華為防火墻USG5500

華為防火墻USG5500
重點：什么是防火墻；防火墻基礎；防火墻功能配置
一.什么是防火墻：
1.什么是防火墻：
防火墻主要用于保護一個網絡免受來自另一個網絡的***和***行為，因其隔離、防守屬性，防火墻靈活應用于網絡邊界、子網隔離等位置，如企業網絡出口、大型網絡內部子網隔離、數據中心（IDC）邊界。
2.對比交換機路由器及防火墻：
1）交換機：組建局域網、通過二層或三層交換快速轉發報文；
2）路由器：連接不同網絡、通過路由協議實現互聯互通、確保報文轉發到目的地；
3）防火墻：部署在邊界，對進出網絡的訪問行為進行控制，安全防護是核心特性；
總結：路由器和交換機的本質是轉發，防護墻的本質是控制。
3.防火墻發展歷史及特點：
1）訪問控制越來越精確；
2）防護能力越來越強；
3）處理性能越來越高；
4.防火墻接口、網絡和安全區域的關系：
1）安全區域（security zone）：簡稱區域（zone）是一個或多個接口的集合，作用是劃分網絡、標識表文流動的“路線”；當報文在不同安全區域之間流動時才會受到控制；
2）防火墻接口、網絡、安全區域的關系：接口連接網絡、接口再加入到區域，實現通過接口把安全區域和網絡關聯起來，通常說某個安全區域即表示安全區域中接口所在網絡；（注意華為防火墻，一個接口只能加入到一個安全區域）
3）華為防火墻默認安全區域：
trust區域：受信任程度高，通常為內部用戶所在網絡；
DMZ區域：受信任程度中等，通常為內部服務器所在網絡；
untrust區域：不受信任的網絡，通常為Internet等不安全的網絡；
local區域：防火墻本身，凡是由防火墻主動發出的報文均為local區域發出，凡是需要防火墻響應并處理（非轉發）的報文均為local區域接收；local區域不能添加任何接口；
4）安全級別（受信任程度）：1-100（數越大越可信）、local=100、trust=85、DMZ=50、untrust=5；
5）報文在兩個安全區域之間流動的規則：
inbound（入方向）：報文從低級別的安全區域向高級別的安全區域流動；
outbound（出方向）：報文從高級別的安全區域向低級別的安全區域流動；
6）防火墻通過安全級別劃分等級明確的區域，連接各個網絡，實現各個網絡之間流動的報文（數據傳輸流向）實施控制。
5.防火墻如何判斷報文在哪兩個區域之間流動？
1）確認目的安全區域：查表（路由表、MAC地址表）確認轉發的接口，接口所在的區域即為目的安全區域；
2）確認原安全區域：反查路由表確認原安全區域；
注意：確定報文的源和目的安全區域是精確配置安全策略的前提條件。
二.華為防火墻基礎配置：
1.華為防火墻配置安全區域：
系統試圖：新建或進入安全區域：firewall zone name 區域的名稱
區域試圖：設置安全級別（0-100）：set prio 安全級別
區域試圖：添加接口到區域：add int 接口編號
系統試圖：查看區域配置：display zone
2.狀態檢測防火墻：
狀態檢測防火墻使用基于連接狀態的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數據流來對待。為數據流的第一個報文建立會話，數據流內的后續報文直接配置會話轉發，不需要再進行規則的檢查，提高轉發效率。
3.防火墻會話：
1）會話：通信雙方建立的連接在防火墻上的具體體現，代表兩者的連接狀態，一條會話表示通信雙方的一個連接，防火墻上的多條會話的集合叫做會話表（session table）；
2）五元組：一條連接（即一個會話）由源地址、源端口、目的地址、目的端口和協議五個元素唯一確認，即只要這5個元素相同的報文即可任務屬于同一條會話流。沒有目標端口的協議防火墻使用固定值，如ICMP:ID=源端口、2048=目的端口；IPSsec（×××:AH認證頭/ESP：封裝安全載荷）：源、目的端口=0.
4.華為防火墻排錯命令：
系統試圖：查看區域：display zone
系統試圖：查看丟包：dis firewall statistic system discard
系統試圖：查看會話表：dis Firewall session table verbose
系統試圖：修改dns老化時間為3秒：firewall session aging-time dns 3（內網有大量dns查詢，修改老化時間，避免內存耗盡）
三.防火墻功能配置:
1.配置DHCP：
接口試圖：配置DHCP：dhcp select int-->dhcp server gateway 網關-->dhcp server dns dns服務器地址-->q
2.配置SNAT內網上網：
1）配置NAT策略：
進入nat配置試圖：nat-policy interzone 高區域1 低區域2 outbound
nat配置試圖：新建策略1：policy 1
策略配置試圖：指定源網段：policy source 源網段 反碼
策略配置試圖：啟用SNAT：action source-nat
策略配置試圖：指定nat類型：easy-ip 外網接口編號
策略配置試圖：退出：return
2）配置安全策略：
系統試圖：進入安全策略配置試圖：policy interzone 高區域1 低區域1 outbound
安全策略配置試圖：新建策略：policy 1
策略配置試圖：policy source 源網段 反碼
策略配置試圖：設置策略為允許：action permit-->return
3）配置動態NAPT：
系統試圖：定義地址池：nat address-group 組號 開始地址 結束地址
策略配置試圖：指定nat類型：address-group 組號
其他配置與easy-ip相同。
3.華為防火墻安全策略：
1）安全策略基于安全區域之間關系來呈現，其內容包括條件（端口和地址）+動作（permit允許或deny拒絕）；
2）安全策略的匹配順序：從上到下順序匹配，匹配即停止，無匹配默認拒絕；
3）華為防火墻安全策略發展歷程：ACL五元組（usg2000/5000支持）-->UTM（usg2000/5000支持）-->一體化安全策略（usg6000支持）
UTM（統一威脅管理）配置語法：policy interzone 源區域 目標區域 outbound或inbound-->policy 名稱-->policy source或destination 網段或ip-->action deny或permit
一體化安全策略配置語法：security-policy-->rule name 名稱-->source-zone 源區域-->destination-zone 目標區域-->source-address 原地址-->action deny或permit；
4）ASPF（應用層包過濾）：根據報文應用層中的信息動態生成server-map表項，即簡化安全策略的配置又確保安全性，ASPF是一種穿越防火墻的技術，ASPF生成的server-map表項，相當于在防火墻上打開一個通道，使類似于FTP（qq、msn）的多通道協議的后續報文不受安全策略的控制，利用該通道即可穿越防火墻。
ASPF配置語法：firewell interzone trust unstrust -->detect {ftp|qq|msn}
注意：ASPF的服務支持自定義。
5）華為防火墻安全策略配置思路和故障排除：
安全策略配置思路：配置默認包過濾為允許-->對業務進行調試-->查看會話表并以其中記錄的信息為匹配條件配置安全策略-->最后恢復默認包過濾策略配置-->調試業務
故障排除：dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改變策略順序

