防火墙在解决方案及典型项目中的应用

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用

解决方案

文档

主要应用

CloudFabric云数据中心网解决方案

资料专区

防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。

为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。

同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。

CloudCampus解决方案

资料专区

防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。

防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。

HiSec解决方案

资料专区

HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。

防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。

HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。

防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。

典型场景

文档

主要应用

校园出口

防火墙在校园出口安全方案中的应用

防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。

广电出口

防火墙在广电出口安全方案中的应用

防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。

金融数据中心

防火墙在金融数据中心安全方案中的应用

防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。

企业园区出口

防火墙在企业园区出口安全方案中的应用

防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。

云计算

防火墙在云计算安全方案中的应用

防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。

主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例:管理员使用HTTPS方式登录设备(默认证书)

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。

组网需求

如图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS(默认证书)登录Web界面组网图

数据规划

项目

数据

说明

用户名

webadmin

-

密码

Myadmin@123

-

认证类型

本地认证

-

角色

service-admin

service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。

管理员信任主机

10.3.0.0/24

通过IP地址限制管理员所在区域。

服务类型

Web

-

Web服务超时时间

5分钟

-

配置思路
  1. 配置登录接口。

  2. 创建管理员、管理员角色,为管理员配置信任主机。

  3. 验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤
  1. 可选:配置登录接口。

    如果使用管理口的缺省配置登录设备,无需执行此步骤。

    管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。

    1. 配置接口信息。

      [FW] interface GigabitEthernet 1/0/3  
      [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
      [FW-GigabitEthernet1/0/3] service-manage enable
      [FW-GigabitEthernet1/0/3] service-manage https permit
      [FW-GigabitEthernet1/0/3] quit

    2. 将接口加入安全区域。

      [FW] firewall zone trust
      [FW-zone-trust] add interface GigabitEthernet1/0/3
      [FW-zone-trust] quit

  2. 创建管理员。
    1. 为管理员配置信任主机。

      [FW] acl 2001                                                                   
      [FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
      [FW-acl-basic-2001] rule 10 deny
      [FW-acl-basic-2001] quit                              

    2. 可选:创建管理员角色。

      如果使用缺省的管理员角色,请忽略此步骤。

      [FW] aaa
      [FW-aaa] role service-admin
      [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
      [FW-aaa-role-service-admin] dashboard none
      [FW-aaa-role-service-admin] monitor none
      [FW-aaa-role-service-admin] system none
      [FW-aaa-role-service-admin] network read-write
      [FW-aaa-role-service-admin] object read-write
      [FW-aaa-role-service-admin] policy read-write
      [FW-aaa-role-service-admin] quit

    3. 创建管理员,并为管理员绑定角色。

      [FW-aaa] manager-user webadmin
      [FW-aaa-manager-user-webadmin] password
      Enter Password: 
      Confirm Password:   
      [FW-aaa-manager-user-webadmin] service-type web
      [FW-aaa-manager-user-webadmin] access-limit 10
      [FW-aaa-manager-user-webadmin] acl-number 2001
      [FW-aaa-manager-user-webadmin] quit
      [FW-aaa] bind manager-user webadmin role service-admin
      [FW-aaa] quit

  3. 验证管理员登录Web界面。
    1. 配置管理员PC的IP地址为10.3.0.10/24。
    2. PC中打开网络浏览器,访问需要登录设备的IP地址“https://10.3.0.1:8443”。

      输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。

    3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”,单击“登录”,进入Web界面,管理员配置成功。

配置脚本
#                             
interface GigabitEthernet1/0/3ip address 10.3.0.1 255.255.255.0   service-manage https permit  
# 
firewall zone trust set priority 85 add interface GigabitEthernet1/0/3
#                             
acl number 2001               rule 5 permit source 10.3.0.0 0.0.0.255 rule 10 deny
#                             web-manager security enableweb-manager timeout 5        
#       
aaa                           authentication-scheme default
#                            
manager-user webadmin        password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@service-type weblevel 15                   acl-number 2001            
#                            bind manager-user webadmin role service-admin 
role service-admin            description policy_object_network_readwrite_and_other_modules_nonedashboard nonemonitor nonesystem nonenetwork read-write object read-writepolicy read-write
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/765569.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《剑指 Offer》专项突破版 - 面试题 88 : 动态规划的基础知识(C++ 实现)

