精华内容
下载资源
问答
  • 组合,防火墙、入侵检测等设备在企业网络中使用得越来越多,网络安全也变得越来越 重要。特别是最近几年出现的各种安全问题,使得企业纷纷加大对安全设备方面的投入。 在世界范围内,能够提供安全服务的厂商有很多,...
  • USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
  • 华为防火墙典型配置案例,主要介绍了防火墙NAT,HA,策略等功能的实际配置案例。
  • 华为防火墙基本配置-支持非阿里云服务器防御,业界知名的WEB漏洞防护,每天更新防护规则,1分钟快速接入,轻松阻挡SQL注入,XSS,远程文件 ,TOP10攻击,同时具备CC攻击。企业中经常使用的一些防火墙技术,给你打下扎实的...
  • 华为防火墙的PPPOE拨号配置。挺实用的
  • 回顾: 1,HUB ------所有的接口都属于一个冲突区域------直接抓取网络... 路由器、防火墙、行为管理 3,中间人攻击 --MITM 常见的方法:ARP欺骗 、DNS欺骗 等 ARP欺骗原理:能表述出来 4, window —EVILFOCA —

    回顾:
    1,HUB ------所有的接口都属于一个冲突区域------直接抓取网络流量
    2,交换机 ----每个端口都是一个独立的冲突区域,所有端口都属于一个广播区域,VLAN1
    两个接口通信,不会影响其他接口
    -----端口镜像 ----观察口-----网络监控平台
    ----镜像口-----数据接口

    	路由器、防火墙、行为管理 
    

    3,中间人攻击 --MITM
    常见的方法:ARP欺骗 、DNS欺骗 等

          ARP欺骗原理:能表述出来 
    

    4, window —EVILFOCA —物理机/虚拟机

          客户端-------交换机-------FTP服务器
                                |
                                网云---VM8 
                                |
                                物理机--EVIL --VM8
    

    5,KALI —ettercap

          客户端-------交换机-------FTP服务器
                                |
                                网云---VM8 
                                |
                                KALI--ettercap --VM8   
    

    6,ARP欺骗防护 :
    WIN7 /2008客户端-------交换机-------FTP服务器
    |
    网云—VM8
    |
    KALI–ettercap --VM8

        2008:		
                 ARP 绑定:   arp  -d  服务器IP
                                       arp  -s  服务器IP   服务器MAC
    
        win7:  CMD 管理员
                 netsh  i  i sh in
                 netsh -c  i i  add  ne 网卡编号  服务器IP   服务器MAC           
                 netsh -c  i i  del  ne 网卡编号
    

    1,路由器的作用------通
    防火墙的作用------控制

    2,常见的部署位置: 互联网边界
    企业内部不同部门之间

    3,防火墙发展历史: 包过滤—应用代理—状态监测—UTM—下一代防火墙—AI


    4,防火墙实验 环境: 防火墙-----网云VM8-------KALI
    —导入设备包 (防火墙的系统)
    —进入到命令行界面—要求设置密码 (建议ADMIN@123)–save保存
    —进入到命令行界面,查看接口管理IP地址默认 192.168.0.1 /24 ,将自己物理主机可能存在的相同IP地址更改掉(冲突),比如VM1/VM8
    —KALI 里面的火狐浏览器 : https://192.168.0.1:8443
    默认的用户名:admin
    默认的密码:Admin@123
    修改的密码:ADMIN@123

    可能遇到的问题:–设备启动失败 (指导文档)
    –导入设备包失败 ----重新安装ensp (完全卸载)
    –防火墙管理接口IP不要和物理机IP冲突----从KALI浏览器访问可能出现登录不上


    5,安全区域-----用来区分不同的网络—默认不能互相访问

    UNtrust 非受信任区域 安全级别5 表示的互联网流量
    DMZ 非军事化区域 安全级别50 放置服务器的区域
    trust 受信任的区域 安全级别85 表示的内网区域
    local 设备自身 安全级别100 表示的设备自身发起的流量或者到达设备自身的流量


