相关文章推荐
犯傻的小笼包  ·  H3C SecPath ...·  昨天    · 
踢足球的火腿肠  ·  云计算网络安全工程师和云原生架构师对比哪个好 ...·  10 月前    · 
踢足球的火腿肠  ·  2023网络安全工程师可以考哪些证书?_网络 ...·  10 月前    · 
踢足球的火腿肠  ·  Microsoft Certified: ...·  10 月前    · 
踢足球的火腿肠  ·  Hyper-V 防火墙| ...·  10 月前    · 
踢足球的火腿肠  ·  Windows 防火墙概述| ...·  10 月前    · 
小百科  ›  如何配置防火墙- 华为
局域网安全 系统日志 系统配置 防火墙透明模式 防火墙
冷冷的萝卜
1 年前

关于本文档

本文档是初识防火墙的引路者,阅读本文档后您将对防火墙配置过程有了初步认识,并完成防火墙基本配置。

入门型文档

专家型文档

防火墙基本配置过程的串接

所有特性的大全

聚焦防火墙接入Internet

覆盖所有场景

什么是防火墙

防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。

图1-1 所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为192.168.1.2的内网主机。

图1-1 防火墙控制流量转发

由上文可见,防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是 转发 ,防火墙的本质是 控制

防火墙控制网络流量的实现主要依托于 安全区域 安全策略 ,下文详细介绍。

接口与安全区域

前文提到防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同网络呢?答案就是安全区域(Security Zone)。通过将防火墙各接口划分到不同的安全区域,从而将接口连接的网络划分为不同的安全级别。 防火墙上的接口必须加入安全区域(部分机型的独立管理口除外)才能处理流量。

安全区域的设计理念可以减少网络攻击面,一旦划分安全区域,流量就无法在安全区域之间流动,除非管理员指定了合法的访问规则。如果网络被入侵,攻击者也只能访问同一个安全区域内的资源,这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。

接口加入安全区域代表接口所连接的网络加入安全区域,而不是指接口本身。接口、网络和安全区域的关系如 图1-2 所示。

图1-2 接口、网络和安全区域

防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高。 防火墙缺省存在trust、dmz、untrust和local四个安全区域,管理员还可以自定义安全区域实现更细粒度的控制。 例如,一个企业按 图1-3 划分防火墙的安全区域,内网接口加入trust安全区域,外网接口加入untrust安全区域,服务器区接口加入dmz安全区域,另外为访客区自定义名称为guest的安全区域。

一个接口只能加入到一个安全区域,一个安全区域下可以加入多个接口。

图1-3 划分安全区域

上图中有一个特殊的安全区域local,安全级别最高为100。local代表防火墙本身,local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出,凡是接收方是防火墙的报文(非转发报文)均可认为是由local安全区域接收。

另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel接口等,这些逻辑接口在使用时也需要加入安全区域。

前文提到防火墙通过规则控制流量,这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略来提供安全管控能力。

图1-4 所示,安全策略由匹配条件、动作和内容安全配置文件组成,针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

图1-4 安全策略的组成及Web界面

所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了,就必须全部符合才认为匹配,即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值,多个值之间是“或”的关系,只要流量匹配了其中任意一个值,就认为匹配了这个条件。

一条安全策略中的匹配条件越具体,其所描述的流量越精确。你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别、用户识别能力,更精确、更方便地配置安全策略。

穿墙安全策略与本地安全策略

穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如 图1-5 所示,内网PC既需要Telnet登录防火墙管理设备,又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。

图1-5 穿墙安全策略与本地安全策略
表1-1 穿墙安全策略和本地安全策略配置

类型

源安全区域

目的安全区域

源地址/地区

目的地址/地区

穿墙安全策略

Allow PC access Internet

trust

untrust

10.1.1.2/24

permit

本地安全策略

Allow PC telnet firewall

trust

local

10.1.1.2/24

10.1.1.1/24

telnet

permit

尤其讲下本地安全策略,也就是与local域相关相关的安全策略。以上例子中,位于trust域的PC登录防火墙,配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域,接口加入的安全区域代表接口连接的网络属于此安全区域,这样就可以分清防火墙本身和外界网络的域间关系了。

缺省安全策略与安全策略列表

防火墙存在一条缺省安全策略default,默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端,且不可删除。

