精华内容
下载资源
问答
  • 实验要求 根据实验要求配置防火墙: 合理部署防火墙安全策略以及安全区域 ...防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙 防火墙端口配置地址: [USG6000V1]sy FW1 ...

    实验要求

    根据实验要求配置防火墙:

    1. 合理部署防火墙安全策略以及安全区域
    2. 实现内网用户可以访问外网用户,反之不能访问
    3. 内网用户和外网用户均可以访问公司服务器
      在这里插入图片描述

    实验配置

    步骤一:配置各个终端、防火墙端口IP地址

    终端以服务器为例:

    在这里插入图片描述

    防火墙进入配置界面,登录密码等问题请阅读文章:通过网页登录配置华为eNSP中USG6000V1防火墙

    防火墙端口配置地址:

    [USG6000V1]sy FW1      //修改名称
    [FW1]un in en          //关闭提示信息
    Info: Information center is disabled.
    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip ad 10.0.0.254 24
    [FW1-GigabitEthernet1/0/0]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip ad 202.196.10.254 24
    [FW1-GigabitEthernet1/0/1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip ad 192.168.10.254 24
    

    可以使用display ip interface brief查看接口IP等信息。

    步骤二:根据终端类型,给防火墙的接口合理规划安全区域

    区域规划如下图:
    区域规划
    将防火墙端口添加到区域中:

    [FW1]
    [FW1]firewall zone trust                  //进入trust区域
    [FW1-zone-trust]add interface g1/0/0      //将接口G1/0/0添加到trust区域中
    [FW1-zone-trust]firewall zone untrust     //进入untrust区域
    [FW1-zone-untrust]ad interface g1/0/1
    [FW1-zone-untrust]q
    [FW1]
    [FW1]firewall zone dmz                   //进入DMZ区域
    [FW1-zone-dmz]ad interface g1/0/2
    

    配置完成之后可以通过dis zone 查看区域详细信息:

    [FW1]dis zone 
    local
     priority is 100               //信任值 100
     interface of the zone is (0):
    #
    trust
     priority is 85
     interface of the zone is (2):
        GigabitEthernet0/0/0
        GigabitEthernet1/0/0
    #
    untrust
     priority is 5
     interface of the zone is (1):
        GigabitEthernet1/0/1
    #
    dmz
     priority is 50
     interface of the zone is (1):
        GigabitEthernet1/0/2
    #
    

    防火墙安全区域概念见文章:防火墙详解(一) 网络防火墙简介

    步骤三:根据实验要求配置安全策略

    实验要求:

    1. 内网用户可以访问外网用户,但是外网用户不能访问内网用户
    2. 外网用户和内网用户都可以访问公司服务器

    也就是说

    1. Trust区域可以主动访问Untrust区域,但是反之不行。
    2. untrust区域和trust区域都可以访问DMZ区域。

    注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。


    配置安全策略,使得内网用户可以访问外网用户,但是外网用户不能访问内网用户;内网用户可以访问服务器:

    [FW1]
    [FW1]security-policy          //进入安全策略视图
    [FW1-policy-security]rule name t2ud    //创建名为t2ud的安全规则
    [FW1-policy-security-rule-t2ud]source-zone trust     //设置安全规则的源安全地址为trust
    [FW1-policy-security-rule-t2ud]destination-zone untrust dmz   //设置安全规则的目的安全地址为untrust和DMZ
    [FW1-policy-security-rule-t2ud]source-address 10.0.0.0 24 	 //设置安全规则源网段(上面设置了源、目的区域。其实网段可以不设置,但是保险起见还是设置一下)
    [FW1-policy-security-rule-t2ud]destination-address 202.196.10.0 24    //设置规则目的网段
    [FW1-policy-security-rule-t2ud]destination-address 192.168.10.0 24  
    [FW1-policy-security-rule-t2ud]action permit         //设置安全规则的动作为允许
    

    查看:

    [FW1-policy-security-rule-t2ud]dis th
    #
     rule name t2ud
      source-zone trust
      destination-zone untrust
      destination-zone dmz
      source-address 10.0.0.0 24
      destination-address 192.168.10.0 24
      destination-address 202.196.10.0 24
      action permit
    #
    return
    

    验证:
    PC1 ping PC2 与 服务器 查看是否能通,发现可以,证明配置成功。
    在这里插入图片描述
    PC2不能ping通PC1(外网用户不能访问内网用户):

    在这里插入图片描述


    配置安全策略,外网用户可以访问公司服务器:

    [FW1]security-policy 
    [FW1-policy-security]rule name u2d
    [FW1-policy-security-rule-u2d]source-zone untrust 
    [FW1-policy-security-rule-u2d]destination-zone dmz 
    [FW1-policy-security-rule-u2d]action permit 
    

    查看:
    我们可以通过dis security-policy all 查看全部安全策略:

    [FW1]dis security-policy all 
    Total:3 
    RULE ID RULE NAME                      STATE      ACTION       HITTED          
    -------------------------------------------------------------------------------
    0       default                        enable     deny         0                
    1       t2ud                           enable     permit       25               
    2       u2d                            enable     permit       5               
    -------------------------------------------------------------------------------
    

    也可以使用dis security-policy rule u2d查看单个规则详细信息:

    [FW1]dis security-policy ru	
    [FW1]dis security-policy rule u2d
     (5 times matched)
     rule name u2d
      source-zone untrust
      destination-zone dmz
      action permit
    

    验证:
    PC2可以 ping 通服务器。
    在这里插入图片描述

    实验成功!

