中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

防火墻eudemon安全改造的實例分析

發布時間:2021-12-30 11:28:24 來源:億速云 閱讀:128 作者:柒染 欄目:云計算

本篇文章給大家分享的是有關防火墻eudemon安全改造的實例分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

 背景:因安全需求,對原先配置的EUDEMON防火墻進行安全改造。現有的業務系統DMZ區網絡環境是192網段的,通過上聯的華為8508經防火墻和路由連公網。 業務系統DMZ區通過華為EUDEMON防火墻接內部核心區。

環境:網絡設備都是華為的,交換機華為LS-S5328C,防火墻華為Eudemon 1000E,服務器系統都是SUSE 11 ENTERPRISE  SERVER 64bit版本的。

需求:防火墻要求通過SSH方式遠程登錄;防火墻各區域間加安全訪問限制。

網絡拓撲圖:

防火墻eudemon安全改造的實例分析

一、防火墻要求通過SSH方式遠程登錄

原配置:

Telnet協議在TCP/IP協議族中屬于應用層協議,通過網絡提供遠程登錄和虛擬終端功能。

[switch]aaa

[switch-aaa]local-user admin password simple usermax   //設置賬號密碼[switch-aaa]local-user admin privilege level 3  //設置賬號級別,3為最高級

[switch-aaa]local-user service-type telnet   //設置本地賬號服務類型是telnet

[switch-aaa]quit  

[switch]user-interface vty 0 4

[switch-user-vty0-4]authentication-mode aaa   //設置登錄用戶驗證方式為aaa

[switch-user-vty0-4]protocol bind telnet   // 綁定用戶協議為telnet

[switch-user-vty0-4]idle-timeout 5 0 //空閑超時5分鐘退出

[switch-user-vty0-4]quit 

SSH(Secure Shell)特性可以提供安全的信息保障和強大的認證功能,以保護設備不受諸如IP地址欺騙、明文密碼截取等***。 

改造后的配置: 

服務端創建SSH用戶user001。

# 新建用戶名為user001的SSH用戶,且認證方式為password。

[Quidway] ssh user  user001

[Quidway] ssh user  user001  authentication-type password

(補充:SSH用戶主要有password、RSA、password-rsa、all這4種認證方式:

如果SSH用戶的認證方式為password、password-rsa時,必須配置同名的local-user用戶;如果SSH用戶的認證方式為RSA、password-rsa、all,服務器端應保存SSH客戶端的RSA公鑰。)

# 為SSH用戶 user001 配置密碼為huawei。

[Quidway] aaa

[Quidway-aaa] local-user  user001  password simple huawei

[Quidway-aaa] local-user  user001  service-type ssh

# 配置VTY用戶界面。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode aaa

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway-ui-vty0-4] quit

# 使能SFTP服務功能

[Quidway] sftp server enable

客戶端連接SSH服務器 

# 第一次登錄,則需要使能SSH客戶端首次認證功能。

[ user001 ] ssh client first-time enable

# SFTP客戶端Client001用password認證方式連接SSH服務器。

< user001 > system-view

[ user001 ] sftp 221.116.139.121 

Input Username:user001

Trying 221.116.139.121 ...

Press CTRL+K to abort

Enter password:

sftp-client>

二、防火墻各區域間加安全訪問限制

防火墻最基本的功能就是控制在計算機網絡中,不同信任程度區域間傳送的數據流。 典型信任的區域包括互聯網(UNTRUST區域)和一個內部網絡(TRUST區域)還有中立區(DMZ) 。通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響.

原配置:(各區域沒有限制,安全區域間的所有方向都允許報文通過) 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

 firewall packet-filter default permit interzone local vzone direction inbound

 firewall packet-filter default permit interzone local vzone direction outbound

 firewall packet-filter default permit interzone trust untrust direction inbound

 firewall packet-filter default permit interzone trust untrust direction outbound

 firewall packet-filter default permit interzone trust dmz direction inbound

 firewall packet-filter default permit interzone trust dmz direction outbound

 firewall packet-filter default permit interzone trust vzone direction inbound

 firewall packet-filter default permit interzone trust vzone direction outbound

 firewall packet-filter default permit interzone dmz untrust direction inbound

 firewall packet-filter default permit interzone dmz untrust direction outbound

 firewall packet-filter default permit interzone untrust vzone direction inbound

 firewall packet-filter default permit interzone untrust vzone direction outbound

 firewall packet-filter default permit interzone dmz vzone direction inbound

 firewall packet-filter default permit interzone dmz vzone direction outbound

改造后配置:

1、在原區域互訪基礎上精簡 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

注:安全域間的數據流動具有方向性,包括入方向(Inbound)和出方向(Outbound)。

  • 入方向:數據由低優先級的安全區域向高優先級的安全區域傳輸。

  • 出方向:數據由高優先級的安全區域向低優先級的安全區域傳輸。

2、設置地址集: 

[Quidway]#
ip address-set addressgroup1 

 address 4 192.29.141.130 0 

 address 5 192.29.141.132 0 

 address 6 192.29.141.140 0 

 address 7 192.29.141.142 0 

[Quidway]#

 ip address-set addressgroup4

 address 0 192.29.141.25 0 

 address 1 192.29.141.26 0 

 address 2 192.29.141.27 0  

3、增加特定地址集間的訪問規則和限制

[Quidway]#

acl number 3201 

 rule 10 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq sqlnet 

 rule 11 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmptrap 

 rule 3000 deny ip  

[Quidway]#

acl number 3202 

 rule 10 permit tcp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmptrap 

 rule 3000 deny ip  

 4、在區域間匹配ACL

[Quidway]#                                 
firewall interzone dmz untrust
 packet-filter 3201 inbound
 packet-filter 3202 outbound
 detect ftp
 detect http
 session log enable acl-number 3201 inbound
 session log enable acl-number 3202 outbound

其他區域間的安全改造如上類似。

安全改造后在一定程度上提高了網絡安全性,當然大家還可以再針對具體情況ACL(訪問控制列表)、AM(訪問管理配置)、AAA、dot1x、MAC綁定等方面進行查缺補漏來進行不斷完善。

以上就是防火墻eudemon安全改造的實例分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

白银市| 阳西县| 新郑市| 个旧市| 扎兰屯市| 松江区| 黄石市| 台前县| 烟台市| 高淳县| 上蔡县| 朝阳区| 三江| 喜德县| 如东县| 濉溪县| 沂源县| 英山县| 温宿县| 广州市| 宜宾县| 温泉县| 报价| 潼关县| 盐池县| 碌曲县| 连平县| 合江县| 马关县| 大新县| 淮阳县| 临安市| 渑池县| 东辽县| 习水县| 湘潭市| 沁源县| 庆城县| 荔波县| 昆山市| 周至县|