防火墙在解决方案及典型项目中的应用

知孤云出岫2024-03-27 4:08

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用
解决方案 文档 主要应用
CloudFabric云数据中心网解决方案 资料专区 防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。 为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。 同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。
CloudCampus解决方案 资料专区 防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。 防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。
HiSec解决方案 资料专区 HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。 防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。 HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。
防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。

典型场景 文档 主要应用
校园出口 防火墙在校园出口安全方案中的应用 防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。
广电出口 防火墙在广电出口安全方案中的应用 防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。
金融数据中心 防火墙在金融数据中心安全方案中的应用 防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。
企业园区出口 防火墙在企业园区出口安全方案中的应用 防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。
云计算 防火墙在云计算安全方案中的应用 防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。 主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例:管理员使用HTTPS方式登录设备(默认证书)

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。

组网需求

图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS(默认证书)登录Web界面组网图

数据规划
项目 数据 说明
用户名 webadmin -
密码 Myadmin@123 -
认证类型 本地认证 -
角色 service-admin service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。
管理员信任主机 10.3.0.0/24 通过IP地址限制管理员所在区域。
服务类型 Web -
Web服务超时时间 5分钟 -
配置思路

  1. 配置登录接口。

  2. 创建管理员、管理员角色,为管理员配置信任主机。

  3. 验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤

  1. 可选: 配置登录接口。

    如果使用管理口的缺省配置登录设备,无需执行此步骤。

    管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。

    1. 配置接口信息。

      javascript 复制代码 
      [FW] interface GigabitEthernet 1/0/3  
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] service-manage enable
[FW-GigabitEthernet1/0/3] service-manage https permit
[FW-GigabitEthernet1/0/3] quit

    2. 将接口加入安全区域。

      javascript 复制代码 
      [FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet1/0/3
[FW-zone-trust] quit

  2. 创建管理员。

    1. 为管理员配置信任主机。

      javascript 复制代码 
      [FW] acl 2001                                                                   
[FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
[FW-acl-basic-2001] rule 10 deny
[FW-acl-basic-2001] quit

    2. 可选: 创建管理员角色。

      如果使用缺省的管理员角色,请忽略此步骤。

      javascript 复制代码 
      [FW] aaa
[FW-aaa] role service-admin
[FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
[FW-aaa-role-service-admin] dashboard none
[FW-aaa-role-service-admin] monitor none
[FW-aaa-role-service-admin] system none
[FW-aaa-role-service-admin] network read-write
[FW-aaa-role-service-admin] object read-write
[FW-aaa-role-service-admin] policy read-write
[FW-aaa-role-service-admin] quit

    3. 创建管理员,并为管理员绑定角色。

      javascript 复制代码 
      [FW-aaa] manager-user webadmin
[FW-aaa-manager-user-webadmin] password
Enter Password: 
Confirm Password:   
[FW-aaa-manager-user-webadmin] service-type web
[FW-aaa-manager-user-webadmin] access-limit 10
[FW-aaa-manager-user-webadmin] acl-number 2001
[FW-aaa-manager-user-webadmin] quit
[FW-aaa] bind manager-user webadmin role service-admin
[FW-aaa] quit

  3. 验证管理员登录Web界面。

    1. 配置管理员PC的IP地址为10.3.0.10/24。

    2. PC中打开网络浏览器,访问需要登录设备的IP地址"https://10.3.0.1:8443"。

      输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。

    3. 在登录界面中输入管理员的用户名"webadmin"和密码"Myadmin@123",单击"登录",进入Web界面,管理员配置成功。

配置脚本
javascript 复制代码 
#                             
interface GigabitEthernet1/0/3
 ip address 10.3.0.1 255.255.255.0   
 service-manage https permit  
# 
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/3
#                             
acl number 2001               
 rule 5 permit source 10.3.0.0 0.0.0.255 
 rule 10 deny
#                             
 web-manager security enable
 web-manager timeout 5        
#       
aaa                           
 authentication-scheme default
#                            
manager-user webadmin        
 password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@
 service-type web
 level 15                   
 acl-number 2001            
#                            
 bind manager-user webadmin role service-admin 
role service-admin            
  description policy_object_network_readwrite_and_other_modules_none
 dashboard none
 monitor none
 system none
 network read-write 
 object read-write
 policy read-write
#
return
相关推荐
_kaika136 分钟前
使用 1Panel PHP 运行环境部署 WordPress
开发语言·php
wuyoula1 小时前
deepseekAI对接大模型的网页PHP源码带管理后台(可实现上传分析文件)
开发语言·php
开开心心就好1 小时前
电脑桌面整理工具,一键自动分类
运维·服务器·前端·智能手机·pdf·bash·symfony
Xudde.2 小时前
解决了困扰我的upload靶场无法解析phtml等后缀的问题
学习·安全·php
神一样的老师3 小时前
Linux下编译海思WS63 SDK全攻略
linux·运维·服务器
星释3 小时前
虚拟主机CPU占用100导致打不开的一次处理
php·虚拟主机·vps
alin、m3 小时前
银河麒麟(Kylin) - V10 GFB高级服务器操作系统ARM64部署昇腾910b训练机以及Docker安装
运维·服务器·docker·arm·kylin
阿巴~阿巴~4 小时前
深入解析:磁盘级文件与内存级(被打开)文件的本质区别与联系
linux·运维·服务器·数据库·缓存
quant_19864 小时前
如何通过 WebSocket 接口订阅实时外汇行情数据(PHP 示例)
开发语言·网络·后端·websocket·网络协议·金融·php
老六ip加速器4 小时前
如何把手机ip地址切换到外省
开发语言·php
热门推荐
01全球最强模型Grok4,国内已可免费使用!(附教程)02KGG转MP3工具|非KGM文件|解密音频03Coze扣子平台完整体验和实践(附国内和国际版对比)04LOT: 通过逻辑增强大型语言模型的零样本Chain-of-Thought推理能力05使用Ruby接入实时行情API教程06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07《深入设计模式》模式结构汇总08集群聊天服务器---MySQL数据库的建立09DeepSeek各版本说明与优缺点分析10基于odoo17的设计模式详解---单例模式