华为防火墙常见问题总结

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为防火墙常见问题总结相关的知识,希望对你有一定的参考价值。

目录

 借免认证功能查看IP流量排行

Web邮件过滤

使用Eth-Trunk接口做心跳接口

双机热备运行模式和角色

USG2000/5000系列设备配置只读Web管理员

LACP自主拨号场景中,配置源NAT

Mini USB口连接设备

多出口等价路由场景下的DNS问题

重设管理员密码

VPN用户无法接入(Domain)

USB接口的功能

没有端口信息的报文,防火墙记录会话

SSL VPN隧道分离

License动态加载

风扇智能调速


service-manage

  • 接口配置了安全区域,相应的安全策略也放行了,路由正常,但是ping不通设备的接口地址,无法SSH
    • 在再接口视图下使用service-manage功能,允许ping或SSH
  • service-manage功能优先包过滤生效,接口下启用service-manage功能后,设备会优先根据service-manage中的配置来判断是否允许相应协议的报文进入到设备。如果接口下没有启用service-manage功能,设备才会根据包过滤的结果来判断是否放行
  • service-manage功能要在报文的入接口配置,并不是访问哪个接口,就在哪个接口上配置
  • 管理接口(G0/0/0)默认是开启了service-manage功能,并且允许http、https、telnet、ping、ssh、snmp服务
  • 非管理接口USG2000/5000默认没有开启service-manage功能,USG6000/9000默认开启了service-manage功能
    • 如果要通过非管理接口管理设备,需要在接口下允许相应的服务,并且配置放行接口所在安全区域到local区域的安全策略
  • USG6000如果通过telnet方式登录到设备,还需要在系统视图下配置 telnet server enable 命令,启用telenet服务,然后在接口下允许telnet服务

 借免认证功能查看IP流量排行

  • 在没有部署用户身份认证时,可以借用防火墙的免认证功能,查看每个IP地址的累计流量大小、排行
  • USG2000/5000
    • 提供将IP作为用户名的免认证功能
    • 通过配置免认证安全策略,即可查看所有IP的流量
  • USG6000
    • 不再支持以IP地址作为用户名的免认证,只支持用户以固定IP和MAC登录的免认证方式,需要配置用户名与IP或MAC地址双向绑定
    • 配置认证策略,再为每个IP创建对应的用户名,范围内的IP发起访问时,就可以在用户列表中查看流量

Web邮件过滤

  • 部分企业为了信息安全,限制了PoP3、SMTP等标准的邮件协议,但是可以使用HTTP/HTTPS来承载邮件,跳过常规的应用检查
  • 对于不同企业,限制的粒度不同
    • 允许访问Web邮箱、允许发送邮件,不允许上传附件
    • 允许Web邮箱收取邮件,但不允许发送邮件
    • 不允许访问Web邮箱
  • 原则上来说,邮件过滤本身不支持Web邮箱,但是可以通过应用识别、URL过滤和应用行为控制等,来达到过滤Web邮箱的效果
  • 允许访问Web邮箱、允许发送邮件,不允许上传附件
    • 使用应用识别+应用行为控制,限制HTTP上传
    • 新建代理策略,配置SSL解密功能,将主流Web邮箱的HTTPS解密还原为HTTP
    • 配置应用行为控制文件,禁止HTTP协议上传功能
    • 配置安全策略,应用于Web邮箱,调用应用行为控制配置文件
  • 允许Web邮箱收取邮件,但不允许发送邮件
    • 使用URL分类+URL过滤来实现。其URL格式有一定的规律,以网易邮箱为例,其URL包括"I=compose"和"action=deliver"字段
    • 配置URL分类,匹配邮件发送的操作
    • 配置URL过滤配置文件,对于匹配的自定义URL分类执行阻断动作
    • 配置安全策略,应用于Web邮箱,调用URL过滤配置文件
  • 不允许访问Web邮箱
    • 配置安全策略,应用于Web邮箱,直接拒绝流量

使用Eth-Trunk接口做心跳接口

  • 使用Eth-Trunk接口作为心跳口,可以提高备份通道的可靠性和带宽
    • 要在接口下配置 load-balance packet-all 命令,使Eth-Trunk接口的负载分担模式为逐包负载分担
  • Eth-Trunk接口的两种负载分担模式
    • 逐流负载分担:根据报文的源目地址进行负载分担。一条流的首包是从哪个接口发出,后续包也是从该接口发出。缺省配置
    • 逐包负载分担:对所有包负载分担。每个接口走一个包,如此循环
  • 双机热备的心跳报文是在心跳接口之间交互的,报文的源目地址都是固定的
    • 源地址为心跳接口IP
    • 目的地址如果在配置心跳口时没有使用remote指定,则目的地址为组播地址224.0.0.18(心跳报文时VRRP报文)。如果指定了对端的心跳口地址,则心跳报文被封装为单播的UDP报文,目的地址为对端心跳口IP地址
  • 如果Eth-Trunk接口采用逐流负载分担,因为心跳报文的源目IP是固定的,即是一条流,所以报文始终都是从一个物理接口发出,达不到多个物理接口共同分担流量的目的

