当前位置: 首页 > news >正文

防火墙安全策略基础配置

news 2025/5/13 6:27:31

拓朴图

设备基础配置
# AR1 路由器配置
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0
[Huawei]ip route-static 192.168.1.0 255.255.255.0 1.1.1.1# FW1 防火墙配置
[USG6000V1]sysname FW1
[FW1]interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit 
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet1/0/0
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit
安全策略配置
1. 策略创建与顺序调整
[FW1]security-policy
[FW1-policy-security]rule name policy1
[FW1-policy-security]rule name policy3
[FW1-policy-security]rule name policy2
# 移动策略顺序:policy2 调整至 policy1 后
[FW1-policy-security]rule move policy2 after policy1
2. 策略规则示例
# 策略 policy1 的详细配置
[FW1-policy-security-rule-policy1]source-address range 192.168.1.0 192.168.1.255
[FW1-policy-security-rule-policy1]destination-address 1.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit
数据五元组
字段说明
源IP数据包来源地址
目的IP数据包目标地址
源端口数据包来源端口
目的端口数据包目标端口
协议服务类型(如TCP/UDP)
策略匹配现象观察
策略顺序调整前:
Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
2        policy3       enable     -            0            
3        policy2       enable     -            0           
0        default       enable     deny         0
策略顺序调整后:
Total:4 
RULE ID  RULE NAME     STATE      ACTION       HITS        
--------------------------------------------------------- 
1        policy1       enable     -            0            
3        policy2       enable     -            0            
2        policy3       enable     -            0           
0        default       enable     deny         0

匹配顺序原则:先配置的策略优先匹配。

状态检测防火墙机制
  1. 处理流程
    • 首包检测:匹配安全策略后创建会话表。
    • 后续报文:直接匹配会话表放行,无需再次检查策略。
    • 会话表示例
dis firewall session table

icmp  VPN: public --> public  192.168.1.1:11642 --> 1.1.1.2:2048
  1. 优先级
    • 会话表 > 安全策略 > 默认拒绝(default deny)。
ASPF应用层包过滤(以FTP为例)

拓朴图

1. FTP双通道工作流程
  1. 控制通道(端口21):
    • 客户端发送请求(源端口随机 → 目的端口21)。
  2. 数据通道(动态端口如2052):
    • 服务器通过控制通道通知客户端数据端口(如2052)。
    • 客户端发起数据请求(源端口随机 → 目的端口2052)。
2. 安全策略限制
# 允许外部访问内部FTP服务器
[FW1-policy-security-rule-FTPpolicy1]source-zone untrust
[FW1-policy-security-rule-FTPpolicy1]destination-zone trust
[FW1-policy-security-rule-FTPpolicy1]destination-address 192.168.1.2 32
[FW1-policy-security-rule-FTPpolicy1]service ftp
[FW1-policy-security-rule-FTPpolicy1]action permit
3. ASPF的作用
  • 问题:传统策略无法放行动态端口(如2052)。
  • 解决方案(作用):ASPF自动解析应用层协议,动态生成会话表项放行数据通道流量。
http://www.xdnf.cn/news/406117.html

相关文章:

  • 学习黑客BitLocker与TPM详解
  • 【大数据】MapReduce 编程--WordCount
  • AI赋能:构建个性化智能学习规划系统
  • Android 中 Handler (创建时)内存泄漏问题及解决方案
  • PDFMathTranslate:科学 PDF 文件翻译及双语对照工具
  • Web4X:站在Web4.0时代的起点,定义AI商业新生态
  • 专业知识的检索过程 stepbystep - 样例
  • ARM-CortexM固件升级相关问题研究
  • 采用AI神经网络降噪算法的通信语音降噪(ENC)模组性能测试和应用
  • 学习笔记:Conda 环境共享
  • 2025年SDK游戏盾技术深度解析:AI赋能下的DDoS/CC攻击防御革命
  • Html5新特性_js 给元素自定义属性_json 详解_浅克隆与深克隆
  • 模型上下文协议(MCP):AI的“万能插座”
  • Halcon案例(一):C#联合Halcon识别路由器上的散热孔
  • 【Vue3】使用vite创建Vue3工程、Vue3基本语法讲解
  • Windows 添加 hosts 映射
  • 零碳园区能源系统-多能互补体系
  • 星海智算云平台部署GPT-SoVITS模型教程
  • 傲云源墅:以五傲价值重构北京主城别墅格局
  • Spring MVC 和 Spring Boot 是如何访问静态资源的?
  • MySQL数据库表的约束
  • 反弹shell再入门
  • MySQL查询优化100条军规
  • 深度解析RagFlow:本地大模型驱动的高效知识库应用搭建指南
  • Java MVC
  • nRF5_SDK_17.1.0_ddde560之ble_app_uart_c 出错
  • [Java实战]Spring Boot 整合 Session 共享(十七)
  • LintCode第42题-最大子数组 II
  • 《Vuejs设计与实现》第 5 章(非原始值响应式方案) 中
  • OpenCV 的 CUDA 模块中用于将一个多通道 GpuMat 图像拆分成多个单通道图像的函数split()