Huawei社のファイアウォールUSG5500の
焦点は:ファイアウォールは何であり、ファイアウォールの基礎、ファイアウォールの設定が特徴
のファイアウォールでは何:
ファイアウォールとは何1:
ファイアウォールが別のネットワークの***と***行動からネットワークを保護するために使用されています、なぜならその単離、防衛、柔軟なファイアウォールは、ネットワーク境界、サブネット単離およびそのような、大規模なネットワークの内部サブネット分離、データセンタ(IDC)ボーダー企業ネットワークの輸出のような他の場所に適用されます。
2.比較スイッチルータやファイアウォール:
1)スイッチ:二層または三層迅速交換を介してパケットを転送するために、ローカルエリアネットワークを設定する;
2)ルータ:、相互接続は、メッセージが宛先に転送されることを保証するためのプロトコルをルーティングすることによって達成される異なるネットワークを接続します。
3)ファイアウォール:、国境で展開され、ネットワークへのアクセスとコントロールの動作のうち、セキュリティはコア機能です。
要約:ルータやスイッチは、本質を転送するために、本質的には防護壁を制御することです。
3.ファイアウォールの歴史と特徴:
1)のアクセス制御は、より正確な;
2)防衛力が高まっている;
3)は、より高い性能と高い処理を、
ファイアウォールインターフェイス、ネットワークとセキュリティゾーン間の4の関係:
1)セキュリティ領域(セキュリティゾーン):頭字領域(ゾーン)は1つまたは複数のインターフェイスの集合である、それは「パス」ネットワーク識別テーブルパケットフローを分割することで、ゾーン間のパケットの流れは異なるセキュリティ制御の対象となる場合。
2)ファイアウォールインターフェイスとの間の関係、ネットワーク、地域の安全保障;音符(ネットワークインターフェース接続し、領域にインターフェイスを追加、関連付けが界面領域とセキュアネットワークアップにより実現、セキュリティゾーンは、通常、そのセキュリティゾーンここでネットワークインタフェース手段Huawei社のファイアウォール、インターフェースはセキュリティゾーンに追加することができる)
3)Huawei社ファイアウォールデフォルトのセキュリティゾーン:
信頼領域:信頼の高いレベルによって、ユーザは通常、内部ネットワーク。
DMZエリア:通常、サーバ・ネットワーク内にある信頼の適度なレベルで;
のUntrustエリア:信頼できないネットワーク、通常はインターネットや他の保護されていないネットワーク;
ローカルエリア:ファイアウォール自体、すべてのメッセージがファイアウォールで地元主導で送信されます地域の問題、ファイアウォールと応答処理を必要とする人(非転送)パケットがローカル受信領域であり、ローカルエリアは、任意のインターフェイスを追加することはできません;
4)セキュリティレベル(信頼度):1〜100(より多く、より信頼できます)、 = 100ローカル、信頼= 85、50 = DMZ、のUntrust = 5;
5)ルール・パケットは、2つのゾーン間を流れる:
インバウンド(着信):高レベルのセキュリティセキュリティゾーンを低レベルからのパケット地域流れ、
アウトバウンド(発信)、セキュリティゾーンのセキュリティゾーンのハイレベルからローレベルにパケットフロー
各ネットワークパケット間の流れを達成するための明確な分割レベルの領域を介し6)ファイアウォール・セキュリティ・レベル、各ネットワーク接続、 (送信データ・フロー)制御の実施形態。
メッセージはどこ二つの領域の間を流れる方法を決定するために5.ファイアウォール?
