精华内容
下载资源
问答
  • USG5500 统一安全网关 典型配置案例
  • 华为防火墙USG5500

    千次阅读 2019-06-08 16:45:18
    华为防火墙USG5500重点:什么是防火墙;防火墙基础;防火墙功能配置一.什么是防火墙:1.什么是防火墙:防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界...

    华为防火墙USG5500
    重点:什么是防火墙;防火墙基础;防火墙功能配置
    一.什么是防火墙:
    1.什么是防火墙:
    防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。
    2.对比交换机路由器及防火墙:
    1)交换机:组建局域网、通过二层或三层交换快速转发报文;
    2)路由器:连接不同网络、通过路由协议实现互联互通、确保报文转发到目的地;
    3)防火墙:部署在边界,对进出网络的访问行为进行控制,安全防护是核心特性;
    总结:路由器和交换机的本质是转发,防护墙的本质是控制。
    3.防火墙发展历史及特点:
    1)访问控制越来越精确;
    2)防护能力越来越强;
    3)处理性能越来越高;
    4.防火墙接口、网络和安全区域的关系:
    1)安全区域(security zone):简称区域(zone)是一个或多个接口的集合,作用是划分网络、标识表文流动的“路线”;当报文在不同安全区域之间流动时才会受到控制;
    2)防火墙接口、网络、安全区域的关系:接口连接网络、接口再加入到区域,实现通过接口把安全区域和网络关联起来,通常说某个安全区域即表示安全区域中接口所在网络;(注意华为防火墙,一个接口只能加入到一个安全区域)
    3)华为防火墙默认安全区域:
    trust区域:受信任程度高,通常为内部用户所在网络;
    DMZ区域:受信任程度中等,通常为内部服务器所在网络;
    untrust区域:不受信任的网络,通常为Internet等不安全的网络;
    local区域:防火墙本身,凡是由防火墙主动发出的报文均为local区域发出,凡是需要防火墙响应并处理(非转发)的报文均为local区域接收;local区域不能添加任何接口;
    4)安全级别(受信任程度):1-100(数越大越可信)、local=100、trust=85、DMZ=50、untrust=5;
    5)报文在两个安全区域之间流动的规则:
    inbound(入方向):报文从低级别的安全区域向高级别的安全区域流动;
    outbound(出方向):报文从高级别的安全区域向低级别的安全区域流动;
    6)防火墙通过安全级别划分等级明确的区域,连接各个网络,实现各个网络之间流动的报文(数据传输流向)实施控制。
    5.防火墙如何判断报文在哪两个区域之间流动?
    1)确认目的安全区域:查表(路由表、MAC地址表)确认转发的接口,接口所在的区域即为目的安全区域;
    2)确认原安全区域:反查路由表确认原安全区域;
    注意:确定报文的源和目的安全区域是精确配置安全策略的前提条件。
    二.华为防火墙基础配置:
    1.华为防火墙配置安全区域:
    系统试图:新建或进入安全区域:firewall zone name 区域的名称
    区域试图:设置安全级别(0-100):set prio 安全级别
    区域试图:添加接口到区域:add int 接口编号
    系统试图:查看区域配置:display zone
    2.状态检测防火墙:
    状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。为数据流的第一个报文建立会话,数据流内的后续报文直接配置会话转发,不需要再进行规则的检查,提高转发效率。
    3.防火墙会话:
    1)会话:通信双方建立的连接在防火墙上的具体体现,代表两者的连接状态,一条会话表示通信双方的一个连接,防火墙上的多条会话的集合叫做会话表(session table);
