCA，结果ping通从PC1ping其网关，结果ping不通从防火墙pingPC1，结果ping通从PCzping其网关，结果ping不通从防火墙pingPCz，结果ping通对应于①localtrust的inbound方向对应于②localtrust的outbound方向对应于localuntrust的inbound方向对应于③localuntrust的outbound方向对应于localdmz的inbound方向对应于④localdmz的outbound方向状态检测防火墙(ASPF)?CONLANWAN1/0/01/0/11/0/21/0/31/0/41/0/51/0/61/0/70/0/0trust区untrust区IP:172.16.1.2/24IP:192.168.1.2/24PC1PCA事实：PC1不能ping其网关即防火墙，但防火墙可以ping通pc1疑问：Ping操作是双向的，ping通即代表数据的来和回通道都是可以通的，在路由器和交换机中绝对不会出现这种单向ping通的情况。如何理解？ASPF,当防火墙检测到某方向有数据访问时,将自动为该数据流产生一条反方向的ACL，允许该访问数据流的响应数据流顺利返回到源主机。进一步理解防火墙的local区域防火墙的所有接口的物理实体以及附着于其上的IP地址都属于防火墙的local区域。CONtrust区untrust区local区LAN1/0/01/0/11/0/21/0/31/0/41/0/51/0/61/0/70/0/0WAN防火墙的e1/0/1接口划分到trust区，实际上是指该接口连接的网络属于trust区，该接口本身仍属于local区域防火墙的e0/0/0接口划分到untrust区，实际上是指该接口连接的网络属于untrust区，该接口本身仍属于local区域untrust区trust区防火墙的其他区域实际上是接口上所连接的外部网络实体。区域间通信的准确含义在防火墙中表达两个区域的通信时，不同的叙述方式可能含义会不一样“untrust区域能够访问trust区域”≠“trust区域能够访问untrust区域”“trust区域和untrust区域能够互相访问”≠“trust区域能够访问untrust区域”添加防火墙新区域后的默认区域间数据访问安全策略添加一个untrust类型的新区域untrust1，其优先级设置为与untrust的优先级相当。可以使用下面的配置命令实现：USGsys[USG]firewallzonenameuntrust1/*untrust1是所设置新区域的名称*/[USG-zone-untrust1]s