HCIP | 华为防火墙配置

news/2024/11/28 11:54:20/

目录

一、前言

二、安全区域

(一)安全区域的划分

(二)四类安全区域的默认优先级

(三)安全区域相关指令

三、防火墙的基本配置 

(一)将接口添加进对应的安全区域

(二)基本策略配置

(三)会话表项

(四)实现区域中某个特定网段访问

四、各项防御功能配置

(一)扫描类型攻击防御

(二)畸形报文攻击防御

(三)特殊报文攻击防御

五、负载均衡及安全检查(可能受设备差异影响存在不同)

(一)负载均衡配置

(二)安全检查及出口带宽检测


一、前言

        近日准备某场比赛,涉及到了有关防火墙的知识点,由于之前没有学习过,所以整理如下,主要作笔记用,各位可以作为参考;因为主要用于比赛应急,没有对原理进行深究,请各位理解。

二、安全区域

(一)安全区域的划分

        安全区域的划分:用于对内外网的区分

                ① trust 信任区域(内网)

                ② untrust 非信任区域(外网)

                ③ local 本地区域(防火墙上所有接口均为local)

                ④ DMZ 非军事化区域(主要用于放置服务器)

(二)四类安全区域的默认优先级

                ① untrust 区域:5

                ② trust 区域:85

                ③ DMZ 区域:50

                ④ local 区域:100

        关于区域之间的互访:高优先级区域能够访问低优先级区域,但是低优先级区域不能访问高优先级区域。

(三)安全区域相关指令

display zone:查看安全区域

firewall zone xxxx :进入xxxx区域(xxxx可以是区域类型)

set priority    xxxx:配置区域优先级

三、防火墙的基本配置 

(一)将接口添加进对应的安全区域

firewall zone xxxx         //进入xxxx区域

add int G X/X/X             //将 G X/X/X 添加进对应区域

(二)基本策略配置

默认策略:

 outbound:高优先级访问低优先级

 inbound:低优先级访问高优先级

策略配置:

firewall packet-filter default permit interzone xxxx xxxx direction inbound/outbound

(三)会话表项

防火墙的回包问题:

当数据到达防火墙时,防火墙会记录该信息,(生成会话表项);当回包时查看该信息,发现进出信息一致,则允许数据返回

查看会话表项:

display firewall session table

会话表项中包含五元组(五元组表项):

IP协议、源IP、源端口、目的IP、目的端口

数据进行访问时:先查五元组表项,再查策略;

会话表项存在有效时间,查看会话表项的有效时间:

display firewall session aging-time

会话表项有效时间修改

firewall session aging-time service-set + 协议 + 时间

(四)实现区域中某个特定网段访问

undo firewall packet-filter default permit interzone xxxx xxxx direction in/out         //删除默认规则

policy interzone xxx xxxx in/out                                                                                     //配置policy

policy 1

action permit

policy source xxxx mask xx

四、各项防御功能配置

(一)扫描类型攻击防御

① 端口扫描防御:

        firewall defend port-scan enable   //开启功能

        firewall defend action discard       //默认丢弃

② IP地址扫描攻击

        firewall blacklist enable                //开启黑名单(默认不开启)

        firewall defend ip-sweep enable  //开启IP地址扫描防御功能

(二)畸形报文攻击防御

① Smurf 报文攻击:

        firewall defend smurf enable

② Land报文攻击:

        firewall defend land enable

③ Fraggle报文攻击:

        firewall defend fraggle enable

④ IP分片攻击:

        firewall defend  ip-fragment enable

⑤ 全局IP欺骗攻击:

        firewall defend ip-spoofing enable

⑥ 死亡ping:

        firewall defend ping-of-death enable

⑦ TCP Flag攻击:

        firewall defend tcp-flag enable

⑧ Teardrop攻击:

        firewall defend teardrop enable

⑨ Winnuke攻击:

        firewall defend winnuke enable

(三)特殊报文攻击防御

IGMP报文防御:

① 重定向报文

        firewall defend icmp-redirect enable

② 不可达报文

        firewall defend icmp-unreachable enable

③ 超大ICMP报文

        firewall defend large-icmp enable

        firewall defend large-icmp max-length XXX //默认4000

Tracert报文防御:

        firewall defend tracert enable

五、负载均衡及安全检查(可能受设备差异影响存在不同)