用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前。防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配,则按照缺省策略处理。

由此可见,安全策略列表的顺序是影响策略是否按预期匹配的关键,新建安全策略后往往需要手动调整顺序。

企业的一台服务器地址为10.1.1.1,允许IP网段为10.2.1.0/24的办公区访问此服务器,配置了安全策略policy1。运行一段时间后,又要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器。

此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围,policy2永远无法被匹配。

policy1

10.2.1.0/24

10.1.1.1

policy2

10.2.1.1

10.2.1.2

10.1.1.1

default

USG6000E V600R007C20及以后版本: 无缺省管理员,首次登录时系统提示在线注册帐号。

USG6000E V600R007C20之前版本: 缺省管理员帐号和密码参见《 华为安全产品 缺省帐号与密码 》。

获取该文档需要权限,如需升级权限,请查看网站帮助。

其他业务接口

三层模式,未配置IP地址。

按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接,用于登录Web界面。如果使用命令行配置,首次登录请使用Console配置线连接管理PC的串口与设备的Console口。

图1-6 防火墙线缆连接

登录Web界面

推荐使用以下浏览器登录设备Web界面:

  • Internet Explorer浏览器:10-11
  • Firefox浏览器:62及以上版本
  • Chrome浏览器:64及以上版本
  1. 将管理员PC网口与设备的管理口(MEth 0/0/0或GigabitEthernet 0/0/0)通过网线直连或者通过二层交换机相连。
  2. 将管理员PC的IP地址设置为192.168.0.2~192.168.0.254范围内的IP地址。
  3. 在管理员PC的浏览器中输入地址:https://192.168.0.1:8443。

    输入地址登录后,浏览器会给出证书不安全的告警提示,选择继续浏览。

  4. 如果是首次登录设备,弹出创建管理员帐号界面。输入用户名、密码、确认密码,然后单击 “创建”

    首次登录创建的管理员,拥有系统管理员权限和Web服务类型。

  5. 帐号创建成功,在弹出的提示框中单击 “确定”
  6. 进入登录界面,输入已经创建的用户名、密码登录设备,单击 “登录”

    访问Web界面登录地址时,浏览器无法验证设备提供的默认证书,会有安全告警提示。可以在此界面上单击 “下载根证书” 下载证书,然后双击证书文件进安装,下次登录就没有安全告警提示了。

  7. 新帐号首次登录,系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码,单击 “确定”
  8. 重新进入登录界面,输入帐号和新密码,单击 “登录”

防火墙Web界面

防火墙Web界面采用横向板块+竖向菜单的导航方式,界面布局如下图所示。

图1-7 Web界面布局
  • 选择 网络 > 接口 ,可以修改管理口的IP地址,修改后需要重新登录。
  • 选择 系统 > 管理员 > 管理员 ,可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。

配置三层接入

防火墙缺省工作在三层,通常作为企业Internet出口网关,实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此,这种接入方式也被称为“路由模式”。

防火墙三层接入部署在内外网之间时,通常还需要负责内网的私网地址与外网的公网地址之间的转换,也就是NAT功能,因此这种接入方式又常被称为“NAT模式”。

图1-8 防火墙三层接入组网图

初始接入时,请使用Web界面提供的快速向导,根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。

  • 静态IP: 如果从网络服务商处获得固定的IP地址,请选择此接入方式。
  • PPPoE: 如果从网络服务商处获得用户名和密码进行拨号,请选择此接入方式。
  • DHCP: 如果从网络服务商自动获取IP地址,请选择此接入方式。

执行快速向导后,防火墙具备的基本配置如下:

接口编号:GE0/0/3

IP地址:1.1.1.1/24

需要从网络服务商获取参数。

网络服务商默认网关

1.1.1.254

DNS服务器地址

主用DNS服务器地址:2.2.2.2

备用DNS服务器地址:2.2.2.22

局域网接口

接口编号:GE0/0/2

IP地址:10.1.1.1/24

是否启用DHCP服务为局域网分配IP地址

如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。

  1. 选择 系统 > 快速向导
  2. 单击 “下一步”
  3. 根据需要修改主机名、管理员密码,然后单击 “下一步” 。如果无需修改,单击 “跳过”
  4. 根据设备的所在地配置系统时间,然后单击 “下一步”
  5. 选择接入互联网方式为 “静态IP” ,然后单击 “下一步”
  6. 配置接入互联网参数,然后单击 “下一步”