目录 前言 面试题 88 : 爬楼梯的最少成本 一、分析确定状态转移方程 二、递归代码 三、使用缓存的递归代码 四、空间复杂度为 O(n) 的迭代代码 五、空间复杂度为 O(1) 的迭代代码 前言 动态规划是目前算法面试中的热门话题,应聘者经常在各大公司的面试中遇到…

Linux docker3--数据卷-nginx配置示例

一、因为docker部署服务都是以最小的代价部署,所以通常在容器内部很多依赖和命令无法执行。进入容器修改配置的操作也比较麻烦。本例介绍的数据卷作用就是将容器内的配置和宿主机文件打通,之后修改宿主机的配置文件就相当于修改了docker进程的配置文件&a…

webgl浏览器渲染设置

在浏览器中程序图形化webgl渲染时,有时候发现代码没有问题,但是就是无法渲染或者渲染报错,此时可以尝试如下的设置: 通过在chrome浏览器输入chrome://flags打开扩展 设置一(webgl开发者扩展) 设…

复习Day2

AcWing 1214. 波动数列 - AcWing j(n-1)*b与前i-1项的和模n余数相同: 记前i项的和为x,则有 x%nj ,第i项为 -(n-1)b , 前i项的和为 x-(-(n-1)b)即 x(n-1)b , 而 x(n-1)b % n j (n-1)b % n 就是 x(n-1)b 在模n的情况下同余于 x%n (n-1)*b 对于加法,减法,乘法 什么…

2024华为OD统一考试(C卷)最新题库(Java Python C++)

关于华为OD ​ 华为的员工补充途径有三种,分别是校招、OD转正和社招。校招是华为唯一的正式员工入职途径,但是从近几届开始竞争非常激烈,尤其是在CV、AI、NLP等赛道上,所以对于C9等专业的学生来说,可以考虑转向一些冷…

Linux镜像文件下载地址--SCAS 开源镜像站,速度快

SCAS 开源镜像站 https://mirror.iscas.ac.cn/举例: 下载centos7 Index of /centos/7/isos/x86_64/ (iscas.ac.cn)

ARM实验 LED流水灯

.text .global _start _start: 使能GPIOE GPIOF的外设时钟 RCC_MP_AHB4ENSETR的第[4][5]设置为1即可使能GPIOE GPIOF时钟 LDR R0,0X50000A28 指定寄存器地址 LDR R1,[R0] 将寄存器原来的数值读取出来&#xff0c;保存到R1中 ORR R1,R1,#(0x3<<4) 将第4位设置为1 S…

Linux网络协议栈从应用层到内核层②

文章目录 1、bind 源码剖析2、listen 源码剖析3、accept 源码剖析4、connect 源码剖析客户端调用connect成功&#xff0c;但三次握手并未完成&#xff0c;进程是如何阻塞自己客户端在connect时&#xff0c;如何选择源端口客户发送syn封包以及重传服务端收到syn封包&#xff0c;…

算法公式汇总

文章目录 三角函数定义式诱导公式平方关系两角和与差的三角函数积化和差公式和差化积公式倍角公式半角公式万能公式其他公式反三角函数恒等式 三角函数定义式 三角函数 定义式 余切&#xff1a; c o t A 1 t a n A \text { 余切&#xff1a;} \ cotA \frac{1}{tanA} 余切&a…

x-zse-96安卓端纯算,魔改AES还原

两天前发了一个x-zse-96的文章,当时遇到了点问题,只分析到了最后一个白盒AES函数里面,并且当时用dfa攻击还原出了秘钥,IV也确定了,但是加密结果不对,本来打算把下文鸽掉的,因为当时unidbg没跑起来,用frida去hook白盒AES中的每一行汇编有点麻烦,没有unidbg方便.后来小白大佬说un…