    2)五元组:一条连接(即一个会话)由源地址、源端口、目的地址、目的端口和协议五个元素唯一确认,即只要这5个元素相同的报文即可任务属于同一条会话流。没有目标端口的协议防火墙使用固定值,如ICMP:ID=源端口、2048=目的端口;IPSsec(×××:AH认证头/ESP:封装安全载荷):源、目的端口=0.
    4.华为防火墙排错命令:
    系统试图:查看区域:display zone
    系统试图:查看丢包:dis firewall statistic system discard
    系统试图:查看会话表:dis Firewall session table verbose
    系统试图:修改dns老化时间为3秒:firewall session aging-time dns 3(内网有大量dns查询,修改老化时间,避免内存耗尽)
    三.防火墙功能配置:
    1.配置DHCP:
    接口试图:配置DHCP:dhcp select int-->dhcp server gateway 网关-->dhcp server dns dns服务器地址-->q
    2.配置SNAT内网上网:
    1)配置NAT策略:
    进入nat配置试图:nat-policy interzone 高区域1 低区域2 outbound
    nat配置试图:新建策略1:policy 1
    策略配置试图:指定源网段:policy source 源网段 反码
    策略配置试图:启用SNAT:action source-nat
    策略配置试图:指定nat类型:easy-ip 外网接口编号
    策略配置试图:退出:return
    2)配置安全策略:
    系统试图:进入安全策略配置试图:policy interzone 高区域1 低区域1 outbound
    安全策略配置试图:新建策略:policy 1
    策略配置试图:policy source 源网段 反码
    策略配置试图:设置策略为允许:action permit-->return
    3)配置动态NAPT:
    系统试图:定义地址池:nat address-group 组号 开始地址 结束地址
    策略配置试图:指定nat类型:address-group 组号
    其他配置与easy-ip相同。
    3.华为防火墙安全策略:
    1)安全策略基于安全区域之间关系来呈现,其内容包括条件(端口和地址)+动作(permit允许或deny拒绝);
    2)安全策略的匹配顺序:从上到下顺序匹配,匹配即停止,无匹配默认拒绝;
    3)华为防火墙安全策略发展历程:ACL五元组(usg2000/5000支持)-->UTM(usg2000/5000支持)-->一体化安全策略(usg6000支持)
    UTM(统一威胁管理)配置语法:policy interzone 源区域 目标区域 outbound或inbound-->policy 名称-->policy source或destination 网段或ip-->action deny或permit
    一体化安全策略配置语法:security-policy-->rule name 名称-->source-zone 源区域-->destination-zone 目标区域-->source-address 原地址-->action deny或permit;
    4)ASPF(应用层包过滤):根据报文应用层中的信息动态生成server-map表项,即简化安全策略的配置又确保安全性,ASPF是一种穿越防火墙的技术,ASPF生成的server-map表项,相当于在防火墙上打开一个通道,使类似于FTP(qq、msn)的多通道协议的后续报文不受安全策略的控制,利用该通道即可穿越防火墙。
    ASPF配置语法:firewell interzone trust unstrust -->detect {ftp|qq|msn}
    注意:ASPF的服务支持自定义。
    5)华为防火墙安全策略配置思路和故障排除:
    安全策略配置思路:配置默认包过滤为允许-->对业务进行调试-->查看会话表并以其中记录的信息为匹配条件配置安全策略-->最后恢复默认包过滤策略配置-->调试业务
    故障排除:dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改变策略顺序

