华为防火墙过滤策略
2018-02-08 16:11
441 查看
华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077444431919.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤
我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077450253166.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
那么我们的目的就是让PC1和PC2互相ping不通
![](http://s1.51cto.com/images/20180208/1518077454931738.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
实验步骤:
1、创建针对trust区域的策略
2、创建策略1(然后在其中书写我们所需要的策略)
3、书写源地址以及反掩码(注意,这里写的是反掩码)
4、书写所针对的目标地址及其反掩码
5、通过一个动作控制它
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
现在我们来测试一下:
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077462761884.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
这就是所谓域内控制,非常简单,接下来说一下域间过滤策略
所谓域间过滤策略就是一个区域到另一个区域的过滤策略,比方说我们需要让untrust区域的client1可以ping通dmz区域的server1,那么就需要用到域间过滤策略。
从理论角度出发这个非常简单,我们允许untrust区域到dmz区域即可;但是,在真正的现实生活中,我们是绝对不会这样操作的,因为现实中不可能放开untrust和dmz的所有流量,也不可能人为的在防火墙上配置路由;也便是因为不希望放行所有的流量,我们才有了域间过滤策略
那么,接下来关于域间过滤策略的实验,我们希望达成这样一个目的:放开untrust到dmz中的ICMP,HTTP以及FTP服务
实验步骤:
第一步:创建一个服务集
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077469761373.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
第二步:开启策略(两区域间)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077473237120.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
到了现在,HTTP,ICMP就已经成功了,但是FTP肯定是失败的,因为FTP有双通道功能,而华为防火墙默认是不开启双通道的,我们先来测试一下HTTP以及ICMP是否成功
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077476476156.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077481403673.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077484257756.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
很显然,HTTP和IMCP都成功了,然而FTP果不其然的失败了
在说该怎么办之前,先说下FTP的工作模式吧(可以直接跳过去,不影响)
ftp是一种文件传输协议,不同于http,那是文本传输,ftp是文件传输;ftp的端口号有两个,21和20;21端口用来控制,也称之为控制端口,20端口用来做数据控制,也称为数据端口。
工作原理,先通过21端口与对方产生一个控制端口,再通过20端口与对方产生一个数据方面的连接
ftp有两种工作模式:分别为主动(PORT)和被动(PASV)
主动模式的工作流程
1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)
2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)
以上是控制层面的连接
3、FTP服务器的20端口到大于1024的随机端口(服务器初始化到客户端的时间连接)
4、大于1024的端口到FTP服务器的20端口(客户端给服务器的相应)
被动模式的工作流程
1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)
2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)
以上是控制层面的连接
3、从任何一个大于1024的随机端口到服务器的大于1024的随机端口(从客户端想服务器发起的数据层面的连接)
4、FTP服务器用大于1024的随机端口到PC的大于1024的随机端口(服务器想客户端的确认)
那么,针对防火墙,如何操作?
防火墙需要开启ASPF技术(应用层的安全监测)
这般即可
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077444431919.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤
我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077450253166.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
那么我们的目的就是让PC1和PC2互相ping不通
![](http://s1.51cto.com/images/20180208/1518077454931738.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
实验步骤:
1、创建针对trust区域的策略
2、创建策略1(然后在其中书写我们所需要的策略)
3、书写源地址以及反掩码(注意,这里写的是反掩码)
4、书写所针对的目标地址及其反掩码
5、通过一个动作控制它
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
现在我们来测试一下:
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077462761884.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
这就是所谓域内控制,非常简单,接下来说一下域间过滤策略
所谓域间过滤策略就是一个区域到另一个区域的过滤策略,比方说我们需要让untrust区域的client1可以ping通dmz区域的server1,那么就需要用到域间过滤策略。
从理论角度出发这个非常简单,我们允许untrust区域到dmz区域即可;但是,在真正的现实生活中,我们是绝对不会这样操作的,因为现实中不可能放开untrust和dmz的所有流量,也不可能人为的在防火墙上配置路由;也便是因为不希望放行所有的流量,我们才有了域间过滤策略
那么,接下来关于域间过滤策略的实验,我们希望达成这样一个目的:放开untrust到dmz中的ICMP,HTTP以及FTP服务
实验步骤:
第一步:创建一个服务集
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077469761373.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
第二步:开启策略(两区域间)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077473237120.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
到了现在,HTTP,ICMP就已经成功了,但是FTP肯定是失败的,因为FTP有双通道功能,而华为防火墙默认是不开启双通道的,我们先来测试一下HTTP以及ICMP是否成功
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077476476156.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077481403673.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
![](http://blog.51cto.com/static/js/ueditor1.4.3/themes/default/images/spacer.gif)
![](http://s1.51cto.com/images/20180208/1518077484257756.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
很显然,HTTP和IMCP都成功了,然而FTP果不其然的失败了
在说该怎么办之前,先说下FTP的工作模式吧(可以直接跳过去,不影响)
ftp是一种文件传输协议,不同于http,那是文本传输,ftp是文件传输;ftp的端口号有两个,21和20;21端口用来控制,也称之为控制端口,20端口用来做数据控制,也称为数据端口。
工作原理,先通过21端口与对方产生一个控制端口,再通过20端口与对方产生一个数据方面的连接
ftp有两种工作模式:分别为主动(PORT)和被动(PASV)
主动模式的工作流程
1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)
2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)
以上是控制层面的连接
3、FTP服务器的20端口到大于1024的随机端口(服务器初始化到客户端的时间连接)
4、大于1024的端口到FTP服务器的20端口(客户端给服务器的相应)
被动模式的工作流程
1、任何一个大于1024的随机端口到FTP服务器的21端口(客户端初始化连接)
2、FTP服务器的21端口到客户端大于1024的随机端口(服务器相应客户端的控制)
以上是控制层面的连接
3、从任何一个大于1024的随机端口到服务器的大于1024的随机端口(从客户端想服务器发起的数据层面的连接)
4、FTP服务器用大于1024的随机端口到PC的大于1024的随机端口(服务器想客户端的确认)
那么,针对防火墙,如何操作?
防火墙需要开启ASPF技术(应用层的安全监测)
firewall zone untrust detcet ftp |
相关文章推荐
- 华为防火墙安全策略配置
- 华为防火墙安全策略配置
- RouterOS防火墙与过滤详解(一)
- [经典]ISA(1)――防火墙策略执行过程
- ISA作为防火墙的过滤手段之一:包过滤/Packet Filtering
- ASA防火墙配置url过滤。详细实验步骤
- 华为防火墙文档资料以及版本下载
- 华为防火墙基础配置
- 华为防火墙学习笔记 二
- 远程登录华为防火墙以及用户权限的修改
- 2014华为校园招聘机试——字符串过滤、压缩等
- 华为防火墙L2TP配置
- 华为防火墙Edumon1000E配置
- 华为防火墙基本理论
- 华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例
- 防火墙策略管理firewall-1
- 来电过滤 全靠防火墙
- iptables增加、删除、修改、查询、保存防火墙策略教程
- 防火墙实现七层过滤