防火墙在解决方案及典型项目中的应用

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用

解决方案

文档

主要应用

CloudFabric云数据中心网解决方案

资料专区

防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。

为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。

同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。

CloudCampus解决方案

资料专区

防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。

防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。

HiSec解决方案

资料专区

HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。

防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。

HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。

防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。

典型场景

文档

主要应用

校园出口

防火墙在校园出口安全方案中的应用

防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。

广电出口

防火墙在广电出口安全方案中的应用

防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。

金融数据中心

防火墙在金融数据中心安全方案中的应用

防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。

企业园区出口

防火墙在企业园区出口安全方案中的应用

防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。

云计算

防火墙在云计算安全方案中的应用

防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。

主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例:管理员使用HTTPS方式登录设备(默认证书)

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。

组网需求

如图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS(默认证书)登录Web界面组网图

数据规划

项目

数据

说明

用户名

webadmin

-

密码

Myadmin@123

-

认证类型

本地认证

-

角色

service-admin

service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。

管理员信任主机

10.3.0.0/24

通过IP地址限制管理员所在区域。

服务类型

Web

-

Web服务超时时间

5分钟

-

配置思路
  1. 配置登录接口。

  2. 创建管理员、管理员角色,为管理员配置信任主机。

  3. 验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤
  1. 可选:配置登录接口。

    如果使用管理口的缺省配置登录设备,无需执行此步骤。

    管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。

    1. 配置接口信息。

      [FW] interface GigabitEthernet 1/0/3  
      [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
      [FW-GigabitEthernet1/0/3] service-manage enable
      [FW-GigabitEthernet1/0/3] service-manage https permit
      [FW-GigabitEthernet1/0/3] quit

    2. 将接口加入安全区域。

      [FW] firewall zone trust
      [FW-zone-trust] add interface GigabitEthernet1/0/3
      [FW-zone-trust] quit

  2. 创建管理员。
    1. 为管理员配置信任主机。

      [FW] acl 2001                                                                   
      [FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
      [FW-acl-basic-2001] rule 10 deny
      [FW-acl-basic-2001] quit                              

    2. 可选:创建管理员角色。

      如果使用缺省的管理员角色,请忽略此步骤。

      [FW] aaa
      [FW-aaa] role service-admin
      [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
      [FW-aaa-role-service-admin] dashboard none
      [FW-aaa-role-service-admin] monitor none
      [FW-aaa-role-service-admin] system none
      [FW-aaa-role-service-admin] network read-write
      [FW-aaa-role-service-admin] object read-write
      [FW-aaa-role-service-admin] policy read-write
      [FW-aaa-role-service-admin] quit

    3. 创建管理员,并为管理员绑定角色。

      [FW-aaa] manager-user webadmin
      [FW-aaa-manager-user-webadmin] password
      Enter Password: 
      Confirm Password:   
      [FW-aaa-manager-user-webadmin] service-type web
      [FW-aaa-manager-user-webadmin] access-limit 10
      [FW-aaa-manager-user-webadmin] acl-number 2001
      [FW-aaa-manager-user-webadmin] quit
      [FW-aaa] bind manager-user webadmin role service-admin
      [FW-aaa] quit

  3. 验证管理员登录Web界面。
    1. 配置管理员PC的IP地址为10.3.0.10/24。
    2. PC中打开网络浏览器,访问需要登录设备的IP地址“https://10.3.0.1:8443”。

      输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。

    3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”,单击“登录”,进入Web界面,管理员配置成功。

配置脚本
#                             
interface GigabitEthernet1/0/3ip address 10.3.0.1 255.255.255.0   service-manage https permit  
# 
firewall zone trust set priority 85 add interface GigabitEthernet1/0/3
#                             
acl number 2001               rule 5 permit source 10.3.0.0 0.0.0.255 rule 10 deny
#                             web-manager security enableweb-manager timeout 5        
#       
aaa                           authentication-scheme default
#                            
manager-user webadmin        password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@service-type weblevel 15                   acl-number 2001            
#                            bind manager-user webadmin role service-admin 
role service-admin            description policy_object_network_readwrite_and_other_modules_nonedashboard nonemonitor nonesystem nonenetwork read-write object read-writepolicy read-write
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/283561.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何查看局域网内所有的ip和对应的mac地址