    4.华为防火墙负载均衡:
    1)负载均衡是一种集群,由多台服务器共同处理任务,实现统一对外,处理大量任务。
    2)配置负载均衡:
    系统视图:启用负载均衡(SLB):slb enable
    slb视图:设置远端服务器:rserver 1 rip 服务器ip地址 weight 权重
    slb视图:新建组:group 负载均衡组名
    slb组视图:设置调度算法:metric 算法
    slb组视图:添加远端服务器:addrserver 1
    slb视图:设置集群vip:vserver grp vip 集群ip地址 group slb组 vport 集群端口 rport 真实服务器端口
    系统视图:查看:dis slb group slb组

    5.华为防火墙nat-server发布内网服务:
    1)nat server的server-map表中包括正向表项和反向表项,正向表项记录服务器私网地址及端口和公网地址及端口的映射关系,作用是在公网用户访问服务器时对报文的目的地址做转换;
    反向表项作用是当私网服务器主动访问公网时,可以直接使用该表项的源地址,将私网地址转换为公网地址,而不用再单独为服务器配置源SNAT策略;
    即一条命令同时打通私网服务器和公网之间出入两个方向的地址转换通道。
    2)nat-server发布内网服务配置语法:
    系统试图:发布内网服务:nat server protocol tcp global 公网地址 端口 inside 内网服务器地址 端口
    3)发布内网服务器安全策略配置:
    注意:策略的目的地址是服务器私网地址,而不是服务器对外映射公网地址,为了避免路由环路,nat server需要配置黑洞路由。
    4)DNAT安全策略配置语法:
    policy interzone dmz untrust inbound-->policy 1-->policy destination 服务器私网ip地址 0 -->policy service service-set 服务 -->action permit -->return
    5)配置黑洞路由的语法:ip route-static 公网ip地址 32 null 0

    转载于:https://blog.51cto.com/14381205/2406353

    展开全文
  • 10台PC,4台交换机S5700,2台路由器AR2220,2台服务器server,1台防火墙USG5500。 2,目标 ①Trust区域各个主机可以互联 ②trust区域内各个主机可以访问dmz ③trust区域内192.168.2.0/24网段不能访问外网untrust...

    一、设备清单及目标

    1,设备

    10台PC,4台交换机S5700,2台路由器AR2220,2台服务器server,1台防火墙USG5500。

    2,目标

    ①Trust区域各个主机可以互联

    ②trust区域内各个主机可以访问dmz

    ③trust区域内192.168.2.0/24网段不能访问外网untrust区域,.1.0/24可以

    ④开启域名服务器使trust内192.168.1.0/24可以直接ping域名。

    二、拓扑图

     三、配置

    1,PC

    PC1:IP/掩码 192.168.1.1/24,GW192.168.1.254

    PC2:IP/掩码 192.168.1.2/24,GW192.168.1.254

    PC3:IP/掩码 192.168.1.3/24,GW192.168.1.254

    PC4:IP/掩码 192.168.2.1/24,GW192.168.2.254

    PC5:IP/掩码 192.168.2.2/24,GW192.168.2.254

    PC6:IP/掩码 192.168.2.6/24,GW192.168.2.254

    PC7:IP/掩码 3.3.3.1/24,GW3.3.3.254,作为www.baidu.com主机

    PC8:IP/掩码 3.3.3.2/24,GW3.3.3.254,作为www.taobao.com主机

    PC9:IP/掩码 4.4.4.1/24,GW4.4.4.254,作为www.jd.com主机

    PC10:IP/掩码 4.4.4.2/24,GW4.4.4.254,作为www.sina.com.cn主机

    2,交换机

    4台交换机直连都处于同一网段不需额外配置

    3,路由器

    R1:

    Sy

    Sy R1

    Int g0/0/0

    Ip add 192.168.1.254 24

    Un sh

    Int g0/0/1

    Ip add 192.168.2.254 24

    Un sh

    Int g0/0/2

    Ip add 172.16.1.1 24

    Un sh

    Ip route-static 0.0.0.0 0 172.16.1.2

    R2:

    Sy

    Sy R2

    Int g0/0/0

    Ip add 172.16.3.2 24

    Un sh

    Int g0/0/1

    Ip add 3.3.3.254 24

    Un sh

    Int g0/0/2

    Ip add 4.4.4.254 24

    Un sh

    Ip route-static 0.0.0.0 0 172.16.3.1

     4,防火墙

    FW1:

    sy

    Sy FW1

    Int g0/0/0

    Ip add 172.16.1.2 24

    Un sh

    Int g0/0/1

    Ip add 172.16.2.1 24

    Un sh

    Int g0/0/2

    Ip add 172.16.3.1 24

    Un sh

    Q

    Firewall zone trust

    Add int g0/0/0

    Q

    Firewall zone untrust

    Add int g0/0/2

    Q

    Firewall zone dmz

    Add int g0/0/1

    Q

    Ip route-static 192.168.1.0 24 172.16.1.1

    Ip route-static 192.168.2.0 24 172.16.1.1

    Ip route-static 3.3.3.0 24 172.16.3.2

    Ip route-static 4.4.4.0 24 172.16.3.2

    Policy interzone trust untrust outbound        //建立trust和untrust区域间有高到低的转发策略

    Policy 1

    Policy source 192.168.2.0 0.0.0.255

    Action deny        //拒绝trust内该网段访问untrust

    Q

    Policy 2

    Policy source 192.168.1.0 0.0.0.255

    Action permit        //允许trust内该网段访问untrust

    Q

    Policy interzone trust dmz outbound        //建立trust和dmz间由高到低的转发策略

    Policy 3

    Action permit        //允许整个trust访问dmz

    5,服务器

    Server1:IP/掩码172.16.2.2/24,GW172.16.2.1 

     

