华为防火墙安全策略

作者：郭倩尔偏执起来不是人_ | 来源：互联网 | 2023-09-15 14:19

1初识安全策略小伙伴们，我们试想下如果防火墙把所有流量都拒绝了，内部用户将无法畅游网络，外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性，让它更好的实现防火墙的

1初识安全策略

小伙伴们，我们试想下如果防火墙把所有流量都拒绝了，内部用户将无法畅游网络，外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性，让它更好的实现防火墙的功能，这个特性就是安全策略。平时我们上班乘坐地铁，出差乘坐高铁或飞机，在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全，如安全放行通过，如不安全，拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵，但还要允许网络之间进行合法的通信。安全策略的作用类似于“安检员”对通过防火墙的网络流量和抵达自身流量进行安全检查，满足安全策略条件的流量执行允许的动作才能通过防火墙。

2基本概念

上图所示，PC位于Untrust区域，HTTP Server位于Trust区域,假设我们希望PC可以访问HTTP Server,配置的策略应该是允许源区域Untrust,目的区域Trust，源IP地址202.100.1.100，目的IP地址192.168.1.100，源端口Any，目的端口是80，应用协议是TCP。

配置中可以看出防火墙安全策略由两大部分组成：

a.条件：防火墙将报文中携带的信息与条件逐一对比，从而来判断报文是否匹配。

b.动作：允许（permit）和拒绝(deny)，一条策略只能有一个动作。

如上图中每条策略中都包含了多个匹配条件，如安全区域、用户、应用等。各个匹配条件之间是“与”的关系，报文的属性与各个条件必须全部匹配，才认为该报文匹配这条规则。也就是说报文中的信息都要满足所有字段才能匹配。一个匹配条件中可以配置多个值，多个值之间是“或”的关系，报文的属性只要匹配任意一个值，就认为报文的属性匹配了这个条件。比如源区域有2个，目的IP有2个，那么这些匹配项之间是“或”的关系，也就是说只要报文的信息满足其中一项，就证明匹配了该条件。

安全策略配置完成后，PC就可以正常访问HTTP Server了，无需放行返回流量的安全策略，防火墙默认是基于状态化进行转发的，所以返回流量匹配会话表就转发了。

3匹配顺序

安全策略之间是存在匹配顺序的，防火墙会按照从上到下的顺序逐条查找相应安全策略。如果报文命中了某一条安全策略，就会执行该策略的动作，不会再继续向下查找;如果报文没有命中某一条安全策略，则会继续向下查找。

基于安全策略的匹配顺序，建议我们在配置安全策略时，应该遵循“先明细，后粗犷”的原则。比如我们配置两条trust--untrust安全策略，分别为192.168.0.0/24网段报文通过，192.168.1.1报文拒绝通过，防火墙在查找安全策略时，第一条策略192.168.0.0/24网段会匹配允许通过，第二条策略192.168.1.1报文永远也不会匹配到，这样我们实现控制的目的也没有达到。

如果还没有找到对应的安全策略，则会匹配默认的安全策略，动作为拒绝。默认安全策略的名字叫default，条件为any,动作为拒绝。大部厂商的安全策略都是这样定义的，缺省的为拒绝所有。个人认为如果小伙伴们在排错过程中，快速定位安全策略的问题，可以把默认策略动作配置为允许。如果报文可以通过，证明安全策略配置问题，然后配置正确的安全策略。非常不建议把防火墙安全策略配置为允许所有，因为这样存在极大的安全风险，防火墙也失去了意义。

华为防火墙安全策略控制可分三点：1.控制抵达自身和自身发起的流量，比如从外部网管防火墙,应该是untrust—>local之间的网管流量，如SSH、Telnet、HTTPS等。在比如防火墙要网管其它网络设备，应该是local—>到其它区域之间的网管流量 2.控制区域间的流量，比如untrust—>trust,trust—>dmz 3，控制区域内的流量,比如trust两台PC，我们不希望它们之间进行访问,那就是trust—> trust。