1、windows下查看 方法一、 按快捷键“winr”打开运行界面,输入“CMD”回车: 输入以下命令: for /L %i IN (1,1,254) DO ping -w 1 -n 1 192.168.0.%i 其中 192.168.0.%i 部分要使用要查询的网段,比如 192.168.1.%i 192.168.137.%i 172.16.2…

Protege的推理机

最近一直在使用Protege软件,来构建本体和知识图谱。其中还涉及到了如何指定规则进行推理,需要SWRL(使用这个插件能够比较简单创建规则)这个插件,但我一直找不到这个tab在哪里,但是我确信的是一定存在这个插件,因为prot…

vue-quill-editor和vue-ueditor-wrap富文本编辑器应用

目录 一、vue-quill-editor 1.1、界面展示 1.2、代码介绍 1.2.1、安装 1.2.2、配置 1.2.3、代码应用 1.2.4、提取内容 二、vue-ueditor-wrap 2.1、界面展示 2.2、代码介绍 2.2.1、安装 2.2.2、配置 2.2.3、代码应用 一、vue-quill-editor 1.1、界面展示 文本输出…

Mysql学习--深入探究索引和事务的重点要点与考点

꒰˃͈꒵˂͈꒱ write in front ꒰˃͈꒵˂͈꒱ ʕ̯•͡˔•̯᷅ʔ大家好,我是xiaoxie.希望你看完之后,有不足之处请多多谅解,让我们一起共同进步૮₍❀ᴗ͈ . ᴗ͈ აxiaoxieʕ̯•͡˔•̯᷅ʔ—CSDN博客 本文由xiaoxieʕ̯•͡˔•̯᷅ʔ 原创 CSDN …

CMake笔记之将任意官方库作为third_party完整地包含在工程项目中使用的通用模板

CMake笔记之将任意官方库作为third_party完整地包含在工程项目中使用的通用模板 —— 杭州 2024-03-20 凌晨1:06 code review! 文章目录 CMake笔记之将任意官方库作为third_party完整地包含在工程项目中使用的通用模板1.通用CMakeLists.txt模板2.GPT4给出的改进建议3.git clon…

【项目实践Day06】异步请求与同步请求+Ajax+微信小程序上实现发送异步请求

什么是同步和异步 同步 在主线程上排队执行的任务,只有前一个任务执行完毕,才能继续执行下一个任务。也就是一旦调用开始,就必须等待其返回结果,程序的执行顺序和任务排列顺序一致。客户端必须等待服务器端的响应。在等待的期间客…

继承和多态(1)(继承部分)

继承 继承的概念 上文就是继承的概念。 必须记住父类也可以称为基类,超类。 子类也可以称为派生类。 继承的语法 在Java中如果要表示类之间的继承关系,需要借助extends关键字,具体如下: 修饰符 class 子类 extends 父类 {//…

一、SpringBoot基础搭建

本教程主要给初学SpringBoot的开发者,通过idea搭建单体服务提供手把手教学例程,主要目的在于理解环境的搭建,以及maven模块之间的整合与调用 源码:jun/learn-springboot 以商城项目为搭建例子,首先计划建1个父模块&…

用 二层口 实现三层口 IP 通信的一个实现方法

我们一般用 undo portswitch 来将二层口转为三层口,但如果设备不支持的话,那么。。。 一、拓朴图: 二、实现方法: 起一个 vlan x,配置 vlanif地址,然后二层口划分到 vlan x 下,对端做同样的配置…

