防火墙在解决方案及典型项目中的应用

news2024/11/15 11:58:02

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用

解决方案

文档

主要应用

CloudFabric云数据中心网解决方案

资料专区

防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。

为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。

同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。

CloudCampus解决方案

资料专区

防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。

防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。

HiSec解决方案

资料专区

HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。

防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。

HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。

防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。

典型场景

文档

主要应用

校园出口

防火墙在校园出口安全方案中的应用

防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。

广电出口

防火墙在广电出口安全方案中的应用

防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。

金融数据中心

防火墙在金融数据中心安全方案中的应用

防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。

企业园区出口

防火墙在企业园区出口安全方案中的应用

防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。

云计算

防火墙在云计算安全方案中的应用

防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。

主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例:管理员使用HTTPS方式登录设备(默认证书)

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。

组网需求

如图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS(默认证书)登录Web界面组网图

数据规划

项目

数据

说明

用户名

webadmin

-

密码

Myadmin@123

-

认证类型

本地认证

-

角色

service-admin

service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。

管理员信任主机

10.3.0.0/24

通过IP地址限制管理员所在区域。

服务类型

Web

-

Web服务超时时间

5分钟

-

配置思路
  1. 配置登录接口。

  2. 创建管理员、管理员角色,为管理员配置信任主机。

  3. 验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤
  1. 可选:配置登录接口。

    如果使用管理口的缺省配置登录设备,无需执行此步骤。

    管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。

    1. 配置接口信息。

      [FW] interface GigabitEthernet 1/0/3  
      [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
      [FW-GigabitEthernet1/0/3] service-manage enable
      [FW-GigabitEthernet1/0/3] service-manage https permit
      [FW-GigabitEthernet1/0/3] quit

    2. 将接口加入安全区域。

      [FW] firewall zone trust
      [FW-zone-trust] add interface GigabitEthernet1/0/3
      [FW-zone-trust] quit

  2. 创建管理员。
    1. 为管理员配置信任主机。

      [FW] acl 2001                                                                   
      [FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
      [FW-acl-basic-2001] rule 10 deny
      [FW-acl-basic-2001] quit                              

    2. 可选:创建管理员角色。

      如果使用缺省的管理员角色,请忽略此步骤。

      [FW] aaa
      [FW-aaa] role service-admin
      [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
      [FW-aaa-role-service-admin] dashboard none
      [FW-aaa-role-service-admin] monitor none
      [FW-aaa-role-service-admin] system none
      [FW-aaa-role-service-admin] network read-write
      [FW-aaa-role-service-admin] object read-write
      [FW-aaa-role-service-admin] policy read-write
      [FW-aaa-role-service-admin] quit

    3. 创建管理员,并为管理员绑定角色。

      [FW-aaa] manager-user webadmin
      [FW-aaa-manager-user-webadmin] password
      Enter Password: 
      Confirm Password:   
      [FW-aaa-manager-user-webadmin] service-type web
      [FW-aaa-manager-user-webadmin] access-limit 10
      [FW-aaa-manager-user-webadmin] acl-number 2001
      [FW-aaa-manager-user-webadmin] quit
      [FW-aaa] bind manager-user webadmin role service-admin
      [FW-aaa] quit

  3. 验证管理员登录Web界面。
    1. 配置管理员PC的IP地址为10.3.0.10/24。
    2. PC中打开网络浏览器,访问需要登录设备的IP地址“https://10.3.0.1:8443”。

