华为防火墙USG5500-白红宇

华为防火墙USG5500

阅读量：7096 次

发布时间：2019-06-28

本文共 4219 字，大约阅读时间需要 14 分钟。

华为防火墙USG5500

重点：什么是防火墙；防火墙基础；防火墙功能配置

一.什么是防火墙：

1.什么是防火墙：

防火墙主要用于保护一个网络免受来自另一个网络的***和***行为，因其隔离、防守属性，防火墙灵活应用于网络边界、子网隔离等位置，如企业网络出口、大型网络内部子网隔离、数据中心（IDC）边界。

2.对比交换机路由器及防火墙：

1）交换机：组建局域网、通过二层或三层交换快速转发报文；

2）路由器：连接不同网络、通过路由协议实现互联互通、确保报文转发到目的地；

3）防火墙：部署在边界，对进出网络的访问行为进行控制，安全防护是核心特性；

总结：路由器和交换机的本质是转发，防护墙的本质是控制。

3.防火墙发展历史及特点：

1）访问控制越来越精确；

2）防护能力越来越强；

3）处理性能越来越高；

4.防火墙接口、网络和安全区域的关系：

1）安全区域（security zone）：简称区域（zone）是一个或多个接口的集合，作用是划分网络、标识表文流动的“路线”；当报文在不同安全区域之间流动时才会受到控制；

2）防火墙接口、网络、安全区域的关系：接口连接网络、接口再加入到区域，实现通过接口把安全区域和网络关联起来，通常说某个安全区域即表示安全区域中接口所在网络；（注意华为防火墙，一个接口只能加入到一个安全区域）

3）华为防火墙默认安全区域：

trust区域：受信任程度高，通常为内部用户所在网络；

DMZ区域：受信任程度中等，通常为内部服务器所在网络；

untrust区域：不受信任的网络，通常为Internet等不安全的网络；

local区域：防火墙本身，凡是由防火墙主动发出的报文均为local区域发出，凡是需要防火墙响应并处理（非转发）的报文均为local区域接收；local区域不能添加任何接口；

4）安全级别（受信任程度）：1-100（数越大越可信）、local=100、trust=85、DMZ=50、untrust=5；

5）报文在两个安全区域之间流动的规则：

inbound（入方向）：报文从低级别的安全区域向高级别的安全区域流动；

outbound（出方向）：报文从高级别的安全区域向低级别的安全区域流动；

6）防火墙通过安全级别划分等级明确的区域，连接各个网络，实现各个网络之间流动的报文（数据传输流向）实施控制。

5.防火墙如何判断报文在哪两个区域之间流动？

1）确认目的安全区域：查表（路由表、MAC地址表）确认转发的接口，接口所在的区域即为目的安全区域；

2）确认原安全区域：反查路由表确认原安全区域；

注意：确定报文的源和目的安全区域是精确配置安全策略的前提条件。

二.华为防火墙基础配置：

1.华为防火墙配置安全区域：

系统试图：新建或进入安全区域：firewall zone name 区域的名称

区域试图：设置安全级别（0-100）：set prio 安全级别

区域试图：添加接口到区域：add int 接口编号

系统试图：查看区域配置：display zone

2.状态检测防火墙：

状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。为数据流的第一个报文建立会话，数据流内的后续报文直接配置会话转发，不需要再进行规则的检查，提高转发效率。

3.防火墙会话：

1）会话：通信双方建立的连接在防火墙上的具体体现，代表两者的连接状态，一条会话表示通信双方的一个连接，防火墙上的多条会话的集合叫做会话表（session table）；

2）五元组：一条连接（即一个会话）由源地址、源端口、目的地址、目的端口和协议五个元素唯一确认，即只要这5个元素相同的报文即可任务属于同一条会话流。没有目标端口的协议防火墙使用固定值，如ICMP:ID=源端口、2048=目的端口；IPSsec（×××:AH认证头/ESP：封装安全载荷）：源、目的端口=0.

4.华为防火墙排错命令：

系统试图：查看区域：display zone

系统试图：查看丢包：dis firewall statistic system discard

系统试图：查看会话表：dis Firewall session table verbose

系统试图：修改dns老化时间为3秒：firewall session aging-time dns 3（内网有大量dns查询，修改老化时间，避免内存耗尽）

三.防火墙功能配置:

1.配置DHCP：

接口试图：配置DHCP：dhcp select int-->dhcp server gateway 网关-->dhcp server dns dns服务器地址-->q

2.配置SNAT内网上网：

1）配置NAT策略：

进入nat配置试图：nat-policy interzone 高区域1 低区域2 outbound

nat配置试图：新建策略1：policy 1

策略配置试图：指定源网段：policy source 源网段反码

策略配置试图：启用SNAT：action source-nat

策略配置试图：指定nat类型：easy-ip 外网接口编号

策略配置试图：退出：return

2）配置安全策略：

系统试图：进入安全策略配置试图：policy interzone 高区域1 低区域1 outbound

安全策略配置试图：新建策略：policy 1

策略配置试图：policy source 源网段反码

策略配置试图：设置策略为允许：action permit-->return

3）配置动态NAPT：

系统试图：定义地址池：nat address-group 组号开始地址结束地址

策略配置试图：指定nat类型：address-group 组号

其他配置与easy-ip相同。

3.华为防火墙安全策略：

1）安全策略基于安全区域之间关系来呈现，其内容包括条件（端口和地址）+动作（permit允许或deny拒绝）；

2）安全策略的匹配顺序：从上到下顺序匹配，匹配即停止，无匹配默认拒绝；

3）华为防火墙安全策略发展历程：ACL五元组（usg2000/5000支持）-->UTM（usg2000/5000支持）-->一体化安全策略（usg6000支持）

UTM（统一威胁管理）配置语法：policy interzone 源区域目标区域 outbound或inbound-->policy 名称-->policy source或destination 网段或ip-->action deny或permit

一体化安全策略配置语法：security-policy-->rule name 名称-->source-zone 源区域-->destination-zone 目标区域-->source-address 原地址-->action deny或permit；

4）ASPF（应用层包过滤）：根据报文应用层中的信息动态生成server-map表项，即简化安全策略的配置又确保安全性，ASPF是一种穿越防火墙的技术，ASPF生成的server-map表项，相当于在防火墙上打开一个通道，使类似于FTP（qq、msn）的多通道协议的后续报文不受安全策略的控制，利用该通道即可穿越防火墙。

ASPF配置语法：firewell interzone trust unstrust -->detect {ftp|qq|msn}

注意：ASPF的服务支持自定义。

5）华为防火墙安全策略配置思路和故障排除：

安全策略配置思路：配置默认包过滤为允许-->对业务进行调试-->查看会话表并以其中记录的信息为匹配条件配置安全策略-->最后恢复默认包过滤策略配置-->调试业务

故障排除：dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改变策略顺序

4.华为防火墙负载均衡：

1）负载均衡是一种集群，由多台服务器共同处理任务，实现统一对外，处理大量任务。

2）配置负载均衡：

系统视图：启用负载均衡（SLB）:slb enable

slb视图：设置远端服务器：rserver 1 rip 服务器ip地址 weight 权重

slb视图：新建组：group 负载均衡组名

slb组视图：设置调度算法：metric 算法