一、網路裝置基礎
1.1 園區網路安全部署場景
- 一般園區網路中,由最基礎的路由器與交換機組成網路,為了安全,在網路中部署防火牆
- 在那些區域需要部署防火牆
- 在網路的出入口區域部署
- 在重要的伺服器區域部署
- 資料中心區的伺服器一般只對內網使用者提供服務,而DMZ區域面向外部使用者提供服務。
- 分支/合作伙伴出口處也會部署防火牆,這樣就可以在兩個防火牆之間部署IPSec VPN實現兩個區域內網的互訪。
1.2 三級等保解決方案
- Huawei NGFW防火牆整合了IPS與WAF功能,但如果一臺裝置將這些功能全部實現,必然會造成裝置效能的下降,所以為了實現更安全的內部網路,不同功能由專門的裝置來實現最安全。
- 安全產品
- NGFW(華為防火牆)訪問行為控制、身份認證、VPN技術、入侵防禦...
- ASG(上網行為管理)流量控制、應用控制、行為控制...
- IPS(入侵防禦系統)入侵檢測、病毒檢測...
- AntiDDos(DDos防禦)防止DDos分散式拒絕服務攻擊...
- 安全態勢感知(視覺化感知)
- 網路安全管理(視覺化管理)
- WAF(Web服務安全裝置)
- APT(沙箱)病毒檢測...
1.3 華為安全產品線
二、防火牆基礎
2.1 eNSP中防火牆基本操作
本機透過Web訪問防火牆不需要新增環回網路卡,在eNSP中進行橋接,具體操作如下:
1. Telnet管理防火牆,現網中不安全不推薦
2. Web介面管理防火牆推薦
3. SSH管理防火牆安全(配置命令👇)
system-view
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
quit
ssh authentication-type default password
rsa local-key-pair create
stelnet server enable
ssh user nc086
ssh user nc086 authentication-type password
ssh user nc086 service-type stelnet
int g0/0/0
service-manage ssh permit
2.2 防火牆特徵
- 防火牆將每一個網路理解成一個邏輯區域,所以連線該網路的介面必須劃入一個安全區域,防火牆的介面必須劃入安全區域,該介面無法工作,因為無法判斷流量如何流動。
- 一個安全區域可以包含多個介面,一個介面只能屬於一個安全區域(本地意義)。
- 預設安全區域:
- 本地區域:防火牆所有介面都屬於Local區域且無法修改。
- 信任區域:一般將內網劃入Trust區域。
- 非軍事化管理區域:一般將伺服器劃入DMZ區域。
- 非信任區域:一般將外網劃入到Untrust區域。
- 安全級別按順序從高(出)低(入):100,85,50,5(及自定義區域不能重複使用級別)。
- 區域之間訪問:
- 上一代防火牆預設級別高可以訪問級別低區域,低區域不能訪問高區域。
- 下一代防火牆預設所有區域之間都不安全拒絕,同區域之間互相預設允許。
2.3 防火牆的分類
按照訪問控制的方式分為:
- 包過濾防火牆
- 應用代理防火牆
- 狀態檢測防火牆
2.3.1 關於傳統防火牆