乾貨 | 華為防火牆配置,這篇文章強烈推薦收藏學習
- 2019 年 10 月 4 日
- 筆記
1、命令行界面密碼:Admin@123
[ ]web-manager enable 開啟web 界面管理
2、web界面:默認 admin Admin@123
3、區域
默認區域:trust untrust dmz local
firewall zone trust add int gi 1/0/0 將接口加入trust 區域
允許接口被ping :
int gi 1/0/0 service-manage ping permit
配置安全策略:
local_any security-policy rule name local_any source-zone local destination-zone any action permit
4、嚮導配置
嚮導配置的參數:
① 區域規劃
② 接口ip地址
③ 指向運營商的缺省路由
④ 基於源地址轉換的NAT
⑤ 將默認的安全策略改為放行
③ 缺省路由器配置:
ip route-s 0.0.0.0 0 202.1.1.2
④ nat配置
nat-policy rule name trust_ISP source-zone trust egress-interface GigabitEthernet1/0/2 action nat easy-ip
⑤ 將默認的安全策略改為放行
security-policy default action permit
5、防火牆轉發原理
路由器:開啟telnet
user-interface vty 0 4 authentication-mode password user privilege level 3 set authentication password simple 123
基於會話(狀態)session 的轉發。
首包 :建立會話的過程 去包
回包:基於會話回包
dis firewall session table 查看防火牆會話表
放行由trust到dmz的流量
security-policy rule name trust_dmz source-zone trust destination-zone dmz action permit
更加精細化控制:
security-policy rule name trust_dmz source-zone trust destination-zone dmz source-address 192.168.1.0 24 destination-address 172.16.1.2 32 service telnet service icmp action permit
6、常見安全策略
7、源NAT 轉換
8、端口映射(nat server)
將內網地址 172.16.1.2 的23端口 映射成公網地址202.1.1.1 的23端口。
注意:如果想檢測由防火牆到服務器的連通性,需放行local到dmz的流量。
命令行:
nat server aa 0 zone untrust protocol tcp global 202.1.1.1 23 inside 172.16.1.2 23 no-reverse
9、SSH 遠程管理防火牆
[FW]rsa local-key-pair create 產生用於加密的密鑰對
int gi 1/0/0 service-manage ssh permit user-interface vty 0 4 authentication-mode aaa protocol inbound ssh aaa manager-user xiaoge password cipher Xiaoge123 service-type ssh level 15
防火牆需開啟 ssh 服務並指定用戶名和密碼
stelnet server enable ssh user xiaoge ssh user xiaoge authentication-type password ssh user xiaoge service-type stelnet
客戶端路由器: stelnet 192.168.1.1
首次登錄必須重新更改密碼,且要符合複雜度要求例如CCNPa1234 ,且不能使用歷史密碼。更改密碼後會被踢出 然後重新登錄。
注意 1 : ssh 只能使用用戶名和密碼的方式登錄。
注意 2 :配置用戶名和密碼時千萬不要加空格再回車。
10、允許防火牆對tracert 路徑探測回顯
tracert x.x.x.x 用於探測去往某目標經過的三層設備的個數。
tracert 原理:發送探測報文 ttl=1 (第一跳)ttl=2(第二跳)。。。依次類推 ,當中間的三
層設備收到ttl值等於1的報文時認為發生環路,報文無法繼續轉發。並回饋一個icmp 的報文通知源端。
探測報文
路由器回顯報文:
注意:防火牆為了安全起見(不暴露自己的ip地址),默認情況下不處理ttl=1的探測報文,收到該報文後直接丟棄,且不會回應。因此tracert 時,會有 * * * 出現是多數是防火牆。
配置防火牆允許tracert 回顯: icmp ttl-exceeded send
11、將防火牆配置成透明交換機
FW:
int gi 1/0/0 portswitch 將防火牆接口配置為交換機接口 port link-type access
路由器 telnet 不認證登陸:
user-interface vty 0 4 authentication-mode none user privilege level 3
12、在防火牆上面配置vlan
vlan 10 int gi 1/0/0 portswitch 將防火牆接口配置為交換機接口 port link-type access port default vlan 10
將接口劃分到不同的安全區域以實現精細化的管控:
例如 :只允許trust1<—->trust2 telnet 流量
13、將防火牆配置成三層核心交換機
然後可以基於svi1 和svi2 兩個區域配置精細化的安全管控。
注意:如果想實現不同vlan的互訪管控,可以將不同的三層svi接口加入到不同的安全區域,便於配置安全策略。
14、雙機熱備
基礎配置:
配置完接口 ip
防火牆接口已規劃區域
放行 local_to_any
防火牆接口都允許 ping
防火牆 vrrp 和路由器的不同:
防火牆 vrrp 需要解決的兩個問題:
① 多個 vrrp 組同時切換 ( VGMP ,不需特殊配置自動加入 vgmp 組,多個 vrrp組 要切一起切)
② 安全策略配置和會話狀態同步 (會話同步 HRP)
VRRP 配置:
FW1:
int gi1/0/0 vrrp vrid 1 virtual-ip 192.168.1.1 active int gi 1/0/1 vrrp vrid 2 virtual-ip 202.1.1.1 active
FW2:
int gi 1/0/0 vrrp vrid 1 virtual-ip 192.168.1.1 standby int gi 1/0/1 vrrp vrid 2 vritual-ip 202.1.1.1 standby
HRP 配置:
FW1:
hrp enable hrp interface gi1/0/6 remote 172.16.1.253
FW2:
hrp enable hrp standby-device hrp int gi 1/0/6 remote 172.16.1.254
注意:處於 standby 狀態的設備不允許配置安全策略(可以其他的),只允許在主設備配置安全策略,且安全策略會自動同步到備設備上面。主設備 配置由 trust_to_untrust 放行策略+B 表示配置已經同步到備設備上面。
FW1 :
security-policy rule name trust_to_untrust source-zone trust destination-zone untrust action permit
測試 1 : R1 ping R2 通信!! 可以做冗餘性測試!!
測試 2 :去掉 HRP 看看配置安全策略是否還同步 (HRP 切換需要 1 分鐘時間 有 standby–>master )
測試 3 : R1 telnet R2 查看兩個 FW 的會話狀態是否都有
注意:處於 standby 狀態的設備不允許配置安全策略(可以其他的),只允許在主設備配置安全策略,且安全策略會自動同步到備設備上面。主設備 配置由 trust_to_untrust 放行策略+B 表示配置已經同步到備設備上面。
FW1 :
security-policy rule name trust_to_untrust source-zone trust destination-zone untrust action permit
測試 1 : R1 ping R2 通信!! 可以做冗餘性測試!!
測試 2 :去掉 HRP 看看配置安全策略是否還同步 (HRP 切換需要 1 分鐘時間 有 standby–>master )
測試 3 : R1 telnet R2 查看兩個 FW 的會話狀態是否都有
15、雙機熱備web配置
努力學習,勤奮工作,讓青春更加光彩
再長的路,一步步也能走完,再短的路,不邁開雙腳也無法到達