    6.配置内网访问外网-----安全策略

    —进入防火墙接口配置IP
    interface GigabitEthernet1/0/0
    ip address 192.168.1.254 255.255.255.0
    interface GigabitEthernet1/0/1
    ip address 200.1.1.254 255.255.255.0
    —将接口加入到相应的安全区域
    firewall zone trust
    add interface GigabitEthernet1/0/0
    firewall zone untrust
    add interface GigabitEthernet1/0/1
    —配置安全策略
    security-policy
    rule name OUT
    source-zone trust
    destination-zone untrust
    action permit


    7, 动态PAT 端口地址转换
    ----NAPT —基于地址池
    ----easyIP —基于出接口

    ----基于出接口
    KALI ----策略—NAT策略—源NAT—命名----trust—untrust —出接口转换

    @@@@配置安全策略

    security-policy
    rule name OUT
    source-zone trust
    destination-zone untrust
    action permit

    @@@@配置NAT策略

    nat-policy
    rule name EASYIP
    source-zone trust
    destination-zone untrust
    action nat easy-ip


    8,—基于地址池–NAPT
    @@@配置安全策略 -----实现区域之间互通
    security-policy
    rule name OUT
    source-zone trust
    destination-zone untrust
    action permit
    @@@@配置NAPT中的地址池
    nat address-group pool
    mode pat
    section 200.1.1.10 200.1.1.10
    @@@@配置NAT策略----实现私有地址转换公有地址
    nat-policy
    rule name napt
    source-zone trust
    destination-zone untrust
    action nat address-group pool


    9, 服务器映射发布

    @@@@配置安全策略
    security-policy
    rule name dmz
    source-zone untrust
    destination-zone dmz
    action permit

    @@@@配置服务器映射

    nat server natserver zone untrust protocol tcp global 200.1.1.11 www inside 1
    92.168.3.10 www no-reverse

    no-reverse: 不允许服务器主动访问外网


    service-manage telnet premit 服务管理远程登录提交

    展开全文
  • 本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
  • 华为防火墙技术漫谈

    2019-03-18 21:34:16
    2013年9月,华为在首届企业网络大会上发布下一代防火墙USG6600,标志着华为防火墙又进入一个新的历史发展阶段。 2013年12月,在Forrester Research发布的最新关于网络隔离网关报告中,华为下一代防火墙作为唯一的...
  • 华为防火墙配置(防火墙基础)

    千次阅读 2021-11-30 21:18:51
    防火墙属于网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵,这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过...

    目录

    前言

    一、防火墙概述

    1、防火墙介绍

    2、防火墙作用

    3、NGFW

    (1)基于应用

    (2)基于用户

    (3)基于位置

    (4)实际应用

    4、防火墙的工作模式

    (1)路由模式

    (2)透明模式

    (3)混合模式

    5、安全区域

    6、区域分类

    (1)Trust区域

    (2)DMZ区域

    (3)Untrust区域

    (4)Local区域

    (5)其他区域

    二、防火墙工作原理

    1、Inbound和Outbound

    (1)Inbound

    (2)Outbound

    2、状态化信息

    3、安全策略

    (1)策略规则

    (2)安全策略特点

    结语


    前言

         防火墙属于网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵,这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙

    一、防火墙概述

    1、防火墙介绍

         防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入

    2、防火墙作用

         网络中的防火墙有以下作用

    • 防止因特网的危险传播到私有网络
    • 在网络内部保护大型机和重要的资源(如数据)
    • 控制内部网络的用户对外部网络的访问

    3、NGFW

         NGFW全称是Next Generation Firewall,即下一代防火墙,最早由Gartner提出,NGFW更适用于新的网络环境, NGFW在功能方面不仅具备标准的防火墙功能,如网络地址转换、状态检测、VPN和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块,另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略、 日志统计、安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等

         传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置

    (1)基于应用

         运用多种手段准确识别Web应用内超过6000以上的应用层协议及其附属功能,从而进行精确的访问控制和业务加速,其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略