  7. 配置局域网接口,然后单击 “下一步”

  8. 启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击 “下一步”

    当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。

  9. 核对配置信息无误后,单击 “应用”
  10. 系统提示配置成功,单击 “完成”
  11. 配置基础安全策略 ,允许局域网PC访问Internet。
  12. 配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

接口编号:GE0/0/3

IP地址:通过PPPoE拨号自动获取

拨号用户名:pppoe1

拨号密码:Admin@1234

需要从网络服务商获取参数。

DNS服务器地址

通过PPPoE拨号自动获取

局域网接口

接口编号:GE0/0/2

IP地址:10.1.1.1/24

是否启用DHCP服务为局域网分配IP地址

如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。

  1. 选择 系统 > 快速向导
  2. 单击 “下一步”
  3. 根据需要修改主机名、管理员密码,然后单击 “下一步” 。如果无需修改,单击 “跳过”
  4. 根据设备的所在地配置系统时间,然后单击 “下一步”
  5. 选择接入互联网方式为 “PPPoE” ,然后单击 “下一步”
  6. 配置接入互联网参数,然后单击 “下一步”

  7. 配置局域网接口,然后单击 “下一步”

  8. 启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击 “下一步”

    当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。

  9. 核对配置信息无误后,单击 “应用”
  10. 系统提示配置成功,单击 “完成”
  11. 配置基础安全策略 ,允许局域网PC访问Internet。
  12. 配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

接口编号:GE0/0/3

IP地址:通过DHCP自动获取

DNS服务器地址

通过DHCP自动获取

局域网接口

接口编号:GE0/0/2

IP地址:10.1.1.1/24

是否启用DHCP服务为局域网分配IP地址

如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。

  1. 选择 系统 > 快速向导
  2. 单击 “下一步”
  3. 根据需要修改主机名、管理员密码,然后单击 “下一步” 。如果无需修改,单击 “跳过”
  4. 根据设备的所在地配置系统时间,然后单击 “下一步”
  5. 选择接入互联网方式为 “DHCP” ,然后单击 “下一步”
  6. 配置接入互联网参数,然后单击 “下一步”

  7. 配置局域网接口,然后单击 “下一步”

  8. 启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击 “下一步”

    当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。

  9. 核对配置信息无误后,单击 “应用”
  10. 系统提示配置成功,单击 “完成”
  11. 配置基础安全策略 ,允许局域网PC访问Internet。
  12. 配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

配置基础安全策略

快速向导已经运行完毕。

  1. 选择 策略 > 安全策略 > 安全策略
  2. 新建安全策略,允许局域网PC访问Internet。

    配置二层透明接入

    二层透明接入就是防火墙使用两个二层接口接入网络,通常部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构,不需要调整上下行设备路由,因此也称为“透明模式”。

    二层透明接入防火墙同样具备安全防护能力,也需要配置安全策略,只是部分三层特有的功能二层接口不支持,例如路由。但是可以使用VLANIF作为三层接口。

    防火墙无需全局切换路由模式、透明模式,而是进行接口级别的模式切换。接口工作在三层,就可以实现三层网关的功能;接口工作在二层,就可以实现二层透明接入的功能。二、三层接入可以并存。

    如下图所示,防火墙一般部署在出口路由器的内侧,防火墙下行是交换机,上行是路由器。根据组网情况,可能路由器做内网用户网关,也可能三层交换机做内网用户网关。

    防火墙透明接入组网中,一般使用路由器做源NAT,但是防火墙也支持做源NAT转换。下图中,当三层交换机做内网用户网关时可以在防火墙上配置源NAT。

    图1-9 防火墙二层透明接入组网图
    1. 配置二层接口。
      1. 选择 网络 > 接口
      2. 配置GE0/0/2接口为交换模式,并将接口加入安全区域。