1)安全確認領域の目的:ルックアップテーブル(ルーティングテーブル、MACアドレステーブル)が肯定応答インタフェースを転送する、界面領域は、ここでのセキュリティの対象領域である;
2)元のセキュリティゾーンことを確認:;逆引きテーブルは、元のルーティングセキュリティゾーンを確認
注:パケットの送信元と宛先セキュリティゾーンを決定するセキュリティポリシーの正確な構成の前提条件です。
第二にHuawei社ファイアウォールの基本構成:
1. Huawei社のファイアウォールの設定セキュリティゾーン:
しようとしたシステム:新規または安全なエリアに:ファイアウォール、ゾーン名領域名
領域がしよう:セキュリティレベルを設定する(0-100):設定PRIOセキュリティレベルの
追加:面積はしようエリアにインターフェース:int型のインターフェース番号を追加
システムは、試してみました:ビューゾーンの設定を:表示ゾーン実行します
2.ステートフルインスペクションファイアウォール:
、通信当事者間の相互作用を接続状態に基づいて検出メカニズムを使用して、ステートフルインスペクションファイアウォールを全体として同じコネクタに属するすべてのパケットが処理されるべきデータストリームを持っています。最初のデータストリーム・パケット・セッションが確立され、データストリーム内の後続のパケットは直接コンフィギュレーションセッションを転送し、それ以上のルールをチェックしないと、転送効率を向上させます。
3.ファイアウォールセッション:
1)セッション:ファイアウォールが両方の接続状態、通信セッションの両方の代わりに確立された具体通信に接続されている二つの側面の間の接続を表し、セッションの複数のセットは、ファイアウォールセッションテーブルと呼ばれている(セッション表);
2)五重:接続(すなわちセッション)、送信元ポート、宛先アドレス、宛先ポート及びプロトコル一意五行元アドレスを識別するために、即ち、同じメッセージが属する5つのタスク要素限りすることができ同じセッションの流れ。宛先ポートのファイアウォールは、ICMPなどの固定値のプロトコルではない:ID =送信元ポート、宛先ポート= 2048; IPSsec(×××:AH認証ヘッダー/ ESP:カプセル化セキュリティペイロード):ソース、宛先ポート= 0
4. Huawei社ファイアウォールのトラブルシューティングコマンド:
しようとしたシステム:表示領域:表示領域の
システムはしよう:ビューのパケットロス:DISファイアウォール統計システムの廃棄
セッションテーブルを表示します:システムがしようとDISファイアウォールセッションテーブル冗長
システムをしよう:時間エージングDNSを変更するには3秒です:ファイアウォールセッションエイジングタイムのDNS 3(ネットワークDNSクエリの数が多い、メモリの不足を回避するために、エージング時間を変更する)
三つの機能ファイアウォールの設定:
1のconfigure DHCP:
インターフェイスはしよう:設定DHCPを:int型選択DHCP - > DHCPサーバーゲートウェイゲートウェイ- > DHCPサーバのDNS DNSサーバーのアドレス- > Q
2. [設定SNATインターネットネットワーク:
1)を設定NAT戦略:
NAT設定の試みを入力する:NAT-高いアウトバウンド領域2ゾーン間1低域ポリシー
NAT設定の試み:新しい戦略1:ポリシー1つの
ポリシー設定の試行:ソース・セグメントを指定する:ポリシーソースのソースコードセグメント抗
ポリシー設定の試み:SNATを有効:アクションソースNAT
ポリシー設定の試み: NATのタイプを指定します。簡単-IPの外部ネットワークインタフェース番号
の出口:ポリシー設定の試みリターン
2)は、セキュリティポリシーを設定します。
システムが試さ:高域ゾーン間ポリシー1の低域1アウトバウンド:セキュリティポリシー構成しようと入力して
、セキュリティポリシーの設定の試み:新しいポリシーを:ポリシー1つの
試みポリシー設定:ソース反転ポリシーソースセグメント
設定許可するポリシー:試みポリシー設定許可アクション- >リターン
3)NAPT動的構成:
システムはしようとしますアドレスプール:エンドNATアドレス・グループの開始アドレスグループ番号をアドレス
ポリシー設定の試み:アドレスグループのグループ番号:NATタイプを指定
簡単-IPと他の構成と同じように。
3. Huawei社ファイアウォールのセキュリティポリシー:
条件(アドレス及びポートを含む提示セキュリティゾーンとの間の関係に基づいて、1)セキュリティポリシー)+アクション(許可拒絶を許可または拒否)。
2)に一致するためのセキュリティポリシー:上から下への順、照合停止し、不一致のデフォルト拒否;
3)Huawei社のファイアウォールのセキュリティポリシーの開発プロセス:ACL五重(usg2000 / 5000サポート) - > UTM(usg2000 / 5000サポート) - >統合セキュリティポリシー(usg6000サポート)
