防火墙在解决方案及典型项目中的应用

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品，在各种解决方案、业务场景中配套应用，本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用

解决方案	文档	主要应用
CloudFabric云数据中心网解决方案	资料专区	防火墙作为VAS设备，向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。为了做到不同租户的业务隔离、业务按需提供，控制器将防火墙的虚拟系统（Vsys）生成安全资源池。当租户申请VAS服务时，控制器为租户在安全资源池中分配使用的虚拟系统（逻辑VAS），租户无需感知底层防火墙设备。同时，当大数据安全分析器检测出网络中的高级或潜在威胁时，防火墙作为执行器接受上级控制器下发的指令，阻断流量。
CloudCampus解决方案	资料专区	防火墙工作在云管理模式，统一注册到云管理平台，由云管理平台进行业务下发和日常运维。防火墙接入云管理平台后，大部分业务功能都不支持在防火墙上手动配置，只保留必须的一些功能。
HiSec解决方案	资料专区	HiSec解决方案是华为提出的软件定义安全解决方案，创新提出分析器、控制器和执行器三层智能安全防御架构。防火墙在三层架构中作为执行器，接收控制器下发的防御策略，及时阻断威胁流量。 HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用，请查阅资料专区中对应不同场景的资料。

解决方案

文档

主要应用

CloudFabric云数据中心网解决方案

资料专区

防火墙作为VAS设备，向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。

为了做到不同租户的业务隔离、业务按需提供，控制器将防火墙的虚拟系统（Vsys）生成安全资源池。当租户申请VAS服务时，控制器为租户在安全资源池中分配使用的虚拟系统（逻辑VAS），租户无需感知底层防火墙设备。

同时，当大数据安全分析器检测出网络中的高级或潜在威胁时，防火墙作为执行器接受上级控制器下发的指令，阻断流量。

CloudCampus解决方案

资料专区

防火墙工作在云管理模式，统一注册到云管理平台，由云管理平台进行业务下发和日常运维。

防火墙接入云管理平台后，大部分业务功能都不支持在防火墙上手动配置，只保留必须的一些功能。

HiSec解决方案

资料专区

HiSec解决方案是华为提出的软件定义安全解决方案，创新提出分析器、控制器和执行器三层智能安全防御架构。

防火墙在三层架构中作为执行器，接收控制器下发的防御策略，及时阻断威胁流量。

HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用，请查阅资料专区中对应不同场景的资料。

防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例，不同项目使用的防火墙版本、部署方案等不尽相同，但是资料均可作为参考。

典型场景	文档	主要应用
校园出口	防火墙在校园出口安全方案中的应用	防火墙部署在校园网出口提供Internet接入和安全防护功能，主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。
广电出口	防火墙在广电出口安全方案中的应用	防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能，主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。
金融数据中心	防火墙在金融数据中心安全方案中的应用	防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同，具体参见资料。
企业园区出口	防火墙在企业园区出口安全方案中的应用	防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能，主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。
云计算	防火墙在云计算安全方案中的应用	防火墙部署在云计算网络中，将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例：管理员使用HTTPS方式登录设备（默认证书）

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时，设备会发送证书（默认证书/指定证书）给客户端。当设备发送默认证书给客户端时，客户端无法验证其合法性，容易受到攻击。

组网需求

如图1所示，为FW配置一个本地认证管理员webadmin，要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS（默认证书）登录Web界面组网图

数据规划

项目	数据	说明
用户名	webadmin	-
密码	Myadmin@123	-
认证类型	本地认证	-
角色	service-admin	service-admin为自定义的角色，对网络、策略和对象拥有读写权限，对其他配置项无权限。
管理员信任主机	10.3.0.0/24	通过IP地址限制管理员所在区域。
服务类型	Web	-
Web服务超时时间	5分钟	-

配置思路

配置登录接口。
创建管理员、管理员角色，为管理员配置信任主机。
验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤

可选：配置登录接口。

如果使用管理口的缺省配置登录设备，无需执行此步骤。

管理口的缺省IP地址为192.168.0.1，接口已经加入Trust区域，并且允许管理员通过HTTPS登录设备。

配置接口信息。

[FW] interface GigabitEthernet 1/0/3  
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] service-manage enable
[FW-GigabitEthernet1/0/3] service-manage https permit
[FW-GigabitEthernet1/0/3] quit

将接口加入安全区域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet1/0/3
[FW-zone-trust] quit

创建管理员。

为管理员配置信任主机。

[FW] acl 2001                                                                   
[FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
[FW-acl-basic-2001] rule 10 deny
[FW-acl-basic-2001] quit

可选：创建管理员角色。

如果使用缺省的管理员角色，请忽略此步骤。

[FW] aaa
[FW-aaa] role service-admin
[FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
[FW-aaa-role-service-admin] dashboard none
[FW-aaa-role-service-admin] monitor none
[FW-aaa-role-service-admin] system none
[FW-aaa-role-service-admin] network read-write
[FW-aaa-role-service-admin] object read-write
[FW-aaa-role-service-admin] policy read-write
[FW-aaa-role-service-admin] quit

创建管理员，并为管理员绑定角色。

[FW-aaa] manager-user webadmin
[FW-aaa-manager-user-webadmin] password
Enter Password: 
Confirm Password:   
[FW-aaa-manager-user-webadmin] service-type web
[FW-aaa-manager-user-webadmin] access-limit 10
[FW-aaa-manager-user-webadmin] acl-number 2001
[FW-aaa-manager-user-webadmin] quit
[FW-aaa] bind manager-user webadmin role service-admin
[FW-aaa] quit

验证管理员登录Web界面。
1. 配置管理员PC的IP地址为10.3.0.10/24。
2. PC中打开网络浏览器，访问需要登录设备的IP地址“https://10.3.0.1:8443”。
  
  输入IP地址登录后，浏览器会给出证书不安全的提示，此时可以选择继续浏览。
3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”，单击“登录”，进入Web界面，管理员配置成功。

配置脚本

#                             
interface GigabitEthernet1/0/3ip address 10.3.0.1 255.255.255.0   service-manage https permit  
# 
firewall zone trust set priority 85 add interface GigabitEthernet1/0/3
#                             
acl number 2001               rule 5 permit source 10.3.0.0 0.0.0.255 rule 10 deny
#                             web-manager security enableweb-manager timeout 5        
#       
aaa                           authentication-scheme default
#                            
manager-user webadmin        password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@service-type weblevel 15                   acl-number 2001            
#                            bind manager-user webadmin role service-admin 
role service-admin            description policy_object_network_readwrite_and_other_modules_nonedashboard nonemonitor nonesystem nonenetwork read-write object read-writepolicy read-write
#
return