查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习
1、命令行界面密碼:Admin@123
[ ]web-manager enable 開啟web 界面管理2、web界面:默認 admin ? Admin@123
3、區(qū)域
默認區(qū)域:trust ? untrust ?dmz ? local
firewall zone trustadd???int???gi??1/0/0??將接口加入trust?區(qū)域允許接口被ping :
int gi 1/0/0service-manage ping permit配置安全策略:
local_anysecurity-policy rule name local_any source-zone local destination-zone any action permit4、向?qū)渲?/strong>
向?qū)渲玫膮?shù):
① 區(qū)域規(guī)劃
② 接口ip地址
③ 指向運營商的缺省路由
④ 基于源地址轉(zhuǎn)換的NAT
⑤ 將默認的安全策略改為放行
③ 缺省路由器配置:
ip route-s 0.0.0.0 0 202.1.1.2④ nat配置
nat-policy rule name trust_ISP source-zone trust egress-interface GigabitEthernet1/0/2 action nat easy-ip⑤ 將默認的安全策略改為放行
security-policydefault action permit5、防火墻轉(zhuǎn)發(fā)原理
路由器:開啟telnet
user-interface vty 0 4 authentication-mode password user privilege level 3 set authentication password simple 123基于會話(狀態(tài))session 的轉(zhuǎn)發(fā)。
首包 :建立會話的過程? 去包
回包:基于會話回包
dis? firewall session? table 查看防火墻會話表
放行由trust到dmz的流量
security-policy rule name trust_dmz source-zone trust destination-zone dmz action permit更加精細化控制:
security-policy rule name trust_dmz source-zone trust destination-zone dmz source-address 192.168.1.0 24 destination-address 172.16.1.2 32 service telnet service icmp action permit6、常見安全策略
7、源NAT 轉(zhuǎn)換
8、端口映射(nat server)
將內(nèi)網(wǎng)地址 172.16.1.2 的23端口 映射成公網(wǎng)地址202.1.1.1 的23端口。
注意:如果想檢測由防火墻到服務器的連通性,需放行l(wèi)ocal到dmz的流量。
命令行:
nat server aa 0 zone untrustprotocol tcp global 202.1.1.1 23 inside172.16.1.2 23 no-reverse9、SSH 遠程管理防火墻
[FW]rsa local-key-pair create? 產(chǎn)生用于加密的密鑰對
int gi 1/0/0 service-manage ssh permituser-interface vty 0 4 authentication-mode aaa protocol inbound sshaaa manager-user xiaoge password cipher Xiaoge123 service-type ssh level 15防火墻需開啟 ssh? 服務并指定用戶名和密碼
stelnet server enablessh user xiaogessh user xiaoge authentication-typepasswordssh user xiaoge service-type stelnet客戶端路由器: stelnet 192.168.1.1
首次登錄必須重新更改密碼,且要符合復雜度要求例如CCNPa1234 ,且不能使用歷史密碼。更改密碼后會被踢出 然后重新登錄。
注意 1 : ssh ?只能使用用戶名和密碼的方式登錄。
注意 2 :配置用戶名和密碼時千萬不要加空格再回車。
10、允許防火墻對tracert 路徑探測回顯
tracert? ?x.x.x.x? 用于探測去往某目標經(jīng)過的三層設備的個數(shù)。
tracert 原理:發(fā)送探測報文 ttl=1 (第一跳)ttl=2(第二跳)。。。依次類推 ,當中間的三
層設備收到ttl值等于1的報文時認為發(fā)生環(huán)路,報文無法繼續(xù)轉(zhuǎn)發(fā)。并回饋一個icmp 的報文通知源端。
探測報文
路由器回顯報文:
注意:防火墻為了安全起見(不暴露自己的ip地址),默認情況下不處理ttl=1的探測報文,收到該報文后直接丟棄,且不會回應。因此tracert? 時,會有 *? ?*? ?*? 出現(xiàn)是多數(shù)是防火墻。
配置防火墻允許tracert 回顯: icmp ttl-exceeded? send
11、將防火墻配置成透明交換機
FW:
int gi 1/0/0 portswitch 將防火墻接口配置為交換機接口 port link-type access路由器 telnet 不認證登陸:
user-interface vty 0 4 authentication-mode none user privilege level 312、在防火墻上面配置vlan
vlan 10int gi 1/0/0 portswitch 將防火墻接口配置為交換機接口 port link-type access port default vlan 10將接口劃分到不同的安全區(qū)域以實現(xiàn)精細化的管控:
例如 :只允許trust1trust2 ?telnet 流量
13、將防火墻配置成三層核心交換機
然后可以基于svi1 和svi2 兩個區(qū)域配置精細化的安全管控。
注意:如果想實現(xiàn)不同vlan的互訪管控,可以將不同的三層svi接口加入到不同的安全區(qū)域,便于配置安全策略。
14、雙機熱備?
基礎配置:
配置完接口 ip
防火墻接口已規(guī)劃區(qū)域
放行 local_to_any
防火墻接口都允許 ping
防火墻 vrrp ?和路由器的不同:
防火墻 vrrp ?需要解決的兩個問題:
① 多個 vrrp 組同時切換 ( VGMP ,不需特殊配置自動加入 vgmp 組,多個 vrrp組 要切一起切)
② 安全策略配置和會話狀態(tài)同步 (會話同步 HRP)
VRRP 配置:
FW1:
int gi1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 activeint gi 1/0/1vrrp vrid 2 virtual-ip 202.1.1.1 activeFW2:
int gi 1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 standbyint gi 1/0/1vrrp vrid 2 vritual-ip 202.1.1.1 standbyHRP 配置:
FW1:
hrp enablehrp interface gi1/0/6 remote 172.16.1.253FW2:
hrp enablehrp standby-devicehrp int gi 1/0/6 remote 172.16.1.254注意:處于 standby ?狀態(tài)的設備不允許配置安全策略(可以其他的),只允許在主設備配置安全策略,且安全策略會自動同步到備設備上面。主設備 配置由 trust_to_untrust? 放行策略+B ?表示配置已經(jīng)同步到備設備上面。
FW1 :
security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit測試 1 : R1 ping R2 通信!! 可以做冗余性測試!!
測試 2 :去掉 HRP ?看看配置安全策略是否還同步 (HRP 切換需要 1 分鐘時間 有 standby-->master )
測試 3 : R1 telnet R2 查看兩個 FW 的會話狀態(tài)是否都有
注意:處于 standby ?狀態(tài)的設備不允許配置安全策略(可以其他的),只允許在主設備配置安全策略,且安全策略會自動同步到備設備上面。主設備 配置由 trust_to_untrust? 放行策略+B ?表示配置已經(jīng)同步到備設備上面。
FW1 :
security-policyrule name trust_to_untrustsource-zone trustdestination-zone untrustaction permit測試 1 : R1 ping R2 通信!! 可以做冗余性測試!!
測試 2 :去掉 HRP ?看看配置安全策略是否還同步 (HRP 切換需要 1 分鐘時間 有 standby-->master )
測試 3 : R1 telnet R2 查看兩個 FW 的會話狀態(tài)是否都有
15、雙機熱備web配置
努力學習,勤奮工作,讓青春更加光彩
再長的路,一步步也能走完,再短的路,不邁開雙腳也無法到達
總結(jié)
以上是生活随笔為你收集整理的查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python执行shell命令查看输出_
- 下一篇: python同步锁和互斥锁的区别_Pyt