        单击 “确定” ,然后在接口列表中修改GE0/0/2的安全区域为trust。

        根据与防火墙连接的交换机的配置情况,配置防火墙二层接口的连接类型是Trunk还是Access。透明接入防火墙类似于二层交换机。

        如果防火墙接口是Trunk类型转发VLAN,则需要在路由器上配置子接口终结VLAN。

      3. 配置GE0/0/3接口为交换模式,并将接口加入安全区域。

        单击 “确定” ,然后在接口列表中修改GE0/0/3的安全区域为untrust。

      4. 配置基础安全策略允许内网用户访问Internet。
        1. 选择 策略 > 安全策略 > 安全策略
        2. 新建安全策略。

        3. 配置交换机和路由器的VLAN、接口及IP地址等,具体步骤略。
        4. 可选: 配置源NAT转换内网用户IP地址。

          当三层交换机做内网用户网关时,可以选择防火墙做源NAT。

          1. 选择 策略 > NAT策略 > NAT策略
          2. 选择 “源转换地址池” 页签,新建地址池,地址池中是可供使用的公网IP地址范围。

          3. 选择 “NAT 策略” 页签,新建NAT策略。

          4. 在三层交换机上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的黑洞路由。 

            <switch> system-view 
[switch] ip route-static 1.1.1.1 32 NULL0 
[switch] ip route-static 1.1.1.2 32 NULL0 
[switch] ip route-static 1.1.1.3 32 NULL0  
[switch] ip route-static 1.1.1.4 32 NULL0  
[switch] ip route-static 1.1.1.5 32 NULL0
          5. 在路由器上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的静态路由,下一跳为交换机VLANIF10的地址10.2.1.1。 

            <router> system-view
[router] ip route-static 1.1.1.1 32 10.2.1.1
[router] ip route-static 1.1.1.2 32 10.2.1.1
[router] ip route-static 1.1.1.3 32 10.2.1.1
[router] ip route-static 1.1.1.4 32 10.2.1.1 
[router] ip route-static 1.1.1.5 32 10.2.1.1

            透明接入时,管理员首次登录通过管理口登录防火墙。如果需要使用业务口登录防火墙,或者防火墙需要访问外部地址,均需要配置VLANIF接口IP地址。

            本例中是VLANIF10,配置如下,注意VLANIF10的IP地址需要与防火墙上下行设备IP地址同一网段。

            建立防火墙访问外部服务通道

            配置三层接入 配置二层透明接入 中完成了内网PC访问Internet的基础网络部署,防火墙本身进行特征库升级、License在线激活等需要防火墙可以访问Internet的外部服务。

            1. 确保防火墙提供一个三层接口IP地址连接安全中心、License中心等。

              三层接入一般使用公网接口IP地址即可;二层透明接入则需要配置一个VLANIF接口,配置接口IP并加入安全区域,具体步骤参见 二层透明接入后续处理

              另外注意确保该地址到Internet路由可达。

            2. 确保防火墙已经配置DNS服务器,否则防火墙无法通过域名访问外部服务。

              选择 网络 > DNS > DNS ,检查是否已经配置了DNS服务器,如果没有配置请增加DNS服务器。

            3. 可选: 如果接口IP是私网地址,还需要配置源NAT。

              二层透明接入时,根据规划可能防火墙进行NAT转换,也可能出口路由器进行NAT转换。

              选择 策略 > NAT策略 > NAT策略 ,配置NAT策略对接口IP地址进行转换。

            4. 配置安全策略允许防火墙访问外部服务、DNS服务器等。

              选择 策略 > 安全策略 > 安全策略 ,允许local安全区域访问Internet所在安全区域。

              放行的服务等根据业务需求制定,例如防火墙访问DNS服务器要放行DNS,防火墙升级特征库要放行HTTPS。

              完成上述配置后,内网PC、防火墙均可以访问Internet,可以按如下操作进行测试。

              测试内网PC访问Internet

              在内网PC浏览器中输入一个网址,测试是否可以打开网页。如果打开网页失败,尝试如下方法排障:

              1. 选择 网络 > 接口 ,在接口列表中检查防火墙内、外网接口的状态是否Up。如果外网接口Down,请确认防火墙的配置与网络服务商提供的参数是否一致。
              2. 检查内网PC是否正常设置IP地址和DNS服务器;如果配置了防火墙为PC分配地址,则在cmd窗口执行 ipconfig /all 命令检查PC是否正常通过防火墙获取IP地址和DNS服务器,如果PC没有获取到地址请检查防火墙的DHCP服务配置。
              3. 登录防火墙Web界面选择 监控 > 诊断中心 ,单击 “网页诊断” 页签。输入内网PC的IP地址以及网页URL,单击 “诊断” 。根据诊断信息进行故障处理。