    防火墙配置命令(总)

    #
    sy FW1      
    #
    un in en         
    #
    int g1/0/0
    ip ad 10.0.0.254 24
    int g1/0/1
    ip ad 202.196.10.254 24
    int g1/0/2
    ip ad 192.168.10.254 24
    #
    firewall zone trust                 
    add interface g1/0/0      
    firewall zone untrust     
    ad interface g1/0/1
    firewall zone dmz                   
    ad interface g1/0/2
    #
    security-policy          
    rule name t2ud    
    source-zone trust     
    destination-zone untrust dmz  
    source-address 10.0.0.0 24 
    destination-address 202.196.10.0 24    
    destination-address 192.168.10.0 24  
    action permit        
    #
    security-policy 
    rule name u2d
    source-zone untrust 
    destination-zone dmz 
    action permit 
    #
    
    展开全文
  • 华为防火墙USG6000通过WEB图形界面配置案例

    万次阅读 多人点赞 2020-12-02 16:26:01
    华为防火墙USG6000:NAT和NAT Server配置案例网络拓扑图通过WEB方式登录到防火墙登录成功配置防火墙使内网用户通过PAT方式上网配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)内网用户与FTP-Server...

    网络拓扑图

    在这里插入图片描述

    通过WEB方式登录到防火墙

    通过Web方式登录USG6000V:教程
    在这里插入图片描述

    登录成功

    在这里插入图片描述

    配置防火墙使内网用户通过PAT方式上网

    防火墙上新建一个Nat Pool,供内网用户以NAT方式访问外网
    在这里插入图片描述
    配置Nat策略
    在这里插入图片描述
    配置策略,使得trust区域可以访问untrust区域
    在这里插入图片描述
    配置默认路由,指向R1
    在这里插入图片描述
    设置到达Nat Pool的静态路由,指向一个空接口,防止路由黑洞
    在这里插入图片描述

    配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)

    先配置服务器对外静态映射
    在这里插入图片描述
    防火墙上配置一个策略,使得untrust区域能访问DMZ区域
    在这里插入图片描述
    配置nat pool地址池,目的是作为外网用户访问内网服务器后nat的内网地址
    在这里插入图片描述
    配置一个nat策略。注意,这个nat策略和内网nat外网有所不同!!!
    在这里插入图片描述
    最后配置一个到达服务器对外地址的静态路由,防止路由黑洞
    在这里插入图片描述
    WEB界面配置完成

    内网用户与FTP-Server配置

    • PC1
      在这里插入图片描述
    • FTP-Server
      在这里插入图片描述

    配置代码

    • FW
    dis current-configuration  显示防火墙的运行配置
    
    [USG6000V1]dis current-configuration 
    2020-12-02 05:10:12.380 
    !Software Version V500R005C10SPC300
    #
    sysname FW
     l2tp domain suffix-separator @
    #
     ipsec sha2 compatible enable
    #
    undo telnet server enable
    undo telnet ipv6 server enable
    #
     update schedule location-sdb weekly Sun 04:29
    #
     firewall defend action discard
    #
     banner enable
    #
     user-manage web-authentication security port 8887
     undo privacy-statement english
     undo privacy-statement chinese
    page-setting
     user-manage security version tlsv1.1 tlsv1.2
    password-policy
     level high
    user-manage single-sign-on ad
    user-manage single-sign-on tsm
    user-manage single-sign-on radius
    user-manage auto-sync online-user
    #
     web-manager security version tlsv1.1 tlsv1.2
     web-manager enable
     web-manager security enable
    #
    firewall dataplane to manageplane application-apperceive default-action drop
    #
     undo ips log merge enable
    #
     decoding uri-cache disable
    #
     feedback type threat-log enable
     feedback type pdns enable
    #
     update schedule ips-sdb daily 01:03
     update schedule av-sdb daily 01:03
     update schedule sa-sdb daily 01:03
     update schedule cnc daily 01:03
     update schedule file-reputation daily 01:03
    #
    ip vpn-instance default
     ipv4-family
    #
    ip-link check enable
    ip-link name Linktest vpn-instance default
     destination 0.0.0.0/0.0.0.0 interface GigabitEthernet0/0/0 mode icmp next-hop 1
    .1.1.2
    #
    ip address-set FTP_Server type object
     address 0 10.1.2.100 mask 32
    #
     time-range worktime
      period-range 08:00:00 to 18:00:00 working-day
    #
    ike proposal default
     encryption-algorithm aes-256 aes-192 aes-128
     dh group14
     authentication-algorithm sha2-512 sha2-384 sha2-256
     authentication-method pre-share
     integrity-algorithm hmac-sha2-256
     prf hmac-sha2-256
    #
    aaa
     authentication-scheme default
     authentication-scheme admin_local
     authentication-scheme admin_radius_local
     authentication-scheme admin_hwtacacs_local
     authentication-scheme admin_ad_local
     authentication-scheme admin_ldap_local
     authentication-scheme admin_radius
     authentication-scheme admin_hwtacacs
     authentication-scheme admin_ad
     authorization-scheme default
     accounting-scheme default
     domain default
      service-type internetaccess ssl-vpn l2tp ike
      internet-access mode password
      reference user current-domain
     manager-user audit-admin
      password cipher @%@%Zrwy:l}UIX`r(g+IY`OVqb^q${UL$9Sr[@{C_yFj6fV)b^tq@%@%
      service-type web terminal
      level 15
    