双机热备运行模式和角色

  • USG6000 V100R001C30SPC300以前版本
    • 备设备上配置 undo hrp standby-device 命令,设备会自动在VLAN下发 hrp track active 命令
    • 在设备上配置 hrp standby-device 命令,设备会自动在VLAN下发 hrp track standby 命令
    • 在主备备份组网中,备机上默认配置为 undo hrp standby-device ,会在VLAN下自动下发 hrp track active ,认为自己是主设备,备机的VLAN处于enable状态,备机也会转发报文,形成双主
    • 在设备上配置 hrp loadbanlance-device 后,会自动在VLAN下下发  hrp track active 和 hrp track standby 形成负载分担组网
  • 配置 hrp standby-device 的作用
    • 当主备设备的VGMP管理组优先级一致,且没有配置VRRP备份组时,如果设备上配置了根据VGMP组状态调整OSPF、OSPFv3、BGP的Cost值功能,此时会把这些协议的Cost值调到最大
    • 当主备设备的VGMP管理组优先级一致,且没有配置VRRP备份组时,如果设备上配置 hrp track vlan ,此时会将hrp track的VLAN禁用,禁止此VLAN转发报文
  • 防火墙三层接入,上下行连接路由器,跑动态路由协议。在主备备份组网中,如果备机上不配置 hrp standby-device ,由于默认配置存在,备机在发布动态路由时,不会把Cost值调到最大,导致连接备机的路由器依然会向备机转发报文
  • 防火墙二层接入,主备备份组网中,如果备机上不配置 hrp standby-device ,由于默认配置存在,备机的VLAN处于enable状态,备机也会转发报文,形成双主

USG2000/5000系列设备配置只读Web管理员

  • 设备支持命令行和管理员级别做分级管理
  • 命令行的级别分为0-15级,共16级。缺省情况下:
    • 0:参观级。ping、tracert、display等
    • 1:监控级
    • 2:配置级。业务配置命令
    • 3:管理级。业务配置命令
  • 管理员级别也分为0-15级,共16级
  • USG2000/5000的管理机制
    • 管理员登录设备后,只能使用等于或低于自己级别的命令
    • 管理员的级别大于或等于3时,才可以Web登录管理
  • 配置只读Web管理员时,存在以下问题
    • 管理员级别小于3时,可以查看配置,不能修改配置,满足只读的要求,但是不能Web登录管理设备
    • 管理员级别大于3时,可以查看配置,可以Web登录管理设备,但是无法满足只读的要求
  • 使用 command-peivilege level rearrange 命令,将所有命令的级别进行自动调整
    • 0级和1级命令保持不变
    • 2级命令提升到10级
    • 3级命令提升到15级
  • 此时管理员级别配置为3-10级,管理员既可以执行参观级和监控级的命令,也可以Web登录管理设备,但无法执行配置级和管理级的命令

LACP自主拨号场景中,配置源NAT

  • L2TP中的一种应用场景:LAC采用自主拨号方式与LNS建立L2TP VPN隧道,在配置LAC时,需要配置一条源NAT策略
  • 如果不配置源NAT
    • 分支向总部Server发起访问请求,报文的源IP地址是私网地址,目的地址是服务器的私网地址
    • LAC设备收到报文后,根据目的地址查找路由表,迭代到VT虚拟口,对报文进行L2TP封装,封装后的报文源地址为LAC的公网侧地址,目的地址为LNS设备的公网侧地址
    • 根据目的公网地址,由缺省路由将报文转发到互联网
    • 报文到达LNS设备后,根据目的地址,解封装,将解封装后的报文查找路由表,发送给Server
    • Server再向LNS返回响应报文,源地址为Server的私网地址,目的地址为分支的私网地址
    • LNS收到响应报文后,查找路由表,由于自身没有去往分支的私网路由,所以根据缺省路由,将报文转发到互联网,由于目的地址是私网地址,报文会被丢弃
  • 解决方法:在LAC上配置一条源NAT策略,将分支用户发出的报文源IP地址转换为VT接口的地址,此时Server的响应报文到达LNS后,就可以根据UNR路由,将报文迭代入L2TP隧道中,再进行L2TP封装,进行公网转发,返回给分支
  • 不建议在LNS上配置静态路由,将响应报文引导入L2TP隧道,因为如果分支有很多不同子网,就需要在LNS上配置众多的静态路由。LAC侧的分支子网发生变化,就需要维护LNS侧的静态路由。网络管理维护麻烦。所以建议是在LAC侧配置源NAT策略,将访问总部Sever的报文源IP都转换为VT接口的IP