              测试防火墙访问Internet

              使用防火墙Web界面提供的升级中心(isecurity.huawei.com)连通性测试功能进行测试。

              选择 系统 > 升级中心 ,单击 “测试升级中心链接” 链接,弹出检测结果页面。如果连接失败,请按照提示信息进行修改。

              配置安全策略

              接口和安全区域配置完成后,需要配置 安全策略 允许流量通过防火墙。另外安全策略允许的流量不代表没有威胁,还可以在安全策略中引用内容安全配置文件进行入侵、病毒等检测。

              这里配置的安全策略用于防火墙的上线运行,确保防火墙可以正常工作后,需要结合日志、业务情况不断调整,使防火墙更好地保护网络安全,具体参见《 华为防火墙 安全策略精要 》。

              以下给出的安全策略配置仅作为举例,请根据实际流量互访要求配置。匹配条件越精细越好,避免防火墙放行多余流量。

              1. 选择 策略 > 安全策略 > 安全策略
              2. 配置允许外网用户访问内网的Web服务器10.2.1.5,并引用缺省入侵防御配置文件对流量进行威胁检测。

              3. 继续配置其他安全策略,步骤略。

              配置NAT

              初始配置中,快速向导自动生成了一条将访问Internet流量的源IP转换为公网接口IP的源NAT策略。可以直接使用,也可以修改配置。另外当企业有供外网用户访问的服务器时,还需要配置NAT Server将服务器私网IP地址映射成公网IP地址。

              1. 配置源NAT。

                源NAT有两种地址转换方式:

                • 地址池方式:如果有多个公网地址可以使用,一般采用地址池方式。此方式需要创建NAT地址池以限定可使用的公网地址范围。
                • 出接口地址方式:如果只有防火墙公网接口上的公网地址可用,一般采用出接口地址方式。此方式内网PC直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取不固定的情况。
                1. 可选: 选择 策略 > NAT策略 > NAT策略 > 源转换地址池 ,配置公网IP地址池。

                2. 选择 策略 > NAT策略 > NAT策略 > NAT策略 ,配置源NAT策略。

                  地址池方式源NAT需要引用地址池;出接口方式源NAT无需指定地址池,直接将源地址转换为报文出接口IP地址。

                3. 配置NAT Server(服务器映射)
                  1. 选择 策略 > NAT策略 > 服务器映射
                  2. 新建服务器映射。

                    防火墙部分高级业务受License控制,如需使用先激活License。

                    防火墙支持在线激活License和手动激活License两种方式:

                    以下只给出激活License步骤,具体如何申请License、License控制项等更多内容详见《 License使用指南 》。

                    本节中出现的License控制项为示例,请以实际购买为准。

                    1. 选择 系统 > License管理
                    2. 根据需要选择激活方式。

                      在线激活

                      升级最新的特征库可以识别更多的应用、病毒和威胁,提高系统的安全防护能力。

                      有三种方式可以升级特征库:

                      • 定时升级:设定设备在特定的时间自动连接安全中心进行特征库升级。 注意避开业务高峰期,以免影响业务。
                      • 立即升级:设备立即连接安全中心进行一次特征库升级。
                      • 本地升级:从安全中心isecurity.huawei.com下载特征库文件,手动上传到设备升级。适用于设备不能直接连接Internet的情况。

                      建议在初次使用防火墙时进行一次立即升级,然后配置定时升级,使设备特征库及时自动更新。

                      1. 选择 系统 > 升级中心
                      2. 依次单击每个特征库对应的“立即升级”按钮,立即进行一次升级。
                      3. 立即升级完毕后,依次单击每个特征库对应的“定时升级时间”,配置定时升级时间。建议将时间设置为晚上业务流量较少的时候。

