0


华为防火墙工作模式及安全区域划分

华为防火墙工作模式及安全区域划分

一、防火墙工作模式?

华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。

1.路由模式

如果华为防火墙连接网络的接口配置IP地址,则防火墙工作在透明模式下。

2.透明模式

如果防火墙物理接口工作在二层,则防火墙工作在透明模式下。

3.引入库

华为防火墙存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。

二、防火墙安全区域

防火墙通过安全区域来划分网络,并基于这些控制区域间报文传递。当数据报文在不同的安全区域传输是,将会触发安全策略检查。
防火墙靠优先级来评定一个区域的安全等级,优先级越高表明区域越安全(1-100),优先级不可以重复使用,同安全等级的区域内通信默认不进行安全检查,不同安全等级的区域间通信默认拒绝所有,需要通过安全策略放行通信。
涉及登录防火墙本地的协议,不能通过安全策略来完成,必须在接口放行。

1.Trust区域:

可靠,可信区域,主要用于连接公司内部网络,优先级为85,安全等级较高

2.读入数据

Dmz区域:非军事化区域,一般将服务器放置该区域,用于对外提供服务。其安全性介于Trust和Untrust区域之间,优先级为50

3. Untrust区域:

通常定义外部网络,优先级为5,安全级别很低。一般把internet等不安全网络划入Untrust区域。

4. Local区域:

通常定义防火墙本身,优先级为100。

一个区域可以划分多个接口,一个接口只能属于一个区域,系统安全区域不可删除,不可更改,新建安全区域可删可改。

创建区域,添加接口

[USG6000V1] firewall zone trust                // 选择安全区域
[USG6000V1-zone-trust] add interface GE0/0/0// 添加到安全区域

[USG6000V1] firewall zone name telnet       //进入已有区域不加name
[USG6000V1-zone-telnet]set priority  10//设置优先级

设置安全策略

[USG6000V1]security-policy       //安全策略          

[USG6000V1-policy-security]rule name rule1      //设置安全区域的名字为:rulel

[USG6000V1-policy-security-rule-rule1]source-zone trust   //如果是域内策略,则为源端口

[USG6000V1-policy-security-rule-rule1]destination-zone untrust   //如果域内策略,为目的端

[USG6000V1-policy-security-rule-rule1]source-address 192.168.1.132[USG6000V1-policy-security-rule-rule1]action deny    //不允许放行
[USG6000V1-policy-security-rule-rule1]action permit  //允许放行
[USG6000V1-policy-security-rule-rule1]action icmp    //允许ping通

查询命令

[USG6000V1] display security-policy rule ll   //显示所有安全策略顺序
[FW1] display ip interface brief              // 查默认接口信息
[FW1] display zone                            // 显示防火墙区域
[FW1] display firewall session table          // 显示当前会话
[FW1] display security-policy rule all// 显示安全策略

防火墙的Indound和Outbound

入方向(Indound):

        数据由低级别的安全区域向高级别的安全区域传输的方向。需要进行严谨的防护

出方向(Outbound)

        数据由高级别的安全区域向低级别的安全区域传输的方向。防护行为适当即可
标签: 华为 安全 网络

本文转载自: https://blog.csdn.net/weixin_50523028/article/details/128893583
版权归原作者 旭日东升&刘旭东 所有, 如有侵权,请联系我们删除。

“华为防火墙工作模式及安全区域划分”的评论:

还没有评论