UTM(統合脅威管理)設定構文:ポリシーゾーン間のソース領域ターゲット領域発信または着信- >ポリシー名- >ポリシーソースまたは宛先ネットワークセグメントまたはip-- >アクション拒否または許可する
セキュリティポリシーの設定構文の統合:セキュリティポリシー] - > [ルール名名- >ソースゾーンソースエリア- >宛先ゾーン対象領域- >送信元アドレス、送信元アドレス- >アクションは拒否をまたは許可;
4)ASPF(アプリケーション層パケットフィルタリング):動的に、すなわち安全性を確保するための構成およびセキュリティポリシーを簡単にするために、アプリケーション層に係るサーバマップエントリ情報メッセージを生成し、ファイアウォールを通過ASPFは技術、ASPFありますFTP(QQ、MSN)セキュリティ制御ポリシーからマルチチャネルプロトコルに類似する後続のパケットは、それによってチャンネルするようにサーバマップエントリを生成するチャネルに対応するには、ファイアウォール上で開か ファイアウォール。
ASPF設定構文:firewellゾーン間の信頼unstrust - >検出 {FTP | QQ | MSN}
注:ASPFサポートカスタムサービスを。
5)Huawei社のファイアウォールのセキュリティポリシーの設定やアイデアトラブルシューティング:
セキュリティポリシー構成のアイデア:デフォルトの設定を許可するようにパケットフィルタリングを- >ビジネスデバッグを- >の情報が記録されているセッションテーブルを表示し、条件に一致するようにセキュリティポリシーを設定します- >試運転業務- >最後に、デフォルトのパケットフィルタリングポリシーの設定を復元
トラブルシューティング:からuntrustアウトバウンド#は政策の一致を見るDISのpol int型の信託 - >ポーリ移動2 1の前に#変更ポリシーの順序
4. Huawei社のファイアウォールロードバランシング:
1)ロードバランシングは、共通のタスクを処理し、共通の外部処理に多数のタスクを達成するために、複数のサーバのクラスタです。
2)設定ロードバランシング:
システムビュー:ロードバランシング(SLB)を有効:SLB有効
SLBビューを:リモートサーバを設定する:リアルサーバ1 RIPサーバのIPアドレス重量重量
SLBビュー:新グループ:グループ名分散グループ負荷
SLBグループビューを:セットスケジューリングアルゴリズム:メトリックアルゴリズム
SLBグループビュー:追加するリモートサーバ:。addrserver 1
SLBビュー:クラスタVIPを設定する:GRP VIPクラスタグループのSLBのIPアドレスのポートグループのクラスタはRPORT実サーバのポートVPORT VSERVER
システムビューを:ビュー:DIS SLBグループSLBグループ
5. Huawei社のファイアウォール、NAT-サーバー出版ネットワークサービス:
1)NATサーバーは、前方を含むサーバー・マップ・テーブル・エントリで、エントリを逆に、前方のエントリ・レコード・サーバーのプライベートIPアドレスとポートとパブリックネットワークアドレスとポートマッピング関係は、アクションがパケット変換のユーザの宛先アドレスにパブリックネットワークアクセスサーバとした場合、
プライベートネットワークは、プライベートに直接エントリの送信元アドレスに基づいて、公衆ネットワークサーバーにアクセスするときにエントリ関数を逆がアクティブでありますパブリックアドレスへのネットワークアドレス、その後ではなく別のソースSNATポリシーサーバーの構成、
すなわち、コマンドは、プライベートネットワークおよびパブリックネットワークアドレス変換サーバのチャネルとの間の両方向に同時に開放します。
2)NAT-サーバー公開ネットワークサービスの設定構文:
ネットワークサービスを公開:NATサーバープロトコルTCPグローバルパブリックネットワークアドレスポートをイントラネット・サーバーのアドレス、ポート内部システムはしようとする
3)公開されたイントラネットサーバーのセキュリティポリシーの設定は:
注意:ポリシーの目的をサーバアドレスは、ルーティングループを避けるために、あなたはブラックホールのルーティングを設定する必要があり、NATサーバーのプライベートIPアドレスではなく、パブリックアドレスをマッピングする外部サーバです。
4)DNATセキュリティポリシーの設定構文:
ポリシーゾーン間のUntrustインバウンドDMZ - >ポリシーサービスサービスセットサービス- - >許可でのアクション- >リターン> 1ポリシー-サーバーのプライベートネットワークIPアドレス0たいです>ポリシー
5)の設定をブラックホールルートの構文:IPルートの静的パブリックIPアドレス32ヌル0