    Server2:IP/掩码 4.4.4.4/24,GW4.4.4.254

     

    四、实验结果

     ①trust内主机互ping

     

    ②trust域内主机ping通dmz内服务器

     

     

    ③被限制访问外网的主机无法访问untrust,其它主机可以访问,甚至直接ping域名

     

     

    五、注意事项

    使用域名服务器时不要忘记点击“开启”,捣鼓半天ping域名显示不可达,无语…….

     

     

     

    展开全文
  • 华为USG5500防火墙配置实验1、实验拓扑内网:192.168.0.0/24外网:192.168.1.0/24其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址2、具体配置命令AR1system-view[Huawei]sysnameAR1[AR1]interfaceg0/0/0...

    华为

    USG5500

    防火墙配置实验

    1

    实验拓扑

    内网:

    192.168.0.0/24

    外网:

    192.168.1.0/24

    其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址

    2

    、具体配置命令

    AR1

    system-view

    [Huawei]sysname AR1

    [AR1]interface g0/0/0

    [AR1-GigabitEthernet0/0/0]ip address 192.168.0.150 24

    [AR1-GigabitEthernet0/0/0]quit

    退出

    [AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

    配置默认路由

    AR1

    开启

    Telnet

    服务

    [AR1]user-interface vty 0 4

    开启远程线程

    [AR1-ui-vty0-4]au

    [AR1-ui-vty0-4]authentication-mode password

    认证方式为

    password

    Please configure the login password (maximum length 16):888

    登录密码

    [AR1-ui-vty0-4]user privilege level 3

    设置用户等级

    [AR1-ui-vty0-4]

    AR2

    system-view

    [Huawei]sysname AR2

    展开全文
  • Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代万兆统一安全网关。USG5500 集大容量交换与专业安全于一体,在3U的平台上提供了超过30G的处理能力,以用户为核心的安全策略融合了IPS...

    Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代万兆统一安全网关。USG5500 集大容量交换与专业安全于一体,在3U的平台上提供了超过30G的处理能力,以用户为核心的安全策略融合了IPS、AV、URL 过滤,应用程序控制,邮件过滤等行业领先的专业安全技术,可精细化管理1000余种网络应用,同时传承了USG 产品族优异的防火墙、VPN 及路由特性,为用户打造更高速、更高效、更安全的网络。