4安全配置案例

组网需求：

a.仅要求互联网到Untrust接口ICMP和Telnet流量。

b.除192.168.1.2/32外,允许所有Trust主机可以访问互联网。

c.Untrust用户在周一至周五上班时间可以访问所有DMZ服务器资源。

d.Trust区域内PC1不能访问PC3资源。

5实验配置

#进入接口视图，启用管理功能。

[NGFW] int g1/0/1

[NGFW-GigabitEthernet1/0/1]service-manage enable

[NGFW-GigabitEthernet1/0/1]service-manage ping permit

[NGFW-GigabitEthernet1/0/1]service-manage telnet permit

注：对于抵达防火墙自身的流量建议接口开启。

#进入安全策略视图，配置相应策略

[NGFW]security-policy

[NGFW-policy-security]rulename rule1

[NGFW-policy-security-rule-rule1]source-zone trust //可以指多个区域

[NGFW-policy-security-rule-rule1]destination-zone untrust //如果域内策略，目的为相同区域

[NGFW-policy-security-rule-rule1]source-address 192.168.1.1 32

[NGFW-policy-security-rule-rule1]action deny

#创建时间范围，调用到安全策略

[NGFW]time-range worktime

[NGFW-time-range-worktime]period-range 09:00:00 to 17:00:00 working-day

[NGFW-policy-security]rulename rule3

[NGFW-policy-security-rule-rule3]time-range worktime

#其它安全策略同理

测试

需求一、

telnet 202.100.1.10

Loginauthentication

Username:user1

Password:

ping 202.100.1.10

PING 202.100.1.10:56 data bytes, press CTRL_C to break

Reply from202.100.1.10: bytes=56 Sequence=1 ttl=255 time=20 ms

Reply from 202.100.1.10: bytes=56 Sequence=2 ttl=255 time=20 ms

需求二、

ping 202.100.1.1

PING 202.100.1.1: 56 data bytes, press CTRL_C to break

Request time out

ping 202.100.1.1

PING 202.100.1.1: 56 data bytes, press CTRL_C to break

Reply from 202.100.1.1: bytes=56 Sequence=1ttl=254 time=40 ms

Reply from 202.100.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

Reply from 202.100.1.1: bytes=56 Sequence=3ttl=254 time=20 ms

Reply from 202.100.1.1: bytes=56 Sequence=4ttl=254 time=10 ms

需求三、

ping 172.16.1.1

PING 172.16.1.1: 56 data bytes, press CTRL_C to break

Reply from 172.16.1.1: bytes=56Sequence=1 ttl=254 time=30 ms

Reply from 172.16.1.1: bytes=56 Sequence=2ttl=254 time=20 ms

Reply from 172.16.1.1: bytes=56Sequence=3 ttl=254 time=20 ms

Reply from 172.16.1.1: bytes=56Sequence=4 ttl=254 time=10 ms

Reply from 172.16.1.1: bytes=56 Sequence=5ttl=254 time=20 ms

display clock

2017-06-0618:01:30

Tuesday

ping 172.16.1.1

PING 172.16.1.1: 56 data bytes, press CTRL_C to break

Request time out

需求四、

ping192.168.2.1

PING 192.168.2.1: 56 data bytes, press CTRL_C to break

Request time out

ping192.168.1.1

PING 192.168.1.1:56 data bytes, press CTRL_C to break

Reply from 192.168.1.1: bytes=56 Sequence=1ttl=255 time=1 ms

注：默认域内的安全策略是允许的。

推荐阅读

get
页面请求方法参数最长_关于 HTTP GET/POST 请求参数长度最大值的一个理解误区

http:my.oschina.netleejun2005blog136820刚看到群里又有同学在说HTTP协议下的Get请求参数长度是有大小限制的，最大不能超过XX ... [详细]

蜡笔小新 2023-12-13 19:20:03
uri
开发笔记：解决播放框架内容安全策略设置不起作用的问题

本文介绍了作者在开发过程中遇到的问题，即播放框架内容安全策略设置不起作用的错误。作者通过使用编译时依赖注入的方式解决了这个问题，并分享了解决方案。文章详细描述了问题的出现情况、错误输出内容以及解决方案的具体步骤。如果你也遇到了类似的问题，本文可能对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-13 16:03:19
get
解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法，包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时，还介绍了修改nginx的error.log日志级别为debug，以便查看详细日志信息。 ... [详细]

蜡笔小新 2023-12-12 13:19:04
go
REVERT权限切换的操作步骤和注意事项

本文介绍了在SQL Server中进行REVERT权限切换的操作步骤和注意事项。首先登录到SQL Server，其中包括一个具有很小权限的普通用户和一个系统管理员角色中的成员。然后通过添加Windows登录到SQL Server，并将其添加到AdventureWorks数据库中的用户列表中。最后通过REVERT命令切换权限。在操作过程中需要注意的是，确保登录名和数据库名的正确性，并遵循安全措施，以防止权限泄露和数据损坏。 ... [详细]

