一、網路裝置基礎
1.1 園區網路安全部署場景
- 一般園區網路中,由最基礎的路由器與交換機組成網路,為了安全,在網路中部署防火牆
- 在那些區域需要部署防火牆
- 在網路的出入口區域部署
- 在重要的伺服器區域部署
- 資料中心區的伺服器一般只對內網使用者提供服務,而DMZ區域面向外部使用者提供服務。
- 分支/合作伙伴出口處也會部署防火牆,這樣就可以在兩個防火牆之間部署IPSec VPN實現兩個區域內網的互訪。
1.2 三級等保解決方案
- Huawei NGFW防火牆整合了IPS與WAF功能,但如果一臺裝置將這些功能全部實現,必然會造成裝置效能的下降,所以為了實現更安全的內部網路,不同功能由專門的裝置來實現最安全。
- 安全產品
- NGFW(華為防火牆)
- ASG(上網行為管理)
- IPS(入侵防禦系統)
- AntiDDos(DDos防禦)
- 安全態勢感知
- 網路安全管理
- WAF(Web服務安全裝置)
- APT(沙箱)
1.3 華為安全產品線
二、防火牆基礎
2.1 eNSP中防火牆基本操作
本機透過Web訪問防火牆不需要新增環回網路卡,在eNSP中進行橋接,具體操作如下:
1. Telnet管理防火牆,現網中不安全不推薦
2. Web介面管理防火牆推薦
3. SSH管理防火牆安全
system-view
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
quit
ssh authentication-type default password
rsa local-key-pair create
stelnet server enable
ssh user nc086
ssh user nc086 authentication-type password
ssh user nc086 service-type stelnet
int g0/0/0
service-manage ssh permit
2.2 防火牆特徵