    (2)基于用户

         借助于AD活动目录、目录服务或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护

    (3)基于位置

         结合全球位置信息,智能识别流量的发起位置,从而获取应用和攻击的发起位置,其根据位置信息实现对不同区域访问流量的差异化控制,同时支持根据IP信息自定义位置

    (4)实际应用

         在实际应用中,应用可能使用任意端口,而传统FW无法根据端口识别和控制应用,NGFW的进步在于更精细的访问控制,其最佳使用原则为基于应用+白名单控制+最小授权,目前,华为的NGFW产品主要是USG6000系列,覆盖从低端的固定化模块产品到高端的可插播模块产品

    4、防火墙的工作模式

         华为防火墙具有三种工作模式:路由模式、透明模式、混合模式

    (1)路由模式

         如果华为防火墙连接网络的接口配置了IP地址,则防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址,所以需要重新规划原有的网络拓扑,此时防火墙首先是一台路由器,然后提供防火墙功能

    (2)透明模式

         如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下,如果华为防火墙采用透明模式进行工作,只需在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置,此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网,此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理

    (3)混合模式

         如果华为防火墙既工作在路由模式的接口(接口具有IP地址),又工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下,这种工作模式基本上是透明模式和路由模式的混合

    5、安全区域

         安全区域(Security Zone)简称为区域(Zone),防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或多个接口的集合,这些接口所包含的用户具有相同的安全属性,每个安全区域具有全局唯一的安全优先级,设备认为在同一安全区域内部发生的数据流动是可信的,不需要实施任何安全策略,只有当不同安全区域之间发生数据流动时,才会触发防火墙的安全检查,并实施相应的安全策略,这是防火墙区分于路由器的主要特性,防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递,当数据报文在不同的安全区域之间传递时,将会触发安全策略检查

         华为防火墙中,一个接口只能加入一个安全区域,华为传统的防火墙默认情况下对从高优先级区域到低优先级区域方向的流量默认放行,但是最新的NGFW防火墙默认禁止一切流量

    6、区域分类

    (1)Trust区域

         主要用于连接公司内部网络,优先级为85,安全等级较高

    (2)DMZ区域

         非军事化区域,是一个军事用语,是介于严格的军事管制区和公共区域之间的一种区域,在防火墙中通常定义为需要对外提供服务的网络,其安全性介于Trust区域和Untrust区域之间,优先级为50,安全等级中等

    (3)Untrust区域

         通常定义外部网络,优先级为5,安全级别很低,Untrust区域表示不受信任的区域,互联网上威胁较多,所以一般把Internet等不安全网络划入Untrust区域

    (4)Local区域

         通常定义防火墙本身,优先级为100,防火墙除了转发区域之间的报文之外,还需要自身接收或发送流量,如网络管理、运行动态路由协议等,由防火墙主动发起的报文被认为是从Local区域传出的,需要防火墙响应并处理(不是穿越)的报文被认为是由Local区域接收并进行相应处理的,Local区域并不需要添加接口,但所有防火墙自身接口隐含属于Local区域,虽然我们把一个接口划分到某个区域中,但也只是表示由这个接口发送或接收的报文属于该区域,并不代表是该接口本身

    (5)其他区域

         用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定

    二、防火墙工作原理

    1、Inbound和Outbound

         防火墙基于区域之间处理流量,即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递,当数据流在安全区域之间流动时,才会激发华为防火墙进行安全策略的检查,即华为防火墙的安全策略通常都是基于域间(如Untrust区域和Trust区域之间)的,不同的区域之间可以设置不同的安全策略,域间的数据流分两个方向Inbound(入方向)和Outbound(出方向),在防火墙技术中,通常把两个方向的流量区别来看待,因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首个报文

    (1)Inbound

         数据由低级别的安全区域向高级别的安全区域传输的方向,例如,从Untrust区域(优先级5)的流量到Trust区域(优先级85)的流量就属于Inbound方向

    (2)Outbound

         数据由高级别的安全区域向低级别的安全区域传输的方向,例如,从DMZ 区域(优先级50)的流量到Untrust区域的流量就属于Outbound方向

    2、状态化信息

         既然一个域间有Inbound和Outbound两个方向,那么是否需要为访问的双向流量同时配置安全策略呢?答案是否定的,防火墙对于数据流的处理,是针对首个报文在访问发起的方向检查安全策略,如果允许转发,同时将生成状态化信息也就是会话表,而后续的报文及返回的报文如果匹配到会话表,将直接转发而不经过策略的检查,进而提高转发效率,这也是状态化防火墙的典型特性,例如,Trust区域的计算机访问Untrust区域的互联网,只需要在Trust到Untrust的Outbound方向上应用安全策略即可,不需要做Untrust到Trust 区域的安全策略,当需要让互联网用户访问公司内网服务器时,需要配置Untrust到Trust区域的安全策略