内网渗透(一)必须了解Windows工作组

★★免责声明★★ 文章中涉及的程序(方法)可能带有攻击性&#xff0c;仅供安全研究与学习之用&#xff0c;读者将信息做其他用途&#xff0c;由Ta承担全部法律及连带责任&#xff0c;文章作者不承担任何法律及连带责任。 1、内网渗透测试简介 内网也叫局域网&#xff0c;是指在…

《自动机理论、语言和计算导论》阅读笔记:p1-p4

《自动机理论、语言和计算导论》学习第1天&#xff0c;p1-p4&#xff0c;总计4页。这只是个人的学习记录&#xff0c;因为很多东西不懂&#xff0c;难免存在理解错误的地方。 一、技术总结 1.有限自动机(finite automata)示例 1.software for checking digital circuits。 …

工作需求,Vue实现登录

加油&#xff0c;新时代打工人&#xff01; vue 2.x Element UI <template><div class"body" :style"{background-image: url(${require(/assets/images/login.png)})}"><el-form :rules"rules" ref"loginForm" :mode…

MySQL 中的索引

MySQL 中的索引 一、索引的创建和删除1.主键会自动添加索引2.unique 约束的字段自动添加索引3.给指定的字段添加索引4.删除指定索引5.查询表上的索引 二、索引的分类三、MySQL索引采用了B树数据结构1.B树的经典面试题 四、其他索引及相关调优1.Hash索引2.聚集索引和非聚集索引3…

【linux线程(四)】初识线程池手撕线程池

&#x1f493;博主CSDN主页:杭电码农-NEO&#x1f493;   ⏩专栏分类:Linux从入门到精通⏪   &#x1f69a;代码仓库:NEO的学习日记&#x1f69a;   &#x1f339;关注我&#x1faf5;带你学更多操作系统知识   &#x1f51d;&#x1f51d; Linux线程池 1. 前言2. 什么是…

Python 从0开始 一步步基于Django创建项目(3)使用Admin site管理数据模型

本文内容建立在《Python 从0开始 一步步基于Django创建项目&#xff08;2&#xff09;创建应用程序&数据模型》的基础上。 Django提供的admin site&#xff0c;使得网站管理员&#xff0c;能够轻松管理网站的数据模型。 本文首先创建‘管理员账户’&#xff0c;即超级用户…

华为OD机22道试题

华为OD机试题 2.查找小朋友的好朋友位置 在学校中&#xff0c;N 个小朋友站成一队&#xff0c;第 i 个小朋友的身高为 height[i]&#xff0c;第 i 个小朋友可以看到第一个比自己身高更高的小朋友j&#xff0c;那么 j 是 i 的好朋友 (要求&#xff1a;j>i) 。 请重新生成一个…

202305 CSP认证

202305-1 重复局面 第一题直接干 #include<bits/stdc.h> using namespace std; unordered_map<string, int> chess; int main() {ios::sync_with_stdio(false); cin.tie(0); cout.tie(0);string line, str ""; int n;cin >> n;while(n --){str …

数据结构:链式队列

1.设计思想&#xff1a; 我们可以设计出以上五种队列&#xff0c;但是基于时间复杂度&#xff0c;和空间复杂度的最优解&#xff0c;我们选择入队和出队均为O(1)的&#xff0c;也就是第五种 2.结构设计 typedef struct LPNode//数据节点 {int data;//数据struct LPNode* next…

Redis消息队列与thinkphp/queue操作

业务场景 场景一 用户完成注册后需要发送欢迎注册的问候邮件、同时后台要发送实时消息给用户对应的业务员有新的客户注册、最后将用户的注册数据通过接口推送到一个营销用的第三方平台。 遇到两个问题&#xff1a; 由于代码是串行方式&#xff0c;流程大致为&#xff1a;开…