Mini USB口连接设备

  • USG6650/6660/6670/6680(NGFW)提供常规的RJ45类型的Console接口和Mini USB类型的Console接口
  • NGFW上的Mini USB接口作用不同于USB,等同于Console接口,用于连接配置终端,对NGFW进行配置、管理和维护,Mini USB接口的优先级比RJ45类型的Console口优先级高,同时连接两种Console口时,只有Mini USB类型的Console接口生效

多出口等价路由场景下的DNS问题

  • 在防火墙多出口的场景中,可以配置等价路由实现多出口的负载分担
  • 在防火墙作为DNS代理或防火墙自身需要访问域名时,防火墙会构造DNS查询报文,向上一级的DNS服务器查询
    • 在多出口等价路由的场景下,防火墙在构造DNS查询报文时,报文的源地址会取第一个等价路由的出接口IP地址
    • 当DNS的查询报文从G1/0/3接口发出时,报文的源IP地址为1.1.1.1,此时ISP2会将报文丢弃,因为ISP2没有去往1.1.1.1的路由
    • 可以通过配置Easy-IP方式的源NAT方式,将DNS的查询报文源IP转换为接口的IP地址,保证DNS查询报文的源IP地址和报文出接口的IP地址一致

重设管理员密码

  • 管理员密码遗忘导致无法登录设备时,通常的处理办法
    • 通过Console口连接设备,并进入BootRom菜单,将设备配置为空配置启动
    • 将设备启动后,使用缺省的账号和密码登录设备(admin/Admin@123)
    • 将最后一次保存到配置文件导出,打开配置文件,修改管理员密码
    • 将修改后的配置文件上传到设备上,并设置为下一次的启动配置文件
    • 重启设备,使用新的用户名和密码登录
  • 如果按照以上的操作还是无法登录到设备,检查配置文件中是否有 manager-user password-modify enable 这条命令,如果有,将其删除,重新上传到设备,设置为下一次启动配置文件,重启设备
    • manager-user password-modify enable:用来开启管理员密码过期功能
  • 开启密码过期功能后,管理员登录设备时,会根据管理员及密码状态进行相应的提示及操作
    • 初次登录设备,会提示修改密码,必须修改密码后,才能登录设备
    • 当密码有效期小于等于10天时,会提示修改密码,可以选择立即修改或暂不修改
    • 当密码过期,会提示需要修改密码,修改密码后才可以登录设备
  • 开启管理员密码过期功能,设备重启后,管理员输入的密码是和CF卡的数据库中保存的管理员密码进行校验,而不是和配置文件中保存的密码校验,所以无法通过修改配置文件的方法重设登录密码

VPN用户无法接入(Domain)

  • VPN用户采用服务器认证方式,接入时显示用户存在问题。检查服务器认证配置,都是正确的。可以从以下两个点进行排查:
    • 新用户选项控制
      • 新用户是指通过了服务器认证,但是在防火墙上不存在的用户,防火墙对于新用户的处理方式是通过在domain下配置新用户选项来控制

new-user add-local group group-name            //将用户加入到防火墙本地的某个组
new-user add-temporary group group-name        //将用户作为临时用户在某个组上线,不加入本地
new-user deny-authentication                   //禁止新用户登录

  • domain的接入类型控制
    • domain提供严格控制接入类型的配置(VPN接入、上网接入、管理员接入)
    • 缺省情况下,允许所有类型的接入

USB接口的功能

  • 防火墙提供两种类型的USB接口
    • 标准USB 2.0 接口
    • Mini USB接口:功能等同于Console接口

  • USB接口属性

属性

描述

连接器类型

Type A

接口标准

USB2.0,向下兼容USB1.0和USB1.1

速率

480Mbit/s,高速

  • USB接口功能
    • 插接U盘。通过U盘下载升级文件来实现版本升级
      • 手动升级:通过手动执行升级命令,实现系统软件和配置文件的升级
      • 自动升级:防火墙自动进行版本升级,无需执行升级命令,简化操作流程,提高防火墙版本升级的效率
    • 插接3G/4G LTE数据卡。使防火墙具有无线接入Internet的功能
  • 不同产品不同版本,USB接口支持的功能也不同