蜡笔小新 2023-12-10 19:41:02
search
rhel5.5搭建网关+LAMP+postfix+dhcp的步骤和配置方法

本文介绍了在rhel5.5操作系统下搭建网关+LAMP+postfix+dhcp的步骤和配置方法。通过配置dhcp自动分配ip、实现外网访问公司网站、内网收发邮件、内网上网以及SNAT转换等功能。详细介绍了安装dhcp和配置相关文件的步骤，并提供了相关的命令和配置示例。 ... [详细]

蜡笔小新 2023-12-14 17:13:20
get
C#生成随机数的三种方法及其问题分析

本文介绍了C#中生成随机数的三种方法，并分析了其中存在的问题。首先介绍了使用Random类生成随机数的默认方法，但在高并发情况下可能会出现重复的情况。接着通过循环生成了一系列随机数，进一步突显了这个问题。文章指出，随机数生成在任何编程语言中都是必备的功能，但Random类生成的随机数并不可靠。最后，提出了需要寻找其他可靠的随机数生成方法的建议。 ... [详细]

蜡笔小新 2023-12-14 14:15:30
get
Redis数据结构之string应用场景解析

本文介绍了Redis的基础数据结构string的应用场景，并以面试的形式进行问答讲解，帮助读者更好地理解和应用Redis。同时，描述了一位面试者的心理状态和面试官的行为。 ... [详细]

蜡笔小新 2023-12-14 14:02:42
get
t-io 2.0.0发布-法网天眼第一版的回顾和更新说明

本文回顾了t-io 1.x版本的工程结构和性能数据，并介绍了t-io在码云上的成绩和用户反馈。同时，还提到了@openSeLi同学发布的t-io 30W长连接并发压力测试报告。最后，详细介绍了t-io 2.0.0版本的更新内容，包括更简洁的使用方式和内置的httpsession功能。 ... [详细]

蜡笔小新 2023-12-14 10:17:48
get
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
list
Python瓦片图下载、合并、绘图、标记的代码示例

本文提供了Python瓦片图下载、合并、绘图、标记的代码示例，包括下载代码、多线程下载、图像处理等功能。通过参考geoserver，使用PIL、cv2、numpy、gdal、osr等库实现了瓦片图的下载、合并、绘图和标记功能。代码示例详细介绍了各个功能的实现方法，供读者参考使用。 ... [详细]

蜡笔小新 2023-12-13 12:14:55
list
WebSocket与Socket.io的理解

WebSocketprotocol是HTML5一种新的协议。它的最大特点就是，服务器可以主动向客户端推送信息，客户端也可以主动向服务器发送信息，是真正的双向平等对话，属于服务器推送 ... [详细]

蜡笔小新 2023-12-12 19:35:15
get
引擎之旅 Chapter.2 线程库

预备知识可参考我整理的博客Windows编程之线程:https:www.cnblogs.comZhuSenlinp16662075.htmlWindows编程之线程同步:https ... [详细]

蜡笔小新 2023-12-12 14:06:39
get
配置IPv4静态路由实现企业网内不同网段用户互访

本文介绍了通过配置IPv4静态路由实现企业网内不同网段用户互访的方法。首先需要配置接口的链路层协议参数和IP地址，使相邻节点网络层可达。然后按照静态路由组网图的操作步骤，配置静态路由。这样任意两台主机之间都能够互通。 ... [详细]

蜡笔小新 2023-12-12 13:12:08
php
RouterOS 5.16软路由安装图解教程

本文介绍了如何安装RouterOS 5.16软路由系统，包括系统要求、安装步骤和登录方式。同时提供了详细的图解教程，方便读者进行操作。 ... [详细]

蜡笔小新 2023-12-12 10:22:22
get
在虚拟服务器上安装oracle 10g客户端的问题及解决方法

本文讨论了在VMWARE5.1的虚拟服务器Windows Server 2008R2上安装oracle 10g客户端时出现的问题，并提供了解决方法。错误日志显示了异常访问违例，通过分析日志中的问题帧，找到了解决问题的线索。文章详细介绍了解决方法，帮助读者顺利安装oracle 10g客户端。 ... [详细]

蜡笔小新 2023-12-11 13:08:10

郭倩尔偏执起来不是人_

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章