     manager-user api-admin
      password cipher @%@%RbIt"|>Pz2NW1b@+[5@*lAb@{Q@w,<X<\:FM\\"=aDmHAbCl@%@%
      level 15
    
     manager-user admin
      password cipher @%@%/#t."\i!CN:fcaLL.SLY9e%>]n*,Vrv~4DZU.{&N6r8:e%A9@%@%
      service-type web terminal
      level 15
    
     role system-admin
     role device-admin
     role device-admin(monitor)
     role audit-admin
     bind manager-user audit-admin role audit-admin
     bind manager-user admin role system-admin
    #
    l2tp-group default-lns
    #
    interface GigabitEthernet0/0/0
     undo shutdown
     ip binding vpn-instance default
     ip address 192.168.0.1 255.255.255.0
     alias GE0/METH
     service-manage http permit
     service-manage https permit
     service-manage ping permit
     service-manage ssh permit
     service-manage snmp permit
     service-manage telnet permit
    interface Virtual-if0
    #
    interface NULL0
    #
    firewall zone local
     set priority 100
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
    #
    firewall zone untrust
     set priority 5
    #
    firewall zone dmz
     set priority 50
    #
    ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/2 1.1.1.2 track ip-link Linkt
    est description 链路故障检测
    ip route-static 1.1.1.100 255.255.255.255 NULL0 track ip-link Linktest
    ip route-static 1.1.1.105 255.255.255.255 NULL0 track ip-link Linktest
    #
    undo ssh server compatible-ssh1x enable
    ssh authentication-type default password
    ssh server cipher aes256_ctr aes128_ctr
    ssh server hmac sha2_256 sha1
    ssh client cipher aes256_ctr aes128_ctr
    ssh client hmac sha2_256 sha1
    #
    firewall detect ftp
    #
     nat server FTP zone untrust protocol tcp global 1.1.1.100 ftp inside 10.1.2.1 f
    tp no-reverse unr-route
    #
    user-interface con 0
     authentication-mode aaa
    user-interface vty 0 4
     authentication-mode aaa
     protocol inbound ssh
    user-interface vty 16 20
    #
    pki realm default
    #
    sa
    #
    location
    #
    nat address-group "Nat pool" 0
     mode pat
     section 0 1.1.1.105 1.1.1.106
    #
    nat address-group "DMZ pool" 1
     mode pat
     route enable
     section 0 10.1.2.100 10.1.2.100
    #
    multi-linkif
     mode proportion-of-weight
    #
    right-manager server-group
    #
    device-classification
     device-group pc
     device-group mobile-terminal
     device-group undefined-group
    #
    user-manage server-sync tsm
    #
    security-policy
     rule name FTP
      description 外网访问FTP的安全策略
      source-zone untrust
      destination-zone dmz
      service ftp
      action permit
    #
    auth-policy
    #
    traffic-policy
    #
    policy-based-route
    #
    nat-policy
     rule name Nat
      source-zone trust
      destination-zone untrust
      action source-nat address-group "Nat pool"
     rule name "DMZ NAT"
      source-zone untrust
      destination-zone dmz
      destination-address address-set FTP_Server
      service ftp
      action source-nat address-group "DMZ pool"
    #
    quota-policy
    #
    pcp-policy
    #
    dns-transparent-policy
    #
    rightm-policy
    #
    return
    
    • R1
      显示R1配置
    
    interface GigabitEthernet0/0/0
     ip address 1.1.1.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 12.1.1.1 255.255.255.0 
    #
    interface GigabitEthernet0/0/2
    #
    interface NULL0
    #
    ospf 1 router-id 1.1.1.1 
     area 0.0.0.0 
      network 12.1.1.1 0.0.0.0 
    #
    
    • R2
      显示R2配置
    
    #
    interface GigabitEthernet0/0/0
    #
    interface GigabitEthernet0/0/1
     ip address 12.1.1.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/2
    #
    interface NULL0
    #
    ospf 1 router-id 2.2.2.2 
     area 0.0.0.0 
      network 12.1.1.2 0.0.0.0 
    #
    

    官方参考文档

    官方参考文档: USG6000 NAT和NAT SERVER应用配置案例

    需要华为、H3C全方向认证资料和知名培训机构视频(IA、IP、IE)的同学关注公众号咨询哦。CSDN粉丝有福利!!!