      输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。

    3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”,单击“登录”,进入Web界面,管理员配置成功。

配置脚本
#                             
interface GigabitEthernet1/0/3
 ip address 10.3.0.1 255.255.255.0   
 service-manage https permit  
# 
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/3
#                             
acl number 2001               
 rule 5 permit source 10.3.0.0 0.0.0.255 
 rule 10 deny
#                             
 web-manager security enable
 web-manager timeout 5        
#       
aaa                           
 authentication-scheme default
#                            
manager-user webadmin        
 password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@
 service-type web
 level 15                   
 acl-number 2001            
#                            
 bind manager-user webadmin role service-admin 
role service-admin            
  description policy_object_network_readwrite_and_other_modules_none
 dashboard none
 monitor none
 system none
 network read-write 
 object read-write
 policy read-write
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1539102.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

java设计模式(2)---六大原则

设计模式之六大原则 这篇博客非常有意义,希望自己能够理解的基础上,在实际开发中融入这些思想,运用里面的精髓。 先列出六大原则:单一职责原则、里氏替换原则、接口隔离原则、依赖倒置原则、迪米特原则、开闭原则。 一、单一职…

Java中调用由C/C++实现的本地库(JNI本地程序调用)

文章目录 背景介绍什么是JNI?什么是本地库?开发Java使用JNI本地库步骤 编写Java类实现JNI本地调用windows系统下编译动态链接库创建Java项目(demo)第一步:编写带有native的Java类第二步:javac生成NativeDem…

C++的缺省参数,函数重载,引用

目录 1、缺省参数(不能在函数声明和定义中同时出现,若声明和定义是分开的,则缺省参数放在声明里面) 1.1、缺省参数的概念 1.2、全缺省 1.3、半缺省 2、函数重载 2.1、特殊情况 2.2、特殊情况 2.3、为什么C支持函数重载而C语…

springboot+itextpdf+thymeleaf+ognl根据静态模版文件实现动态生成pdf文件并导出demo

第一步&#xff1a;导入maven依赖 <!-- 导出为PDF依赖包 --><dependency><groupId>com.itextpdf</groupId><artifactId>itextpdf</artifactId></dependency><dependency><groupId>com.itextpdf</groupId><art…

网络安全慢速攻击

什么是低速缓慢攻击&#xff1f; 低速缓慢攻击是 DoS 或 DDoS 攻击的一种&#xff0c;依赖一小串非常慢的流量&#xff0c;可以针对应用程序或服务器资源发起攻击。与更传统的蛮力攻击不同&#xff0c;低速缓慢攻击所需的带宽非常小&#xff0c;并且难以防护&#xff0c;因为它…

Day60:WEB攻防-PHP反序列化POP链构造魔术方法流程漏洞触发条件属性修改

目录 PHP-DEMO1-序列化和反序列化 序列化操作 - 即类型转换 序列化案例 PHP-DEMO2-魔术方法触发规则 __construct(): //当对象new的时候会自动调用 __destruct()&#xff1a;//当对象被销毁时会被自动调用 __sleep(): //serialize()执行时被自动调用 __wakeup(): //uns…

程序员表白

啥&#xff1f;&#xff01;你说程序员老实&#xff0c;认真工作&#xff0c;根本不会什么表白&#xff01;那你就错了&#xff01;(除了我) 那今天我们就来讲一下这几个代码&#xff01;赶紧复制下来&#xff0c;这些代码肯定有你有用的时候&#xff01; 1.Python爱心代码 im…

MNN 执行推理(九)

系列文章目录 MNN createFromBuffer&#xff08;一&#xff09; MNN createRuntime&#xff08;二&#xff09; MNN createSession 之 Schedule&#xff08;三&#xff09; MNN createSession 之创建流水线后端&#xff08;四&#xff09; MNN Session 之维度计算&#xff08;五…

墨菲安全在软件供应链安全领域阶段性总结及思考

向外看&#xff1a;墨菲安全在软件供应链安全领域的一些洞察、思考、行动 洞察 现状&挑战&#xff1a; 过去开发安全体系是无法解决软件供应链安全问题的&#xff1b;一些过去专注开发安全领域的厂商正在错误的引导行业用开发安全思维解决软件供应链安全问题&#xff0c;治…

Linux:详解https协议

文章目录 什么是https协议信息窃取常见的加密数据摘要和数据指纹https的工作过程只使用对称加密只使用非对称加密都使用非对称加密非对称加密对称加密 证书数据签名https方案 本篇要总结的内容是关于https协议的相关内容 什么是https协议 在讲述https协议之前&#xff0c;首先…