没有端口信息的报文,防火墙记录会话

  • ICMP报文
    • 源端口是根据报文结构中的ID字段值记录
    • 目的端口根据Type字段和Code字段计算得到
      • 计算方法:Type值前移8位,按位与Code值,得到目的端口
  • ESP、AH报文
    • 源目端口都记录为0

SSL VPN隧道分离

  • 隧道分离是VPN的一种应用场景。用户在使用VPN隧道访问远端企业内网时,还可以访问互联网和本地局域网
    • SSL VPN支持隧道分离场景,但不是每一种VPN都支持隧道分离
  • SSL VPN的网络扩展业务提供一下三种模式
    • 手工模式:需要在防火墙上指定用户访问总部的内网网段,只会将访问总部内网的流量引导到虚拟网卡,进行SSL VPN隧道的封装,到Internet和本地局域网的路由不会改变。此时用户可以正常访问总部内网、Internet和本地局域网

network-extension mode manual

network-extension manual-route 10.1.1.0 255.255.255.0

  • 分离模式:缺省路由的出接口会被修改为虚拟网卡的地址,此时用户无法访问Internet,可以访问总部内网和本地局域网

network-extension mode split

  • 全路由模式:所有路由的出接口都会被修改为虚拟网卡的地址,用户分支发出的所有流量都会引导到虚拟网卡,进行SSL VPN的封装,此时用户就只能访问总部内网,无法访问Internet和本地局域网

network-extension mode full

  • 缺省情况下,网络扩展功能使用的是分离模式
  • 网络扩展业务具备路由守护功能,所以用户不能对防火墙下发的路由进行修改,即使修改了也不会生效

License动态加载

  • URL远程查询是URL过滤的一个子功能,当本地查询不到URL分类时,向远端服务器请求查询URL分类
  • URL远程查询受License控制
    • USG6000 V1R1C30版本防火墙,URL远程查询功能只需购买License,加载License即可
    • USG6000&USG9500 V5R1C20版本的URL远程查询功能需要购买License,加载License后还需要动态加载URL远程查询组件包
  • 动态加载是指在已经运行的系统上加载没有的业务或功能,可以在不升级软件系统的情况下,将客户需要的功能模块加载到设备中
  • 内容安全组件和URL远程查询功能一样,都是需要使用动态加载命令加载到运行的系统上

项目

描述

文件过滤

文件过滤通过阻断特定类型的文件传输,可以降低内部网络执行恶意代码和感染病毒的风险,还可以防止员工将公司机密文件泄漏到互联网。

内容过滤

内容过滤可以防止机密信息的泄露及违规信息的传输。

邮件过滤

邮件过滤是指对邮件收发行为进行管控,包括防止垃圾邮件和匿名邮件泛滥,控制违规收发等。

应用行为控制

应用行为控制功能可以对常见的HTTP行为和FTP行为进行精细化控制。

审计策略

通过配置审计策略与审计配置文件,可以对用户的上网行为进行记录,便于管理员后续对用户的上网行为进行审查和分析。

代理策略

代理策略可以对SSL流量进行解密,并对解密后的流量做内容安全检测和审计。

智能DNS

智能DNS能够为不同ISP用户推送与其属于同一ISP网络的服务器地址,使ISP用户能够直接通过自身所在ISP网络访问企业内的服务器,从而保证用户访问延迟最小,业务体验最优。

风扇智能调速

  • 风扇的转速会影响设备的温度,所以需要合理调节风扇的转速,使设备保持在稳定的温度状态
    • 风扇转速过快,能有效散热,但是噪音大,而且增加功耗,达不到节能的目的
    • 风扇转速过慢,影响散热,影响器件寿命,引发设备异常等问题
  • 风扇调速模式
    • 自动调速:缺省模式,会检测设备关键器件的温度,超过阈值时,增加风扇的转速,低于阈值时,降低风扇的转速
    • 手动调速:用于测试验证,包括全速、低噪音模式和全速的指定百分比。处于手动调速模式时,如果设备温度超过阈值,将触发自动调速模式

以上内容参考《强叔秘籍》,如有不详或错误,敬请指出。

本文作者: 坏坏

本文链接:http://t.csdn.cn/RYUhC

版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于华为防火墙常见问题总结的主要内容,如果未能解决你的问题,请参考以下文章

华为防火墙常见问题总结

华为防火墙常见问题总结

华为防火墙实现双机热备配置详解

华为静态NAT配置完后ping不通!

2017华为编程大赛总结

华为防火墙VRRP双机热备的原理及实例配置