         防火墙通过五元组来唯一地区分一个数据流,即源IP、目标IP、协议、源端口及目标端口,防火墙把具有相同五元组内容的数据当作一个数据流,防火墙对于同一个数据流只对首个报文检查一次安全策略,同时创建会话表来匹配流量中的后续报文及返回的报文

    3、安全策略

         防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信,安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙,可以在不同的域间方向应用不同的安全策略进行不同的控制

         华为新一代防火墙对报文的检测除了基于传统的五元组(源IP、目标IP、协议、源端口、目标端口)之外,还可以基于应用、内容、时间、用户、威胁及位置对流量进行深层探测,真正实现全方位立体化的检测能力及精准的访问控制和安全检测

    (1)策略规则

    • 条件中的各个元素如果在多条规则中重复调用,或者该元素本身包含多个相关内容,可以考虑配置为对象,对象可被多条规则调用,如果定义一个地址类型的对象,包含公司中的多个网段,那么该对象就可以在规则条件中被源地址或目标地址条件所引用
    • 动作是防火墙对于匹配的流量所采取的处理方式,包含允许、拒绝等,不同的策略可以选择不同的处理方式,如果处理方式是允许,那么还可以继续基于配置文件对报文做后续处理
    • 选项是规则的一些附加功能,如是否针对该规则记录目志、本条规则是否生效等

    (2)安全策略特点

    • 策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域
    • 默认情况下所有的区域间通信都被拒绝,包括Outbound流量,必须通过策略配置放行所需流量
    • 安全策略中的默认动作代替了默认包过滤,传统防火墙的包过滤是基于区间的,只针对指定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许
    • 任何两个安全区域的优先级不能相同
    • 本域内不同接口间的报文不过滤直接转发
    • 接口没有加入域之前不能转发包文
    • 在USG6000系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间相互访问,都必须要配置安全策略,除非是同一区域报文传递

    结语

         防火墙通常用于两个网络之间有针对性的、逻辑意义上的隔离,当然,这种隔离是高明的,既能阻断网络中的各种攻击又能保证正常通信报文的通过

    展开全文
  • 1、 防火墙的现状与挑战防火墙作为传统网络安全设备,是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全...

    1、 防火墙的现状与挑战

    防火墙作为传统网络安全设备,是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

    在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

    防火墙逻辑位置示意图

    当时间进入到21世纪,各种攻击手段层出不穷,传统防火墙对付日益增多的安全威胁早已力不从心。

    为了应对越来越多的攻击手段,保证内网安全运行,客户不得不采购更多的安全设备,包括IDS、IPS、AV、URL过滤、终端安全系统等一系列产品,以期提高内网安全等级。

    越来越多的安全设备充斥了整个网络,技术更新快,多套管理系统各自为政,维护管理人员缺乏。企业的安全方案日趋复杂,运维成本日益庞大。

    那么,有没有一种设备,既能解决多种业务安全问题,也能实现真正有效的业务保护,在满足客户快速、高效的业务体验的同时,为用户节约投资、且管理简单、易于维护,同时还提供及时可靠的安全服务呢?

