防火墙在解决方案及典型项目中的应用
防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。
防火墙在华为网络解决方案中的应用
| 解决方案 | 文档 | 主要应用 |
|---|---|---|
| CloudFabric云数据中心网解决方案 | 资料专区 | 防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。 为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。 同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。 |
| CloudCampus解决方案 | 资料专区 | 防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。 防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。 |
| HiSec解决方案 | 资料专区 | HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。 防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。 HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。 |
防火墙在典型项目中的应用
以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。
| 典型场景 | 文档 | 主要应用 |
|---|---|---|
| 校园出口 | 防火墙在校园出口安全方案中的应用 | 防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。 |
| 广电出口 | 防火墙在广电出口安全方案中的应用 | 防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。 |
| 金融数据中心 | 防火墙在金融数据中心安全方案中的应用 | 防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。 |
| 企业园区出口 | 防火墙在企业园区出口安全方案中的应用 | 防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。 |
| 云计算 | 防火墙在云计算安全方案中的应用 | 防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。 主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。 |
CLI举例:管理员使用HTTPS方式登录设备(默认证书)
介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。
背景信息
当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。
组网需求
如图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。
数据规划
| 项目 | 数据 | 说明 |
|---|---|---|
| 用户名 | webadmin | - |
| 密码 | Myadmin@123 | - |
| 认证类型 | 本地认证 | - |
| 角色 | service-admin | service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。 |
| 管理员信任主机 | 10.3.0.0/24 | 通过IP地址限制管理员所在区域。 |
| 服务类型 | Web | - |
| Web服务超时时间 | 5分钟 | - |
配置思路
-
配置登录接口。
本举例只介绍配置管理员相关的内容。
操作步骤
- 可选:配置登录接口。
如果使用管理口的缺省配置登录设备,无需执行此步骤。
管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。
- 配置接口信息。
[FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0 [FW-GigabitEthernet1/0/3] service-manage enable [FW-GigabitEthernet1/0/3] service-manage https permit [FW-GigabitEthernet1/0/3] quit - 将接口加入安全区域。
[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet1/0/3 [FW-zone-trust] quit
- 配置接口信息。
- 创建管理员。
- 为管理员配置信任主机。
[FW] acl 2001 [FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255 [FW-acl-basic-2001] rule 10 deny [FW-acl-basic-2001] quit - 可选:创建管理员角色。
如果使用缺省的管理员角色,请忽略此步骤。
[FW] aaa [FW-aaa] role service-admin [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none [FW-aaa-role-service-admin] dashboard none [FW-aaa-role-service-admin] monitor none [FW-aaa-role-service-admin] system none [FW-aaa-role-service-admin] network read-write [FW-aaa-role-service-admin] object read-write [FW-aaa-role-service-admin] policy read-write [FW-aaa-role-service-admin] quit - 创建管理员,并为管理员绑定角色。
[FW-aaa] manager-user webadmin [FW-aaa-manager-user-webadmin] password Enter Password: Confirm Password: [FW-aaa-manager-user-webadmin] service-type web [FW-aaa-manager-user-webadmin] access-limit 10 [FW-aaa-manager-user-webadmin] acl-number 2001 [FW-aaa-manager-user-webadmin] quit [FW-aaa] bind manager-user webadmin role service-admin [FW-aaa] quit
- 为管理员配置信任主机。
- 验证管理员登录Web界面。
- 配置管理员PC的IP地址为10.3.0.10/24。
- PC中打开网络浏览器,访问需要登录设备的IP地址“https://10.3.0.1:8443”。
输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。
- 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”,单击“登录”,进入Web界面,管理员配置成功。
配置脚本
#
interface GigabitEthernet1/0/3ip address 10.3.0.1 255.255.255.0 service-manage https permit
#
firewall zone trust set priority 85 add interface GigabitEthernet1/0/3
#
acl number 2001 rule 5 permit source 10.3.0.0 0.0.0.255 rule 10 deny
# web-manager security enableweb-manager timeout 5
#
aaa authentication-scheme default
#
manager-user webadmin password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@service-type weblevel 15 acl-number 2001
# bind manager-user webadmin role service-admin
role service-admin description policy_object_network_readwrite_and_other_modules_nonedashboard nonemonitor nonesystem nonenetwork read-write object read-writepolicy read-write
#
return