    欢迎关注微信公众号:新网工李白
    “免费获取华为认证学习资料培训机构视频、软考学习资料和求职简历模板。”
    在这里插入图片描述在这里插入图片描述

    展开全文
  • 华为防火墙实现双机热备配置详解

    万次阅读 多人点赞 2019-10-26 15:56:22
    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦...

    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。

    博文大纲:
    一、双机热备工作原理
    二、VRRP协议
    (1)VRRP协议概述
    (2)VRRP的角色
    (3)VRRP的状态机
    (4)VRRP的工作原理
    三、VGMP协议
    (1)VGMP的工作原理
    (2)VGMP的报文封装
    (3)双机热备的备份方式
    (4)连接路由器时的双机热备
    四、实现防火墙双机热备的配置

    一、双机热备工作原理

    随着互联网的发展,现在人们生活中的大多数问题都可以通过网络解决,但与此同时,网络安全问题也逐渐暴露出来。在企业中部署一台防火墙已然成为常态。如何能够保证网络不间断地传输成为网络发展中急需解决的问题!


    企业在关键的业务出口部署一台防火墙,所有的对外流量都要经过防火墙进行传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能有多好,功能有多么强大。在这一刻,都无法挽回企业面临的损失。所以在企业的出口部署两台防火墙产品,可以在增加企业安全的同时,保证业务传输基本不会中断,因为两台设备同时出现故障的概率非常小。经过图中右边的部署,从拓补的角度来看,网络具有非常高的可靠性,但是从技术的角度来看,还需解决一些问题,正因为防火墙和路由器在工作原理上有着本质的区别,所以防火墙还需一些特殊的配置。


    左图,内部网络可以通过R3→R1→R4到达外部网络,也可以通过R3→R2→R4到达,如果通过R3→R1→R4路径的cost(运行OSPF协议)比较小,那么默认情况,内部网络将通过R3→R1→R4到达外部网络,当R1设备损坏时,OSPF将自动收敛,R3将通过R2转发到达外部网络。

    右图,R1、R2替换成两台防火墙,默认情况下,流量将通过FW1进行转发到达外部网络,此时在FW1记录着大量的用户流量对应的会话表项内容,当FW1损坏时,通过OSPF收敛,流量将引导FW2上,但是FW2上没有之前流量的会话表,之前传输会话的返回流量将无法通过FW2,而会话的后续流量需要重新经过安全策略的检查,并生成会话。这就意味着之前所有的通信流量都将中断,除非重新建立连接。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Ck6Uibz-1572076553073)(https://s1.51cto.com/images/blog/201910/25/f7ec2d4fe×××64fae8d10e55377049.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)]
    如图,华为防火墙的双机热备功能是通过提供一条备份链路(心跳线)、协商防火墙之间的主备状态及备份会话表、Server-map表等操作。根据防火墙的配置分别选举出主用设备及备用设备,当主用设备正常工作时,备用设备不提供数据包的转发,但是备用设备会实时从主用设备下载当前的会话表及Server-map表。从而保证,当主用设备故障时,即使切换到备用设备,备用设备依然存在当前流量的会话表及Server-map表,从而保证业务流量不中断。

    在双机热备环境中,要求如下:
    (1)两台防火墙用于心跳线的接口加入相同的安全区域;
    (2)两台防火墙用于心跳线的接口的设备编号必须一致,比如都是G1/0/0;
    (3)建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本;

    华为防火墙的双机热备包含以下两种模式:

    • **热备模式:**同一时间只用一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表;
    • **负载均衡模式:**同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表;

    关于华为防护墙的热备模式和负载均衡模式如图:

    二、VRRP协议

    在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主用设备故障时,客户机并不会将网关自动指向备用设备,所以即使双机热备本身可以切换、客户机依然无法正常通信。所以要保证双机热备可以正常工作,还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题,甚至还能让设备切换对客户机而言是透明的。在华为防火墙的双机热备技术中,VRRP是非常重要的一个组成部分。

    (1)VRRP协议概述

    VRRP(虚拟路由冗余协议)由IETF进行维护。用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双击热备。

    VRRP的基本概念如下:
    (1)VRRP路由器:运行VRRP协议的路由器;
    (2)虚拟路由器:由一个主用路由器和若干备用路由器组成的一个备份组,一个备份组对客户机提供一个虚拟网关;
    (3)VRID:Virtual Router ID,虚拟路由器标识,用来唯一的表识一个备份组;
    (4)虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应;
    (5)虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器提供该MAC地址;
    (6)IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真是IP地址,那么该成员被称为IP地址拥有者;
    (7)优先级:用于表示VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备;
    (8)抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器;
    (9)非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等);