一文带你弄懂JVM与JAVA体系结构

文章目录 1.JVM 与 Java 体系结构1.1. 前言1.2. 一些参考书目1.3. Java 及 JVM 简介1.4. Java 发展的重大事件1.5. 虚拟机与 Java 虚拟机1.6. JVM 的整体结构1.7. Java 代码执行流程1.8. JVM 的架构模型1.9. JVM 的生命周期 1.JVM 与 Java 体系结构 1.1. 前言 作为 Java 工程…

用Compute Shader处理图像数据后在安卓机上不能正常显示渲染纹理

1)用Compute Shader处理图像数据后在安卓机上不能正常显示渲染纹理 2)折叠屏适配问题 3)Prefab对DLL中脚本的引用丢失 4)如何优化Unity VolumeManager中的ReplaceData 这是第378篇UWA技术知识分享的推送,精选了UWA社区…

长安链智能合约标准协议第二草案——BNS与DID协议邀请社区用户评审

长安链智能合约标准协议 在智能合约编写过程中,不同的产品及开发人员对业务理解和编程习惯不同,即使同一业务所编写的合约在具体实现上也可能有很大差异,在运维或业务对接中面临较大的学习和理解成本,现有公链合约协议规范又不能完…

RabbitMQ问题

如何实现顺序消费? 消息放入到同一个队列中消费 如何解决消息不丢失? 方案: 如上图:消息丢失有三种情况,解决了以上三种情况就解决了丢失的问题 1、丢失1--->消息在到达交换机的时候;解决&#xff1…

记录解决问题--activiti8.2 流程图图片由png改为svg前端不显示图片问题

1.说明 如果是vue svg显示,请查阅其他标准资料,类似使用svg标签。我这里讲的另外一种情况,链接返回的是svg文件,需要用v-html显示图片。 2.activiti6流程图图片格式 ①png格式。可以查看链接返回,以png开头。 ②前端…

C语⾔内存函数

目录 1. memcpy使⽤和模拟实现 memcpy函数的模拟实现: 2. memmove使⽤和模拟实现 memmove的模拟实现: 3. memset函数的使⽤ 4. memcmp函数的使⽤ 1. memcpy使⽤和模拟实现 void * memcpy ( void * destination, const void * source, size_t num ); • 函数me…

混境之地5

混境之地5 分析: 有一个二维矩阵代表的是a(i,j)的高度,给出一个起始坐标(a,b),以及一个终点坐标(c,d),问是否能到终点坐标。要求是:只能从高的a(i,j)走到低的位置,有一次从低位置跳到高位置的机会。 我们优先想到的就…

[Uni-app] 微信小程序的圆环进度条

效果图&#xff1a; 组件完整代码如下&#xff1a; <template><view class"base-style":style"position: relative;width: diameter px;height: diameter px;display: flex;flex-direction: row;background-color: bgColor ;"><!…

解决:visio导出公式为pdf图片乱码问题

今天需要将Visio编辑好的以后的图输出pdf&#xff0c;但是点击保存后公式部分一直乱码&#xff0c;如下图所示 保存为pdf后会变成&#xff1a; 解决方案&#xff1a;保存时点击文件下方的快速打印&#xff0c;存到桌面&#xff0c;不要直接点击保存

SG5032VAN差分晶振X1G004261001100专用于5G通讯设备

差分晶体振荡器(DXO)是目前行业中公认高技术&#xff0c;高要求的一款晶体振荡器&#xff0c;是指输出差分信号使用2种相位彼此完全相反的信号,从而消除了共模噪声,并产生一个更高性能的系统。差分晶振一般为六脚贴片晶振&#xff0c;输出类型分为好几种,LVDS&#xff0c;LV-PE…

jmeter之接口功能自动化

一、接口测试简述 接口&#xff1a;用来连接前端&#xff0c;后端还有移动端的程序模块。由于不同端的工作进度不一样&#xff0c;需要对最开始出来的接口进行接口测试。 接口分类&#xff1a;POST&#xff0c;GET&#xff0c;PUT&#xff0c;DELETE。 POST请求的数据是放在…