Linux镜像文件下载地址--SCAS 开源镜像站,速度快

SCAS 开源镜像站 https://mirror.iscas.ac.cn/举例&#xff1a; 下载centos7 Index of /centos/7/isos/x86_64/ (iscas.ac.cn)

【C++算法】二分算法、二分模板详解,四道例题带详细注释

文章目录 [toc]1&#xff09;整数二分2&#xff09;解二分题步骤AcWing 789.数的范围洛谷 P1873.EKO/砍树洛谷 P1678.烦恼的高考志愿 2&#xff09;浮点二分AcWing 790. 数的三次方根 1&#xff09;整数二分 有单调性的题目一定可以二分&#xff0c;但是用二分做的题目不一定拥…

Linux初学(八)磁盘管理

一、磁盘管理 1.1 简介 磁盘的工作原理&#xff1a; 添加磁盘对磁盘进行分区格式化磁盘挂载和使用磁盘 磁盘的类型&#xff1a; 固态机械 磁盘的接口类型&#xff1a; IDESTSTSCSI 磁盘工作的原理&#xff1a; 磁盘&#xff0c;特别是硬盘&#xff0c;和内存不同&#xff0c;…

【Bug】记录2024年遇到的Bug以及修复方案

--------------------------------------------------------分割线 2024.3.22------------------------------------------------------- 1、load_sample_image raise AttributeError(“Cannot find sample image: %s” % image_name) AttributeError: Cannot find sample ima…

nvidia显卡如何安装cuda驱动

目录 查看显卡对应的cuda版本下载与你显卡匹配的CUDA Toolkit 查看显卡对应的cuda版本 按 微软 R 键&#xff0c;输入cmd 然后输入 nvidia-smi &#xff0c;回车显示下面信息&#xff1a; 看到 CUDA Version 为 12.2 下载与你显卡匹配的CUDA Toolkit 打开网页&#xff1a…

鸿蒙Harmony应用开发—ArkTS-@AnimatableExtend装饰器:定义可动画属性

AnimatableExtend装饰器用于自定义可动画的属性方法&#xff0c;在这个属性方法中修改组件不可动画的属性。在动画执行过程时&#xff0c;通过逐帧回调函数修改不可动画属性值&#xff0c;让不可动画属性也能实现动画效果。 可动画属性&#xff1a;如果一个属性方法在animation…

C++默认构造函数(二)

目录 构造函数补充 构造函数初始化列表的使用 赋值运算符重载函数 运算符重载函数介绍 运算符重载函数的使用 赋值运算符重载函数 赋值运算符重载函数的使用 拷贝构造函数和赋值运算符重载函数 重载前置和后置 前置 后置 重载流插入<<与流提取>> 流插…

C++ 其它

1、内存四区-代码区 2、内存四区-全局区 生成exe后&#xff0c;运行前是代码区和全局区 3、内存四区-栈区 4、内存四区-堆区 5、new *new一个整型10&#xff0c;返回的是该数据类型的指针&#xff0c;所以用int p 所以是int [10]&#xff0c;所以new的是int[10]&#x…

3.23项目:聊天室

1、 基于UDP的网络聊天室 项目需求&#xff1a; 如果有用户登录&#xff0c;其他用户可以收到这个人的登录信息如果有人发送信息&#xff0c;其他用户可以收到这个人的群聊信息如果有人下线&#xff0c;其他用户可以收到这个人的下线信息服务器可以发送系统信息 服务器 #inc…

东方博宜 1469. 数的统计

东方博宜 1469. 数的统计 #include<iostream> using namespace std; int main() {int n ;cin >> n ;int x ;cin >> x ;int cnt ;cnt 0;for (int i 1 ; i < n ; i){int num ;num i ;while(num!0){int g ;g num % 10 ;if (g x)cnt 1 ;num num / 10…