    VRRP的工作原理与Cisco设备基本相同,只有一些细节上的一些区别,如图:

    (2)VRRP的角色

    工作在VRRP模式下的路由器有两种角色,分别是:

    • Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前的状态信息;
    • Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不间断;

    (3)VRRP的状态机

    VRRP定义了三种工作状态,如下:

    • **Initialize状态:**刚配置VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时将进入该状态;
    • **Master状态:**当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将虚拟MAC地址回应客户机。当接口关闭时,将立即切换至Initialize状态;
    • **Backup状态:**当前设备选举成为备用路由器的一种状态。该状态下不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息;

    三种状态之间的切换关系如图:

    Initialize状态是VRRP的初始状态,当接口shutdown时,无论路由器处于Master状态还是Backup状态,都将立即切换至Initialize状态;当路由器配置IP地址拥有者时,其优先级默认为255,此时路由器直接由Initialize状态切换至Master状态;当路由器不是IP地址拥有者时,其优先级< 255,此时路由器直接由Initialize状态切换至Backup状态;处于Master状态的路由器如果收到优先级更大的VRRP报文,将由Master状态切换至Backup状态,而Backup状态的路由器如果收到一个优先级更大或者本地优先级相等的报文(通常是由Master路由器发出),将重置Master_DOWN_Interval计时器,如果一直没有接收到Master路由器发送的VRRP通过报文,待Master_DOWN_Interval计时器超时后,将由Backup状态切换至Master状态。

    **注意:**除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即时路由器的优先级最高,也需要从Backup状态过渡到Master状态。此时Backup状态只是一个瞬间的过渡状态。

    (4)VRRP的工作原理

    VRRP选举Master路由器和Backup路由器的流程如下:
    首先选举优先级高的设备成为Master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为Master路由器,而备份组中其他的路由器将成为Backup路由器。

    VRRP中的默认接口优先级值为100,取值范围为0~255。其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,优先级默认是255。

    VRRP的工作原理如图:

    故障切换过程:
    默认情况下,Master设备(FW1)会周期性(每1s)地向Backup设备发送VRRP通告,而Backup设备每次收到VRRP通告,就将Master_DOWN_Interval计时器重置为0。当Master设备出现故障,无法发出VRRP通告报文时,Backup设备将无法接收到VRRP,在Master_DOWN_Interval超时后,将直接由Backup状态切换为Master状态,FW2代替FW1成为新的Master设备。同时会向下游交换机发出免费ARP报文,以更新下游交换机的MAC地址表。而后续客户机发起的针对虚拟IP的ARP请求报文,FW2将直接代为回应,客户机发出的报文也将由FW2转发,而这一切变化对客户机而言都是透明的。因为虚拟IP地址仍然可用!

    当FW1解决故障恢复正常运行时,因为FW1的优先级配置比FW2高,在抢占模式下,其将直接成为Master设备,而FW2再次回到Backup状态;在非抢占模式下,FW2依然是Master设备,而FW1成为Backup设备。

    **建议:**当Master设备和Backup设备性能相差不大,同时网络规模较大时,建议配置为非抢占模式,因为这样可以减少网络的波动。

    三、VGMP协议

    (1)VGMP的工作原理

    如果仅仅使用双机热备+VRRP就会出现以下情况:

    造成以下现象的原因是两个VRRP备份组各自独立工作,,那么有没有什么办法可以使两个备份组协同工作,以保证设备在两个备份组的状态一致性呢?就需要使用到——VGMP协议。

    VGMP(VRRP组管理协议)用来实现VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和Standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。

    VGMP的工作原理:

    • VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理;
    • VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby;
    • 默认情况下,VGMP组的优先级为45000;
    • VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2;
    • 通过心跳线协商VGMP状态信息;

    VGMP的工作原理:

    **注意:**在加入了VGMP组之后,VRRP中的状态标识从Master和Backup变成Active和Standby。

    (2)VGMP的报文封装

    VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如图:

    左图中,当心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息;
    右图中,心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播;

    在实际应用中,应根据实际的拓补灵活选择报文封装。在华为防火墙中,通过以下命令指定接口发送的报文属于哪种类型的封装。

    [USG6000V1]hrp int g 1/0/0                         //eNSP模拟器不支持这条命令
    [USG6000V1]hrp int g 1/0/0 remote 1.1.1.1
    

    其中hrp命令用来指定用于心跳链路的接口,带remote参数的命令表示报文将封装UDP,并发送单播报文,不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端是被(心跳线对端接口)的IP地址,该地址要求可路由,只有指定remote参数时才需要指定。

    注意:

    • 加入VGMP后,心跳线的作用包含状态信息备份(会话表和Server-map表)及VGMP状态协商;
    • 华为防火墙在默认情况下放行组播流量(不带remote参数的VGMP报文),禁止单播流量(带remote参数的VGMP报文),所以配置了remote参数,还需要配置Local区域和心跳接口区域之间的安全策略;
    • 配置了虚拟IP地址的接口不能作为心跳口;
    • 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入VLAN,在VLAN中配置心跳接口;
    • eNSP模拟器中,及时心跳接口之间相连,也必须配置remote参数,否则无法配置;

