华为USG基础

gdx

　　Firewall简单知识
　　1、安全区域（trust安全级别:85   untrust安全级别:5     DMZ安全级别:50    local安全级别为:100 默认区域级别不能改）
　　firewall zone trust （untrust dmz  local ）     \ 进入trust区域
　　add interface Vlanif 20         \ 将VLAN 20加入trust区域或者 接口
　　firewall zone name lin              \ 重新起区域为lin
　　Set pr xx
　　add interface xx
　　注意:建立区域以及配置安全级别之后要在全局模式下把整个区删掉，配置优先级别XX才能加入相应上午接口或者vlan if
　　2、默认高的安全级别访问低的安全及级别(例如local区域随便访问untrust trunst Dmz;而其它区域之间是不能访问的)
　　3、Firewall 对数据的deny permit监控(包过滤防火请(AR2200等系列)、状态检测防火墙、代理性防火墙)
　　如下默认的策略:
　　[FW1]dis firewall packet-filter default  all
　　10:37:15  2015/08/28
　　Firewall default packet-filter action is:
　　packet-filter in public:
　　local -> trust :
　　inbound  : default: permit; || IPv6-acl: null
　　outbound : default: permit; || IPv6-acl: null
　　local -> untrust :
　　inbound  : default: deny; || IPv6-acl: null
　　outbound : default: permit; || IPv6-acl: null
　　local -> dmz :
　　inbound  : default: deny; || IPv6-acl: null
　　outbound : default: permit; || IPv6-acl: null
　　trust -> untrust :
　　inbound  : default: deny; || IPv6-acl: null
　　outbound : default: deny; || IPv6-acl: null
　　trust -> dmz :
　　inbound  : default: deny; || IPv6-acl: null
　　outbound : default: deny; || IPv6-acl: null
　　dmz -> untrust :
　　inbound  : default: deny; || IPv6-acl: null
　　outbound : default: deny; || IPv6-acl: null
　　packet-filter between VFW:
　　[FW1]
　　firewall的模式
　　1、路由模式  2、透明模式  3、混合模式
　　路由模式:三层口，配置地址
　　透明模式:二层，配置access、trunk、hybrid
　　混合模式:其中有的接口配置三层口，有的接口配置二层口
　　Firewall进出规则
　　Firewall zone trust  基于区域内的控制
　　5、Firewall区域之间实现互通必须改以上配置(比如trust -> untrust;注意理解数据包的进出方向!!其它区域也一样设置)
　　firewall packet-filter default permit interzone trust untrust direction inbound     （untrust主动发起的Ping包;trust不能访问untrust区域）
　　firewall packet-filter default permit interzone trust untrust direction outbound    （trust主动发起的Ping包;untrust不能访问trust不区域）
　　例如:注意【trust -> untrust】主要以trust为主去理解Inside Ouside （理解Inside Ouside像进出家门理解即可）
　　firewall packet-filter default permit interzone trust dmz direction outbound  （trust主动访问dmz;dmz不能访问trust区域)
　　firewall packet-filter default permit interzone trust dmz direction inbound   （dmz主动访问trust;trust不能访问trust区域)
　　display firewa sessinon teble                看会话表的状态
　　display firewa sessinon aging-time           看协议会话表超时
　　6、做策略以实现“对外访问”或者“区域与区域”之间需求("重点还在方向理解Inside Ouside")
　　例如:实现外网访问内网icmp、telnet服务
　　policy interzone trust untrust inbound    trust -> untrust进来的方向做的策略（主动权在untrust）
　　policy 1                                  匹配序号
　　action permit                            规则行为deny permit
　　policy service service-set telnet              对应的服务型
　　policy source 200.0.0.0 0.0.0.255             源IP地址
　　policy destination 10.10.20.0 0.0.0.255         目的IP地址
　　policy 2
　　action permit
　　policy service service-set icmp
　　policy source 200.0.0.100 0              该协议仅对对一台主机
　　policy destination 10.10.20.10 0
　　policy interzone trust untrust outbound   trust -> untrust进来的方向做的策略（主动权在trust）
　　policy 3
　　action permit
　　policy service service-set icmp
　　policy service service-set telnet
　　policy source 10.10.20.10 0
　　policy source 10.10.20.20 0
　　policy interzone local untrust inbound
　　policy 1
　　action permit
　　policy service service-set tcp
　　policy service service-set icmp
　　policy source 172.16.10.0 0.0.0.255
　　policy source 100.100.200.10 0
　　Firewall基于接口放行策略
　　inter g0/0/3
　　service-manage  enable
　　service-manage telnet permit          放行telnet流行
　　Firewall命令集分析
　　1、 查看Firewall掉包的会话
　　[SRU5500]display firewall statistic system discard
　　21:50:35  2016/05/21
　　Packets discarded statistic
　　Total packets discarded:           16
　　ARP miss packets discarded:           6
　　Default deny packets discarded:             5
　　Policy filter deny packets discarded:                5
　　[SRU5500]
　　2、 查看会话表（如有不知道目的端口号是多少可全部放行后，用这命令是查看后做策略）
　　<SRU5500>display firewall session table verbose
　　21:58:39  2016/05/21
　　Current Total Sessions : 5
　　icmp  ***:public --> public（协议icmp）
　　Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:05（1）
　　Interface: GigabitEthernet0/0/1  NextHop: 192.168.100.100  MAC: 54-89-98-b9-7d-76   （2）
　　<--packets:1 bytes:60   -->packets:1 bytes:60（3）
　　192.168.10.10:42345-->192.168.100.100:2048  （4）
　　（1）zone trunst-------> untrust-----的会话    TTL---老化时间   Left –还有5s结束会话
　　（2）包从g0/0/1出去下一跳192.168.100.100
　　（3）<--   表示untrust向trunst发数据   -->表示trunst向untrust发数据
　　（4）192.168.10.10端口42345向192.168.100.100端口 2048发数据
　　3、改变协议默认的会话时间
　　[SRU5500]firewall session aging-time service-set dns 10 （ftp、udp、tcp）
　　4、策略2调到1面前去
　　[SRG-policy-interzone-trust-untrust-outbound]policy move 2 before 1