本篇文章给大家分享的是有关防火墙eudemon安全改造的实例分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。背景:因安全需求,对原先配置的EUDEMON防火墙进行安全改造。现有的业务系统DMZ区网络环境是192网段的,通过上联的华为8508经防火墙和路由连公网。 业务系统DMZ区通过华为EUDEMON防火墙接内部核心区。
环境:网络设备都是华为的,交换机华为LS-S5328C,防火墙华为Eudemon 1000E,服务器系统都是SUSE 11 ENTERPRISE SERVER 64bit版本的。需求:防火墙要求通过SSH方式远程登录;防火墙各区域间加安全访问限制。
网络拓扑图:一、防火墙要求通过SSH方式远程登录原配置:Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。[switch]aaa[switch-aaa]local-user admin password simple usermax //设置账号密码[switch-aaa]local-user admin privilege level 3 //设置账号级别,3为最高级[switch-aaa]local-user service-type telnet //设置本地账号服务类型是telnet[switch-aaa]quit [switch]user-interface vty 0 4[switch-user-vty0-4]authentication-mode aaa //设置登录用户验证方式为aaa[switch-user-vty0-4]protocol bind telnet // 绑定用户协议为telnet[switch-user-vty0-4]idle-timeout 5 0 //空闲超时5分钟退出[switch-user-vty0-4]quitSSH(Secure Shell)特性可以提供安全的信息保障和强大的认证功能,以保护设备不受诸如IP地址欺骗、明文密码截取等***。改造后的配置:服务端创建SSH用户user001。# 新建用户名为user001的SSH用户,且认证方式为password。[Quidway] ssh user user001[Quidway] ssh user user001authentication-type password(补充:SSH用户主要有password、RSA、password-rsa、all这4种认证方式:如果SSH用户的认证方式为password、password-rsa时,必须配置同名的local-user用户;如果SSH用户的认证方式为RSA、password-rsa、all,服务器端应保存SSH客户端的RSA公钥。)# 为SSH用户 user001配置密码为huawei。[Quidway] aaa[Quidway-aaa] local-user user001password simple huawei[Quidway-aaa] local-user user001service-type ssh# 配置VTY用户界面。[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] protocol inbound ssh[Quidway-ui-vty0-4] quit# 使能SFTP服务功能[Quidway] sftp server enable客户端连接SSH服务器# 第一次登录,则需要使能SSH客户端首次认证功能。[ user001] ssh client first-time enable# SFTP客户端Client001用password认证方式连接SSH服务器。 system-view[ user001] sftp 221.116.139.121Input Username:user001Trying 221.116.139.121 …Press CTRL+K to abortEnter password:sftp-client>二、防火墙各区域间加安全访问限制防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。典型信任的区域包括互联网(UNTRUST区域)和一个内部网络(TRUST区域)还有中立区(DMZ) 。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响.原配置:(各区域没有限制,安全区域间的所有方向都允许报文通过)#firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone local vzone direction inboundfirewall packet-filter default permit interzone local vzone direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone trust vzone direction inboundfirewall packet-filter default permit interzone trust vzone direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outboundfirewall packet-filter default permit interzone untrust vzone direction inboundfirewall packet-filter default permit interzone untrust vzone direction outboundfirewall packet-filter default permit interzone dmz vzone direction inboundfirewall packet-filter default permit interzone dmz vzone direction outbound改造后配置:1、在原区域互访基础上精简#firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet开发云主机域名-filter default permit interzone local dmz direction outbound注:安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。入方向:数据由低优先级的安全区域向高优先级的安全区域传输。出方向:数据由高优先级的安全区域向低优先级的安全区域传输。2、设置地址集:[Quidway]#
ip address-set addressgroup1address 4 192.29.141.130 0address 5 192.29.141.132 0address 6 192.29.141.140 0address 7 192.29.141.142 0[Quidway]#ip address-set addressgroup4address 0 192.29.141.25 0address 1 192.29.141.26 0address 2 192.29.141.27 03、增加特定地址集间的访问规则和限制[Quidway]#acl number 3201rule 10 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq sqlnetrule 11 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq sshrule 15 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmprule 16 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ntprule 17 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmptraprule 3000 deny ip[Quidway]#acl number 3202rule 10 permit tcp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq sshrule 15 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmprule 16 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ntprule 17 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmptraprule 3000 deny ip4、在区域间匹配ACL[Quidway]#
firewall interzone dmz untrust
packet-filter 3201 inbound
packet-filter 3202 outbound
detect ftp
detect http
session log enable acl-number 3201 inbound
session log enable acl-number 3202 outbound其他区域间的安全改造如上类似。安全改造后在一定程度上提高了网络安全性,当然大家还可以再针对具体情况ACL(访问控制列表)、AM(访问管理配置)、AAA、dot1x、MAC绑定等方面进行查缺补漏来进行不断完善。以上就是防火墙eudemon安全改造的实例分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注开发云行业资讯频道。
这篇文章将为大家详细讲解有关国内哪家虚拟主机比较稳定,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。国内稳定的虚拟主机,开发云很不错,主机性能稳定,访问速度快。开发云,中国知名互联网服务提供商,开发丰富产品线,满…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