    (3)双机热备的备份方式

    双击热备的备份方式包括以下三种:

    • **自动备份:**该模式下,和双机热备有关的配置命令只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中,该模式是华为防火墙的默认开启模式,主要应用于热备模式;
    • **手工批量备份:**该模式下,主用设备上所有的配置命令和状态信息,只有在手工指定批量备份命令时才会自动同步到备用设备,该模式主要应用于主、备设备配置不同步,需要立即进行同步的场景中;
    • **快速备份:**该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备环境中,该模式必须启用,以快速更新状态信息;

    (1)开启双击热备功能

    [USG6000V1]hrp enable
    HRP_S[USG6000V1]                    //开启双机热备后,提示符发生变化
    

    (2)配置自动备份模式

    HRP_M[USG6000V1]hrp auto-sync 
    

    开启双机热备后,执行可以同步的命令时会有(+B)的提示

    HRP_M[USG6000V1]security-policy  (+B)
    

    (3)配置手工批量备份模式

    HRP_M<USG6000V1>hrp sync config                                             //表示手工同步命令配置
    HRP_M<USG6000V1>hrp sync connection-status                          //表示手工同步状态信息
    //注意,此命令是在用户视图下执行的
    

    (4)配置快速备份模式

    HRP_M[USG6000V1]hrp mirror session enable 
    

    (4)连接路由器时的双机热备

    当配置双机热备上游或下游是交换设备时,可以通过VRRP检测接口或设备的状态,但是当上游或下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法是监控其接口状态,并配合OSPF实现流量切换。

    通过接口直接加入VGMP组中,当接口故障时(即使对端设备故障,本端接口的物理特性也将关闭),VGMP会感知接口状态变化,从而降低VGMP组的优先级,从Active状态切换至Stabdby状态。而之前的Standby组提升为Active状态。而处于Standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至Active组设备中。

    四、实现防火墙双机热备的配置

    实验拓补:

    案例实施:

    (1)防火墙接口配置IP地址,并加入各自的区域中,并设置相应的安全策略

    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
    [FW1-GigabitEthernet1/0/0]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
    [FW1-GigabitEthernet1/0/1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add int g1/0/0
    [FW1-zone-untrust]quit
    [FW1]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    [FW1-zone-dmz]quit
    [FW1]firewall zone trust 
    [FW1-zone-trust]add int g1/0/2
    [FW1-zone-trust]quit
    [FW1]security-policy 
    [FW1-policy-security]rule name trust_to_untrust
    [FW1-policy-security-rule-trust_to_untrust]source-zone trust 
    [FW1-policy-security-rule-trust_to_untrust]destination-zone untrust 
    [FW1-policy-security-rule-trust_to_untrust]action permit 
    //配置安全策略:内部流量可以到外部
    [FW1-policy-security-rule-trust_to_untrust]quit
    [FW1-policy-security]rule name local_to_dmz
    [FW1-policy-security-rule-local_to_dmz]source-zone local
    [FW1-policy-security-rule-local_to_dmz]destination-zone dmz
    [FW1-policy-security-rule-local_to_dmz]action permit 
    //配置安全策略:从防火墙本身可以到DMZ区域(建立心跳线)
    [FW1-policy-security-rule-local_to_dmz]quit
    [FW1-policy-security]quit
    //FW2的配置与FW1几乎是一模一样的,这里就不多说了
    //注意FW2上也需设置相同的规则
    

    (2)配置VRRP备份组

    FW1的配置如下:

    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active 
    [FW1-GigabitEthernet1/0/2]int g1/0/0
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active 
    

    FW2的配置如下:

    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby 
    [FW2-GigabitEthernet1/0/2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby 
    

    (3)配置心跳接口

    [FW1]hrp int g1/0/1  remote 172.16.1.2
    //FW1指定心跳接口,并指定对端接口IP地址
    [FW2]hrp int g1/0/1 remote 172.16.1.1
    //FW同上,这就是为什么防火墙需要设置从本地到DMZ区域的策略
    

    (4)启用双机热备

    [FW1]hrp enable
    HRP_S[FW1]
    //FW1的配置,命令提示符出现了变化
    [FW2]hrp enable
    HRP_S[FW2]
    //FW2同上
    

    (5)配置备份方式

    HRP_S[FW1]hrp auto-sync
    //配置自动备份
    
    HRP_S[FW2]hrp auto-sync
    

    (6)配置检查及验证
    ①查看双机热备的状态信息

    HRP_M[FW1]display hrp state
     Role: active, peer: standby                            //本端状态为Active,对端为Standby
     Running priority: 45000, peer: 45000            //本端优先级为45000,对端为45000
     Core state: normal, peer: normal
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 9 minutes
     Last state change information: 2019-10-26 6:29:53 HRP core state changed, old_s
    tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
    ty = 45000.
    