                      配置高级业务

                      现在防火墙已经接入网络,并具备基本安全功能。下一步您可以开始配置其他高级特性,以下列举一些常用特性,具体配置请查阅 产品文档

                      • 双机热备: 部署两台防火墙进行备份,实现在一台防火墙故障时,另外一台防火墙能够迅速接替故障防火墙的工作,保证业务流量不中断。
                      • VPN: 防火墙支持IPSec VPN、SSL VPN、L2TP、GRE等多种VPN,满足分支互联、移动办公需要。
                      • 智能选路: 当企业通过多ISP接入Internet时,防火墙提供动态、静态智能选路功能,按照管理员配置的选路方式调整流量分配,最大化利用链路资源。
                      • 用户认证: 主机动态获取IP地址、同一主机多人登录,基于IP地址的策略控制无法针对具体的人。防火墙提供用户认证功能,对认证通过的用户进行权限管控。
                      • 内容安全: 基础安全策略只控制是否放行流量,防火墙提供内容安全功能,针对放行的流量深度检测应用层数据。内容安全功能包括入侵防御、反病毒、URL过滤、文件过滤、内容过滤、邮件过滤等。
                      • 加密流量检测: 越来越多的应用流量采用加密传输,需要配置加密流量检测功能对SSL流量进行解密再执行内容安全检测。
                      • 带宽管理: 企业购买的带宽有限,带宽管理功能提供带宽限制、关键业务带宽保证等功能,提高带宽利用率。

                      配置日志功能持续监控流量

                      日志记录对监控网络安全性、监控业务运行状态、监控防火墙运行状态至关重要。管理员定期分析日志,调整防火墙配置,确保防火墙对网络的持续保护。

                      防火墙支持会话日志、流量日志、策略命中日志、威胁日志、系统日志等丰富的日志类型。 表1-3 列举常用日志类型,更多信息查阅产品文档。

                      表1-3 常用日志类型

                      日志类型

                      配置方法提要

                      报文经过防火墙处理后会建立会话,会话日志记录了连接信息,主要用于故障定位和溯源。

                      会话日志只能输出到日志主机查看。

                      1. 选择 系统 > 日志配置 > 日志配置 ,配置会话日志主机IP地址及日志格式。

                        一般使用缺省的二进制日志格式即可。

                      2. 在安全策略编辑界面中,设置 “记录会话日志” “启用” ,匹配此条安全策略的会话都会记录日志。

                      流量日志记录了到达或通过防火墙的流量信息,流量日志有助于分析网络流量组成,为进一步调整安全策略提供输入。

                      这几类日志属于业务日志,可以在Web界面查看,也可输出到日志服务器查看。这里只给出在Web界面的查看步骤。

                      1. 在安全策略编辑界面中,设置 “记录流量日志” “记录策略命中日志” “启用” ,匹配此条安全策略的流量记录流量日志和策略命中日志。
                      2. 选择 监控 > 日志 ,查看流量日志、策略命中日志、威胁日志。

                      策略命中日志

                      策略命中日志记录了命中安全策略的流量情况。可以从策略命中日志中了解哪些流量命中了指定的安全策略,从而验证安全策略是否达到了预想的效果。

                      威胁日志记录了防火墙检测到的入侵、病毒、DDoS攻击等威胁信息,帮助了解网络中的威胁事件。根据威胁日志,可以调整防火墙的安全防护配置、隔离攻击源。

                      系统日志也叫Syslog日志,记录了系统运行过程中所产生的日志,用于了解设备是否正常进行。

                      系统日志可以在Web界面、CLI终端、日志服务器等查看。这里只给出在Web界面的查看步骤。

                      1. 选择 监控 > 日志 ,查看系统日志。
 
推荐文章
犯傻的小笼包  ·  H3C SecPath F100/1000-X-HI防火墙_深信服总代,飞塔总代,华三总代 ...
昨天
踢足球的火腿肠  ·  云计算网络安全工程师和云原生架构师对比哪个好一点- CSDN文库
10 月前
踢足球的火腿肠  ·  2023网络安全工程师可以考哪些证书?_网络安全工程师考证-CSDN ...
10 月前
踢足球的火腿肠  ·  Microsoft Certified: Cybersecurity Architect Expert - Certifications
10 月前
踢足球的火腿肠  ·  Hyper-V 防火墙| Microsoft Learn
10 月前
踢足球的火腿肠  ·  Windows 防火墙概述| Microsoft Learn
10 月前
Link管理   ·   Sov5搜索   ·   小百科
小百科 - 百科知识指南