(一)负载均衡配置

① USG5500

[FW1]slb                                                               //进入服务器负载均衡配置

[FW1-slb]rserver 0 rip x.x.x.x weight x       //配置实服务器及其权重

[FW1-slb]rserver 1 rip x.x.x.x weight x

[FW1-slb]rserver 2 rip x.x.x.x weight x

[FW1-slb]group ser                                              //建立服务器组

[FW1-slb-group-ser]metric weightrr                //负载均衡算法为加权轮询

[FW1-slb-group-ser]addrserver 1

[FW1-slb-group-ser]addrserver 2

[FW1-slb-group-ser]addrserver 3

[FW1-slb]vserver xxx vip  x.x.x.x group xxx

② USG6000V

[FW1]slb                                                              //进入服务器负载均衡配置
[FW1-slb]group 0 server001                                //建立服务器组
[FW1-slb-group-0]metric weight-roundrobin        //负载均衡算法为加权轮询
[FW1-slb-group-0]health-check type xxxx           //服务器健康检查协议设置
[FW1-slb-group-0]rserver 0 rip x.x.x.x weight x   //配置实服务器及其权重
[FW1-slb-group-0]rserver 1 rip x.x.x.x weight x
[FW1-slb-group-0]rserver 2 rip x.x.x.x weight x
[FW1-slb]vserver 0 server001                             //创建虚拟服务器
[FW1-slb-vserver-0]vip x.x.x.x                             //配置虚拟IP地址
[FW1-slb-vserver-0]protocol any
[FW1-slb-vserver-0]group server001                   //关联实服务器组

(二)安全检查及出口带宽检测

只在USG6000V上实现了,USG5500没成功(可能命令不对,也可能不支持)

[FW1]healthcheck name out_health

[FW1-healthcheck-out_health]destination x.x.x.x interface g x/x/x protocol xxx

[FW1-GigabitEthernet1/0/2]healthcheck out_health

[FW1-GigabitEthernet1/0/2]gateway x.x.x.x

[FW1-GigabitEthernet1/0/2]bandwidth ingress xxxxx threshold xx

[FW1-GigabitEthernet1/0/2]bandwidth egress xxxx threshold xx


http://www.ppmy.cn/news/180030.html

相关文章

华三防火墙安全策略配置

1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达…

H3C防火墙配置三层链路聚合互通

1.项目背景 某公司由于业务需要,需要将H3C防火墙和交换机做三层聚合,并配置网络互通。 2.网络拓扑 3.配置链路聚合组(交换机配置) interface Route-Aggregation 22(创建三层虚拟聚合接口) link-aggregation…

H3C防火墙实验

配置ip和默认路由省略(ip rou 0.0.0.0 0 10.0.0.2/ip rou 0.0.0.0 0 20.0.0.2) 改名(第一部做) 改名 sysname fn 绑定防火墙安全域端口 [fn]security-zone name Trust [fn-security-zone-Trust]import interface g1/0/0 […

H3C防火墙-安全策略典型配置举例

基于 IP 地址的安全策略配置举例 1.组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 HTTP 协议访问财务数据库服务器的 Web…

H3C HCL模拟器配置防火墙WEB的两种方法,非常简单

第一种通过Managenment口配置 1.搭建工程图 2.配置ip地址 (1) 配置Host_1地址: 打开本地物理机的网络连接,将VirtualBox 网卡地址配置为192.168.0.x x 和防火墙同一网段。 3.将G1/0/0接口划入安全域,命令如下 [H3C]sysN [H3C]sysname FW1 …

H3C SecPath F100 系列防火墙基本配置

H3C SecPath F100 系列防火墙基本配置 System View: return to User View with CtrlZ. [Quidway]int e0/0 [Quidway-Ethernet0/0]ip add 192.168.10.1 255.255.255.0 [Quidway-Ethernet0/0]int e1/0 [Quidway-Ethernet1/0]ip add 202.10.1.194 255.255.255.0 [Quidway]fire zon…

H3C防火墙基础配置2-配置安全策略

1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一的名称和编号标识。名称…

h3c防火墙配置基础

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信…