    ②查看心跳接口状态

    HRP_M[FW1]display hrp interface 
                 GigabitEthernet1/0/1 : running
    

    ③两台PC配置IP地址及网关(虚拟地址),用PC1pingPC2

    ④查看防火墙的会话表

    HRP_M[FW1]display firewall session table 
     Current Total Sessions : 2
     udp  : public --> public  172.16.1.2:49152 --> 172.16.1.1:18514
     udp  : public --> public  172.16.1.1:49152 --> 172.16.1.2:18514
    

    ⑤PC1持续pingPC2,模拟FW1接口故障

    HRP_M[FW1]int g1/0/2(+B)
    HRP_M[FW1-GigabitEthernet1/0/2]shutdown
    


    ⑥查看FW2双击热备的状态

    HRP_M[FW2]display hrp state
     Role: active, peer: standby (should be "standby-active")               //状态发生了变化                      
     Running priority: 45000, peer: 44998                                             //FW1的优先级减2
     Core state: abnormal(active), peer: abnormal(standby)
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 1 minutes
     Last state change information: 2019-10-26 6:49:06 HRP core state changed, old_s
    tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
    ty = 44998.
    

    实验完成!

    ———————— 本文至此结束,感谢阅读 ————————

    展开全文
  • 配置华为防火墙允许ping 设备

    千次阅读 多人点赞 2021-06-24 10:33:37
    Web配置允许ping设备: 命令行配置允许ping设备: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name local_any //配置策略名称 [FW1-policy-security-rule-local_any]source-zone local //配置...

    Web配置允许ping设备:

    在这里插入图片描述在这里插入图片描述

    命令行配置允许ping设备:

    [FW1]security-policy     //配置安全策略
    [FW1-policy-security]rule name local_any     //配置策略名称
    [FW1-policy-security-rule-local_any]source-zone local     //配置源区域为local 
    [FW1-policy-security-rule-local_any]destination-zone any     //配置目的区域为any
    [FW1-policy-security-rule-local_any]action permit     //动作是允许放行
    [FW1-policy-security-rule-local_any]quit     //退出
    [FW1-policy-security]quit     //退出
    [FW1]
    
    展开全文
  • 华为防火墙的NAT介绍及配置详解

    万次阅读 多人点赞 2019-10-27 14:03:19
    一、华为防火墙NAT的六个分类 二、解决NAT转换时的环路及无效ARP 在特定的NAT转换时,可能会产生环路及无效ARP,关于其如何产生,大概就是,在有些NAT的转换方式中,是为了解决内网连接Internet,而映射出了一个...
  • 配置华为防火墙允许被设备ping

    千次阅读 多人点赞 2021-06-24 10:36:54
    Web配置允许设备ping 命令配置允许设备ping [FW1]int gi1/0/0 //进入接口 [FW1-GigabitEthernet1/0/0]service-manage ping permit //允许接口被ping [FW1-GigabitEthernet1/0/0]quit //退出 [FW1]
  • 配置华为防火墙端口映射

    千次阅读 多人点赞 2021-08-07 20:23:35
    Web配置防火墙安全策略: 如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量 命令配置防火墙安全策略: [FW1]nat server policy_nat_server zone untrust protocol tcp global 202.1.1.1 80 inside ...
  • 查看华为防火墙会话表

    千次阅读 多人点赞 2021-06-24 10:13:46
    Web查看防火墙会话表: 命令行查看防火墙会话表: <FW1>dis firewall session table Current Total Sessions : 19 icmp VPN: public --> public 192.168.1.2:18419 --> 172.16.1.2:2048 icmp VPN: ...
  • 配置华为防火墙将默认的安全策略放行

    千次阅读 多人点赞 2021-06-24 10:14:35
    Web配置将默认的安全策略放行: 命令行配置将默认的安全策略放行: [FW1]security-policy [FW1-policy-security]default action permit Warning:Setting the default packet filtering to permit poses security...
  • 华为防火墙产品介绍及工作原理

    千次阅读 2019-10-23 19:58:34
    华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG...
  • 配置华为防火墙接口IP地址和区域

    千次阅读 多人点赞 2021-06-24 10:47:18
    Web配置防火墙接口IP地址和区域: 命令行配置防火墙接口IP地址和区域: [FW1]int gi1/0/0 //进入接口 [FW1-GigabitEthernet1/0/0]ip address 192.168.1.1 24 //配置接口IP地址 [FW1-GigabitEthernet1/0/0]quit //...
  • 华为防火墙配置IPSec VPN

    千次阅读 2021-05-13 16:09:28
    华为防火墙命令行配置 IPSec VPN-(预共享密钥) 1.网络拓扑如下图 2.项目简述 公司分部192.168.22.0网段需要访问总部的内部资源192.168.11.0网段, AR1-AR2-AR3模拟为运营商 FWA和FWB为各自公司防火墙 3.配置思路 ...
  • 华为防火墙安全策略