    2、 华为解决之道

    华为给力推出USG系列统一安全网关:

    华为USG系列安全网关的架构:

    高性能多核硬件,最大支持8核32个虚CPU并行处理,配合加速芯片实现性能业界领先。

    安全能力融合入系统内核,主动完成安全检测

    数据流在整个转发过程,通过安全内核

    各模块并行工作,效率高,安全性高

    基于用户的安全策略

    华为USG系列安全网关的功能亮点:

    基于漏洞的IPS引擎:

    基于漏洞的签名:1条可检测识别成百上千的攻击,有效防止攻击变种

    基于精确识别内容的威胁检测,避免盲目的扫描大量信息导致低效率

    新增漏洞签名到2000+种

    全球领先的AV引擎:

    技术领先:文件级引擎,保证病毒检测的完整性;增加FTP协议扫描。仿真检测技术,让病毒暴露其不良活动企图或者现出原形。海量病毒检测能力,可检测700多万种病毒。

    高检测率:病毒测试检出率高达99% ,自动化学习引擎,超125种特征扫描能力,快速检测病毒变种。

    快速响应:刀片式引擎,可以特征库一样不断升级新的脚本引擎可以快速发布到工作中的反病毒引擎上。

    全面的流量控制:

    USG系列防火墙支持多种流量管控策略:

    支持基于IP地址(地址段)的流量控制:IP(段)的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略,如果匹配上了则进行相应的限流,否则不做限流。策略里面可以配置地址或地址的集合,协议或协议的集合。

    基于DPI应用的流量控制:DPI(Deep Packet Inspection)作为一种较新的包检测技术,除了能够检测P2P、IM,还可以识别包括VOIP(skype、H.323、SIP、RTP、Net2Phone、Vonage),Game(Diablo、Tantra),web_Video(PPlive、QQlive、SopCast),Stock,Attack等20多种大类,以及上千种应用协议,该DPI库支持在线升级,保证DPI库的实时更新。用户根据DPI应用类型分别采取不同的限流策略,包括允许通过、禁止通过、带宽限速、带宽保证、闲时复用、连接数限制等。

    基于用户(用户组)的流量控制:在流量识别对应用户身份的基础上,防火墙只需要针对用户(组)信息配置限流策略,而不再需要根据复杂多变的IP网段来进行限流配置,这样不同的用户(组)身份可配置不同的流量控制策略,既简化了策略配置,又适应了企业复杂多变的网段规划,方便管理员的管理。

    支持对流量进行双重控制:双重控制是指可对流量同时进行两种方式的限流。包括基于每IP的限流和基于整体带宽限流的两级控制。

    支持对流量进行保证带宽控制:是指可以为每个IP地址设置最小保证能够通过的流量,在保证了这些最小带宽之余,当总体带宽有空余时,则每个IP地址能够通过大于保证带宽值,而小于最大带宽值的流量。对于大于保证带宽的报文(+微信关注网络世界),转发还是丢弃是按照报文到达时带宽是否超过总体带宽来决定,超过时则丢弃,否则转发。

    支持对流量进行连接数控制:连接数的限制是指对并发连接数进行限制,现网应用P2P等占用了很多连接资源,对连接数进行限制,从而达到对流量进行限制目的。包括基于每IP并发连接数限制,基于整体并发连接数限制等。

    支持对流量进行选路控制:一些多出口的网络部署当中,需要对不同的流量进行选路控制。比如:要求P2P识别的流量从A接口发送出去,VOIP的流量从B接口发送出去;或者一开始所有流量都从主接口发送出去,当主接口的流量超过配置的流量阈值时则启动备份链路,使得超过主接口阈值的流量能从B接口发送出去。

    智能上网行为管理:

    上网行为管控功能,运用了内容过滤技术,内容过滤结合预分类技术和实时分析技术,对于网络访问进行控制。顾名思义,预先分类就是事先对网站进行分类,在过滤时直接查询网站所属的分类即可,响应速度快,性能高,预分类库内容支持实时动态更新。预分类技术可以解决大部分的web访问安全问题。同时,对于web及其他网络协议(如FTP、SMTP、POP3等)进行深度解析,实时分析用户的行为以及传输的内容,根据组织的需要,对于无用的、有信息安全风险的行为进行控制,阻止对于组织有害的网络访问行为的发生。两种技术的完美结合,极大提升了内容检测的检测效率和准确率。

    丰富的路由特性:

    华为USG系列防火墙全面支持IPv4\IPv6双栈,支持静态路由、RIP、OSPF、BGP等多种路由协议,同时提供先进的智能选路、全面的VPN能力、IPv6过渡技术、IPv6丰富特性。

