华为防火墙基本原理工作方法总结

yenggd2023-11-08 20:33

防火墙只会对tcp首包syn建立会话表,其它丢掉,如syn+ack,ack

udp直接建立会话表

icmp只对首包请求包建立会话表,其它包,如应答的不会建立直接丢掉

防火墙状态查看:

rule name trust_untrust

source-zone trust

destination-zone untrust

action permit

dis firewall session table verbose

查看详细会话情况

192.168.0.139已把包送到172.16.0.100,但172.16.0.100回不了包。

<--packets: 0bytes: 0 --> packets: 1bytes: 60

dis policy interzone trust untrust outbound

查看策略命中统计

firewall interzone trust untrust

detect ftp

开启ftp或qq或msn的aspf功能

当防火墙开启aspf功能后,会话会产生server-map表项(nat server、no-pat时也会产生server-map)

dis firewall server-map

查看会话表项

自定义aspf项

acl number 3000

rule 5 permit ip source 192.168.0.1 0 destnation 172.16.0.100 0

firewall interzone trust untrust

detect user-defined 3000 outbound

display interzone 查看域外是否开启了aspf

dis zone 查看域内是否开启了aspf

防火墙会默认阻挡单播报文,不会阻挡组播报文,所以ospf p2p网络不用配置策略。

dis firewall statistic system discard

查看丢包情况

undo firewall session link-state check

关闭状态检测功能,变成包过滤防火墙

TTl 本条信息的老化时间

loft 本条信息剩余老化时间

mac 目标mac地址

会话表的老化时间设备

firewall session aging-time service-set icmp 1000

类似于sql语句需要长连接的业务,需要单独设置长连接,华为只支持tcp类型长连接

默认长连接会话时间是168小时。

rule name trust_untrust

source-zone trust

destination-zone untrust

long-link enable //开长连接

action permit

防火墙有两条ISP线路时,负载均衡时,要把不同的ISP加入两个不同的zone,设两条napt策略,两条安全策略,两个地址池。如果都放到一个zone时,就不会负载了,只会按NAT策略的顺序执行最上面的那条isp策略。

如果把两条公网放在一个zone了,现在又要做nat server就用下面第二种方法:

nat server向外发服务器地址时可以在命令后加上no-reverse,映射两个公网上

USG6000V1nat server protocol tcp global 1.1.1.1 80 inside 192.168.0.1 80 no-re

verse

USG6000V1nat server protocol tcp global 1.1.1.2 80 inside 192.168.0.1 80 no-re

verse

dis firewall server-map

查看

firewall endpoint-independent filter enable

用于开启只根据server-map表转发,不受策略的控制,华为默认这个配置是开的。

双线,对外nat server时,要配置源进源出,两条外线接口上都要配置:

gateway 1.1.1.254 //是对端公网网关下一跳地址

redirect-rroute enable

不同版本命令不同:

redirect-reverse nexthop 1.1.1.254

防火墙在使用时的正确思路是:

第一步:先把默认策略打开全部放行

security-policy

default active permit

第二步:把正常的业务都配通,然后进行ping测试或业务连接测试。

第三步:用命令看数据zone的走向:dis firewall session table verbose

第四步:把看到数据走向的哪个区域到哪个区域都记下来,数据的来回正向和反向都要考虑到

第五步:按记下的数据zone走向起安全策略,哪个zone到哪个zone,包括数据来回正向和反向策略都要考虑在内。

第六步:关掉第一步的全部放行,改成默认全部拒绝,最后测试业务是否正常。

security-policy

default active deny

相关推荐
用户805533698031 小时前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297911 小时前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux
Web3探索者2 天前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zylyehuo2 天前
Linux系统中网线与USB网络共享冲突
linux
Sokach10153 天前
Linux Shell 脚本从零到能用:一个新手的一天学习总结
linux
AlfredZhao4 天前
Docker 容器时区不对,`timedatectl` 不存在怎么办?
linux·timezone
两个人的幸福5 天前
Windows 桌面应用自研 PHP 队列(下):完整代码与六大工程化优化
php
zzzzzz3105 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
XIAOHEZIcode5 天前
Linux系统鼠标偏移常见原因以及修复方案
linux·运维·游戏
A小辣椒7 天前
TShark:Wireshark CLI 功能
linux
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06【AI总结】2026年6月 主流国内外大模型总结07飞书长连接_事件订阅(接收消息,审批任务状态变更)08GitHub 镜像站点09Trae国际版与国内版深度测评:AI原生IDE的双生花10AI科技热点日报 | 2026年6月1日