HCIE-Security Day1:防火墙了解实验环境搭建三种方式管理防火墙

Posted 小梁L同学

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HCIE-Security Day1:防火墙了解实验环境搭建三种方式管理防火墙相关的知识,希望对你有一定的参考价值。

HCIE-Security

防火墙了解

路由器、交换机、防火墙是最重要的三类网络设备。

交换机是部署在企业内部,用于实现局域网络互联,vlan划分的功能。路由器是部署在企业网络边缘,实现与其他节点,分支机构或者互联网连接的设备。园区网络内部,一般包含办公区,普通用户的业务一般在这里,数据中心,部署了很多服务器。为了保证企业网络的安全性,需要部署防火墙,防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。

防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了一些服务器,那么为什么不把这些服务器部署在数据中心呢?数据中心一般部署的服务器所承载的业务是企业内部员工来访问的,不允许外部用户来访问,而DMZ区部署的服务同时允许外部用户和内部用户来访问,比如邮件服务器等,web服务器等。这就是分区域的部署,可以提高网络的安全性。这就是通用的网络规划。

本节点和分支机构之间的访问如何进行呢?

分支机构也会部署防火墙,在两个防火墙之间,可以通过部署ipsecvpn来建立加密隧道,实现内网之间的互相访问。对于出差的员工,可以使用sslvpn、l2tp等连接到企业内网。

IPsec协议工作在OSI 模型的第三层,可以保护TCP/UDP等三层以上的数据。与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。

安全就是只让通的通,没必要的都不要通。

一般在DMZ区上下游部署两道防火墙,这样可以减少攻*击对于业务的破坏,增加冗余,提高防护能力。

目前安全的思想是纵深防御思想。

安全设备有:防火墙(NGFW)、IPS(NIP6000)、WAF(web安全)、APT沙箱、SSLVPN设备等

USG6000V一般部署在云计算、数据中心里面。


防火墙和电脑的桥接方法

ensp中添加防火墙需要额外导入其vdi包,关于vdi包可以私信博主获得。

HCIE-Security

HCIE-Security

USG6000V有7个接口,其中g0/0/0是防火墙的网管口,有默认的ip地址,一般是192.168.0.1,不跑业务数据,仅能网管。

华为防火墙默认账户:admin

默认密*码Admin@123

HCIE-Security

输入后,系统建议修改默认密*码,我们可以将其修改为自己喜欢的口令。当然也可以不去修改它。

HCIE-Security

修改后,就可以进入视图界面了。

HCIE-Security

除了使用这种串口线连接console口的方式,还有三种登录到防火墙的方法,这也是我们日后对其进行管理的主要方法。为了说明问题,我们首先需要桥接真实机与ensp中的防火墙,需要借助到ensp中的云这一功能。

HCIE-Security

HCIE-Security

可以看到我们选择了vmnet1作为桥接地址,所以需要将防火墙的g0/0/0的ip地址配置到同一网段下,并且为了方便我们对其进行测试,需要放开ping的数据流量。

HCIE-Security

在物理机上进行测试

HCIE-Security

注意,由于防火墙g0/0/0上绑定了vpn-instance的原因,所以无法直接ping通物理机。

使用ping -vpn-instance default也不行,后续再了解。

三种方式接入防火墙实现管理

1、telnet

system
telnet server enable
user-interface vty 0 4
protocol inbound all
authentication-mode password
set authentication password cipher huawei@123
user privilege level 3
int g0/0/0
server-manage telnet permit

HCIE-Security

因为telnet协议跑的数据都是明文的,所以可能造成数据泄露,不安全,不推荐使用。

使用抓包工具可以很容易抓取到这些流量。

HCIE-Security

2、ssh 

system
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
quit
ssh authentication-type default password()
rsa local-key-pair create//
stelnet server enable
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
aaa
manager-user admin
service-type web ssh terminal//webterminal
int g0/0/0
service-manager ssh permit

使用xshell登录验证。

HCIE-Security虽然可以抓取到流量,但是无法对这些流量进行进一步解析和分析。

HCIE-Security

3、web

system
int g0/0/0
ip addr 192.168.74.100 24
service-manage ping permit /ping
service-manage https permit
service-manage http permit

HCIE-Security

web界面的内容很丰富。

HCIE-Security











    HCIE-Security























以上是关于HCIE-Security Day1:防火墙了解实验环境搭建三种方式管理防火墙的主要内容,如果未能解决你的问题,请参考以下文章

#yyds干货盘点# HCIE-Security Day11:初步学习防火墙双机热备和VGMP概念

#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机

#yyds干货盘点#HCIE-Security Day14:防火墙双机热备实验防火墙直路部署,上下行连接路由器

#yyds干货盘点#HCIE-Security Day17:防火墙双机热备实验:防火墙旁挂交换机,交换机静态路由引流

#yyds干货盘点#HCIE-Security Day8:3个实验理解双向NAT

Check Point 培训 day1