    千次阅读 2020-12-11 10:48:39
    因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员...
  • 配置华为防火墙为三层核心交换机SVI

    千次阅读 多人点赞 2021-08-07 20:08:53
    Web配置防火墙三层核心交换机SVI: 配置防火墙接口: 配置防火墙安全区域: 划分VLAN:
  • 配置华为防火墙SSH连接

    千次阅读 多人点赞 2021-08-07 20:21:30
    命令配置防火墙SSH连接: [FW1]rsa local-key-pair create //产生密钥对相当于启用SSH The key name will be: FW1_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than...
  • 华为防火墙简介及其工作原理

    千次阅读 2019-10-26 16:00:52
    防火墙作为一种安全设备被广泛使用于各种网络...这篇博文主要介绍华为防火墙产品及其工作原理。 博文大纲: 一、华为防火墙产品简介 1.USG2110 2.USG6600 3.USG9500 4.NGFW 二、防火墙的工作原理 1.防火墙的工作...
  • 配置华为防火墙缺省路由

    千次阅读 多人点赞 2021-06-24 10:31:19
    Web配置缺省路由: 命令行配置缺省路由: [FW1]ip route-static 0.0.0.0 0 202.1.1.2
  • 配置华为防火墙安全策略

    千次阅读 多人点赞 2021-06-24 10:09:31
    Web配置防火墙安全策略: 命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust /...
  • 华为防火墙安全区域介绍及配置

    千次阅读 2021-04-25 10:51:04
    防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外 一个安全区域的网络***和入击行为。从防火墙的定义中可以看出防火墙是基于安 全区域的,其它厂商(Cisco,Juniper 等)都是有这个概念的...
  • 华为防火墙端口回流问题及解决

    千次阅读 2020-09-03 08:32:53
    问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip...做法是在防火墙的出口,...
  • 华为防火墙忘记密码,使用console口更改密码 1.连接好Console线,确认电脑com端口。 2.打开CRT,创建连接如下图 3.连接后重启防火墙,直到看到提示信息“Press Ctrl+B to Enter Main Menu…3”时按下Ctrl+B,入Boot...
  • 你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。 拓扑图 步骤一. 基本配置与IP编址 给路由器和防火墙配置地址,并配置静态路由,在交换机上配置VLAN。 <Huawei>system...
  • 配置华为防火墙允许对tracert路探测回显

    千次阅读 多人点赞 2021-08-07 20:19:09
    命令配置防火墙允许对tracert路探测回显: <R1>tracert 202.1.1.1 traceroute to 202.1.1.1(202.1.1.1), max hops: 30 ,packet length: 40,press CTRL _C to break 1 * * * 2 202.1.1.1 80 ms 30 ms ...
  • 华为防火墙接口类型

    千次阅读 2021-03-18 09:20:18
    防火墙接口类型  物理接口 1) 防火墙支持的接口可以是二层接口或者三层接口 2) 二层接口:portswitch 3) 三层接口:undo portswitch  逻辑接口 1) VT(virtual template)接口、dialer接口 2) tunnel接口...
  • ensp模拟器华为防火墙web界面登录

    千次阅读 多人点赞 2021-01-18 15:04:14
    打开网络连接,设置环回口IP,因为防火墙ip是192.168.0.1/24,此处设置相同网段的不同地址即可 右击属性 搭建拓扑图 运行防火墙 打开设备 用户名默认:admin 密码默认:Admin@123 输入...
  • 初始华为防火墙

    千次阅读 2020-04-10 18:25:46
    前言 防火墙作为一种安全设备被广泛使用于各种网络环境中,它在网络间起到隔离作用。华为作为著名的网络设备...USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其...
  • 华为防火墙基础配置

    千次阅读 2020-01-03 11:51:34
    网络拓扑如下,根据拓扑图,设置网关,设置接口,创建安全域ISP,接口加入安全域,创建安全策略,查看防火墙详细会话表并对各项做简要介绍。分步骤如下: 1、基础拓扑图如下: 2、防火墙先配置网关,主机配置在...
  • 超级详细的华为防火墙基础知识

    千次阅读 2021-06-03 13:27:48
    文章整理自《华为防火墙技术漫谈》 1.1 什么是防火墙 防火墙,顾名思义,阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。 引入到通信领域,防火墙也形象化地...
  • 一:华为防火墙基础理论 1.1:华为防火墙产品介绍 1.2:华为防火墙的工作模式 1.3:华为防火墙的安全区域 1.4:华为防火墙的inbound和outbound 1.5:华为防火墙的状态化信息 1.6:华为防火墙策略的特点 二:华为...
  • 华为防火墙基本配置-支持非阿里云服务器防御,业界知名的WEB漏洞防护,每天更新防护规则,1分钟快速接入,轻松阻挡SQL注入,XSS,远程文件 ,TOP10攻击,同时具备CC攻击。企业中经常使用的一些防火墙技术,给你打下扎实的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,225
精华内容 4,890
关键字:

华为防火墙