4.華為防火墻負載均衡：
1）負載均衡是一種集群，由多臺服務器共同處理任務，實現統一對外，處理大量任務。
2）配置負載均衡：
系統視圖：啟用負載均衡（SLB）:slb enable
slb視圖：設置遠端服務器：rserver 1 rip 服務器ip地址 weight 權重
slb視圖：新建組：group 負載均衡組名
slb組視圖：設置調度算法：metric 算法
slb組視圖：添加遠端服務器：addrserver 1
slb視圖：設置集群vip:vserver grp vip 集群ip地址 group slb組 vport 集群端口 rport 真實服務器端口
系統視圖：查看：dis slb group slb組

5.華為防火墻nat-server發布內網服務：
1）nat server的server-map表中包括正向表項和反向表項，正向表項記錄服務器私網地址及端口和公網地址及端口的映射關系，作用是在公網用戶訪問服務器時對報文的目的地址做轉換；
反向表項作用是當私網服務器主動訪問公網時，可以直接使用該表項的源地址，將私網地址轉換為公網地址，而不用再單獨為服務器配置源SNAT策略；
即一條命令同時打通私網服務器和公網之間出入兩個方向的地址轉換通道。
2）nat-server發布內網服務配置語法：
系統試圖：發布內網服務：nat server protocol tcp global 公網地址 端口 inside 內網服務器地址 端口
3）發布內網服務器安全策略配置：
注意：策略的目的地址是服務器私網地址，而不是服務器對外映射公網地址，為了避免路由環路，nat server需要配置黑洞路由。
4）DNAT安全策略配置語法：
policy interzone dmz untrust inbound-->policy 1-->policy destination 服務器私網ip地址 0 -->policy service service-set 服務 -->action permit -->return
5）配置黑洞路由的語法：ip route-static 公網ip地址 32 null 0