    性能优异,稳定可靠

    万兆防火墙吞吐,万兆VPN吞吐,超大容量NAT转换能力

    全系列支持万兆接口,最高可扩展56个千兆+14个万兆接口

    关键部件冗余配置,成熟的链路转换机制,电信级可靠性设计

    专业安全防御

    基于赛门铁克全球领先的反病毒技术,提供99%精准检出率

    基于赛门铁克先进的IPS,提供最高检测率和最低的漏报误报率

    完善的反垃圾邮件能力,保护企业邮件服务器安全;根据邮件正文、标题、关键字、附件属性来控制员工的邮件行为,避免邮件泄密和不安全因素的引入

    智能上网行为管理

    应用控制:1000多种应用协议识别、控制、限流,保证主要业务的畅通,提升员工工作效率

    WEB过滤:6500万海量URL过滤,搜索引擎关键字过滤、页面关键字过滤,规范员工上网行为、减少企业法律风险

    丰富的报表:从用户、应用、流量、行为等多维度真实呈现用户上网行为

    灵活配置

    以用户为核心的安全策略,基于用户的访问控制、限流、网络应用控制和内容安全、策略路由等技术,提供细粒度的控制权限

    一体化策略设计:所有配置统一入口,减少跳转,简化配置,避免漏配

    基于WEB界面的专业配置向导,全面提升管理员操作体验

    产品系列

    图片型号

    USG5530S

    USG5530

    USG5550

    USG5560

    展开全文
  • 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2....
  • 真机登录USG5500时只需要安全区域、配置端口ip,开启端口服务及SRG的telnet服务即可 拓扑如下 Cloud配置 注意:虚拟网卡需手动创建 配置命令 sys un in en int g0/0/1 ip add 192.168.43.2 24 service-...
  • 防火墙基本配置什么是防火墙?防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制...
  • 问题:交换机S5700与防火墙USG5500无法对接Eth-trunk LACP-static模式,两端正常配置后,端口状态显示错误,Eth-trunk端口无法up 。问题描述:交换机侧 GE0/0/5和GE 0/0/6 组成Eth-trunk3 通过LACP-static与防火墙...
  • ENSP防火墙USG5500 NAT/FTP配置

    千次阅读 2020-01-16 15:54:33
    常见的企业的NAT场景的配置过程。这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。由于该企业只有一个公网IP资源,已经作为设备连接外网的接口的IP地址,所以使用easy-ip方式借用这个接口的IP...
  • USG5500作为安全设备被部署在业务节点上。其中上下行设备均为交换机,USG5300A,USG5300B分别充当主设备和备用设备,且均工作在路由模式下。 网络规划如下: •需要保护的网段地址为192.168.1.0/24,与USG5300的...
  • USG5500 配置地址池和easy-ip双出口NAT

    千次阅读 2018-11-07 21:37:09
    一、组网需求: 1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6...
  • USG5500-通过多ISP接入Internet(基于链路带宽负载分担)
  • USG5500-通过多ISP接入Internet(基于源地址的多出口)
  • USG5500-通过多ISP接入Internet(基于ISP目的地址的多出口)
  • USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
  • 华为USG5500和USG6000的一些配置命令

    万次阅读 2016-08-20 12:01:54
    USG6000: security-policy rule name policy-name source-zone trust destination-zone dmz source-address address-set pc-1 destination-address 192.168.5.2 32 service server ...
  • 为何S5700交换机通过trunk直连防火墙USG5500,都互相无法ping通。FW1:#interface Vlanif10ip address 10.10.10.2 255.255.255.0#interface GigabitEthernet0/0/1portswitchport link-type trunkport trunk permit ...
  • 华为防火墙USG5500-企业双ISP出口

    千次阅读 2018-04-15 22:14:00
    # 创建IP-Link 2,用于侦测USG到目的地址为100.1.12.2之间的链路可达性。 ip-link 2 destination 100.1.12.2 mode icmp ip route-static 0.0.0.0 0.0.0.0 200.1.12.2 track ip-link 1 # 配置缺省路由,指定下一...
  • 华赛防火墙USG2200&5500web配置方式
  • USG5500、S5700

    千次阅读 2015-11-30 16:40:45
    华为USG6000系列配置手册: ...一、基本命令usg5500防火墙 system-view [SRG]sysname hunan #更改名称 [hunan] [hunan]interface GigabitEthernet0/0/0 #进入接口 10:35:29 2015/11/30 [hunan-Gigabi
  • 华赛USG5500系列统一安全网关,华赛USG5500系列统一安全网关,华赛USG5500系列统一安全网关
  • USG5300/5500系列产品通用文档(V1.07) 以下文档为适用于USG5300/5500版本的通用文档,文档中可能包含当前产品不支持的特性,具体特性支持情况请查阅《特性支持》。 特性支持 本文档提供USG系列产品的特性支持情况...
  • USG5500 V300R001C00 版本对外测试用例.doc
  • 华赛USG5000配置入门
  • Secospace USG2100&BSR;&HSR; V300R001C10SPC600 Software.zip

空空如也

空空如也

1 2 3 4 5 ... 11
收藏数 209
精华内容 83
关键字:

usg5500

友情链接: MVSC-master.zip