    一键配置:

    传统UTM配置复杂,人为因素多,费时费力;

    华为USG系列无需复杂管理,一键配置。

    3、 华为解决方案

    华为USG系列产品,集成了防病毒,反垃圾邮件,入侵防御,防火墙以及路由器等功能,结合其最优性价比,为企业用户提供了不二选择。

    USG系列防火墙基于华为专业的多核硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完备的地址转换(NAT)功能。为了更好地满足企业的实际需要,USG系列防火墙还支持丰富的多媒体协议和路由协议,组网方式灵活多样,是各类型企业理想的网络安全防护设备。

    展开全文
  • 然而你也不要以为它们帮你做了端口回流,你就认为那些设备是好设备,感觉好高端,那你错了,我很少见企业级设备偷偷地帮你解决这个问题的(不是说没有,一般是应用层网络设备有这个),都是需要你主动去处理解决,这也...

    标题有点绕,问题就是在公网出接口上配置了内网某台服务器的端口映射,内网的普通用户通过内网地址访问正常,但无法通过公网IP进行正常访问,拓扑图如下:

    6bb1bc3ec924fa9923695cc3773861c6.png

    上图以出接口地址100.100.100.100:80映射为192.168.1.11:80为例,实际问题为192.168.1.100与192.168.1.110无法通过100.100.100.100:80进行访问,但通过互联网访问映射端口正常。

    问题原因分析

    假设以192.168.1.100通过公网访问192.168.1.11:80的话,这里假设访问的源端口是10000,目标端口是80,主机发起web请求,那么访问目标就是100.100.100.100:80即数据包分析如下:

    192.168.1.100:10000—>100.100.100.100:80

    数据包最终会被路由到防火墙上,防火墙检查访问的目的地址,匹配到它的端口映射策略,将目标地址改为对192.168.1.11的访问,建立起一个针对目标ip地址转换的NAT会话表:

    192.168.1.100:10000—>192.168.1.11:80

    然后数据包到会被转发到192.168.1.11服务器上并会响应192.168.1.100主机的请求,将上述访问的源目ip地址及端口进行倒转,并将数据包交给它的网关处理,拓扑中即为USG防火墙:

    192.168.1.11:80—>192.168.1.100:10000

    网关发现目标ip地址是192.168.1.100,是在路由表中的内网直连地址,就会将数据包直接路由到主机上,主机接收到数据包,检查数据包的源ip和端口是192.168.1.11:80,发现其本身并没有这样一个http会话与之相匹配,就是说主机并没有主动发起对192.168.1.11:80的访问,实际发起的是对100.100.100.100:80的访问,那么主机就会丢弃这个数据包,导致内网用户通过域名或者公网ip地址访问自己的内网服务器不通的现象。

    192.168.1.11:80—>192.168.1.100:10000

    发生上述问题的原因,就是因为网关发现响应数据包的目的ip地址是内网一个可直接路由的地址,就会直接在内网进行路由转发。然而这并不是一个BUG,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的,有的设备在你做端口映射的时候,偷偷地把端口回流的问题也给你解决了。然而你也不要以为它们帮你做了端口回流,你就认为那些设备是好设备,感觉好高端,那你错了,我很少见企业级设备偷偷地帮你解决这个问题的(不是说没有,一般是应用层网络设备有这个),都是需要你主动去处理解决,这也体现了它们设备高度可定制性及专业性。

    问题解决方案

    实际解决这个问题也很简单,即在192.168.1.100:10000访问192.168.1.11:80的时候,不走内网路由,再做一次回流的NAT映射即可。

    015cccffa946eea972fcd4fbee86caab.png

    回流NAT映射验证

    13504b34878cadf1a3f11f0e11fd71b7.png

    参考:

    https://blog.51cto.com/11555417/2288036

    http://www.360doc.com/content/18/0419/01/11935121_746788625.shtml

    https://blog.csdn.net/weixin_30376509/article/details/97982837?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2~all~first_rank_v2~rank_v28-1-97982837.nonecase&utm_term=%E9%98%B2%E7%81%AB%E5%A2%99%E5%81%9A%E5%9B%9E%E6%B5%81%E9%85%8D%E7%BD%AE&spm=1000.2123.3001.4430

    展开全文
  • 华为防火墙简介及其工作原理

    千次阅读 2019-10-26 16:00:52
    华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产品。这篇博文主要介绍华为防火墙产品及其工作原理。 博文大纲: 一、华为防火墙产品...
  • 华为防火墙产品介绍及工作原理

    千次阅读 2019-10-23 19:58:34
    华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列...1、USG2110:USG2110是华为针对中小企业及连锁机构、SOHO企业等发...
  • 华为防火墙及它的工作原理

    千次阅读 2019-08-21 20:16:10
    一、华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和...USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,...
  • 华为_防火墙(一)

    千次阅读 2019-07-09 13:45:06
    华为防火墙 华为防火墙产品介绍: 华为防火墙目前共有四款系列的防火墙:USG2000、USG5000、USG6000和USG9500分别适用于不同的网络环境中,其中USG2000和USG5000系列定位于UTM,统一威胁管理的网络需求,其中USG...
  • 01 了解防火墙基本机制 配置防火墙之前请了解防火墙...如图1-1所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为.
  • 华为防火墙实现双机热备配置详解

    万次阅读 多人点赞 2019-10-26 15:56:22
    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦...
  • 华为防火墙SSL xxx

    2021-07-24 09:03:08
    SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。 SSL与IPSec、L2TP的区别: 1.IPSec、L2TP...
  • 超级详细的华为防火墙基础知识

    千次阅读 2021-06-03 13:27:48
    文章整理自《华为防火墙技术漫谈》 1.1 什么是防火墙 防火墙,顾名思义,阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。 引入到通信领域,防火墙也形象化地...
  • 14、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT部署】
  • 华为防火墙如何配置ftp服务器映射到外网一. 要求:公司搭建一台ftp服务器,需要映射到外网,供供应商上传文件。但公司出口线路只有一条ADSL,IP地址是自动获取,随时会变化。因此,需要申请一个DDNS 域名,并绑定到...
  • 华为公司防火墙系列产品主打胶片.pptx
  • 为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,本规范明确了华为防火墙的通用安全配置要求以及操作指南
  • 今天给大家带来华为USG6000防火墙的网管配置实例。本文简单的搭建了一个实验拓扑图,通过配置,实现了对华为防火墙的Telnet管理配置、SSH管理配置和Web管理配置。 一、实验拓扑及目的 实验拓扑如上所示,要求对...
  • 网络之华为USG6000防火墙日志清理

    千次阅读 2020-12-23 15:14:38
    升级USG6320防火墙系统版本,上传新的IOS时提示没有足够的存储空间。新系统bin文件大小196M,防火墙存储空间580M,当前系统bin文件大小178M,存储空间足够存储2个系统版本的bin文件,所以需要释放空间来完成系统升级...
  • 初始华为防火墙

    千次阅读 2020-04-10 18:25:46
    华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防火墙及安全系列产品。在近二十年的历程中,华为在业界立下了一个又一个丰碑。 华为防火墙介绍 USG2000...
  • 华为防火墙配置(L2TP)

    多人点赞 热门讨论 2021-12-19 16:21:20
    通常合称L2TP over IPSec 一、L2TP概述 1、L2TP介绍 L2TP(Layer 2 Tunneling Protocol)是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务,出差员工...
  • 华为防火墙UTM技术

    2021-07-23 10:10:07
    UTM:统一威胁管理,融合了IPS入侵防御系统,AV网关防病毒,上网行为管理,防DDOS攻击等特性,为了更好的解决来自企业内部、外部的攻击威胁提供了强有力保障(UTM包含入侵防御和内容过滤) 入侵防御(IPS): 入侵...
  • 华为防火墙基础知识

    千次阅读 2020-05-03 17:36:14
    USG9500系列包含USG9520、USG9560、USG9580三种系列,适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”结构即最丰富的虚拟化,被称为...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,801
精华内容 2,320
关键字:

华为企业防火墙