搜索内容

防火墙

  • 锐捷防火墙特征库升级失败

    特征库升级失败 一、故障现象 防火墙特征库升级失败 二、组网拓扑 三、可能原因 防火墙没有激活授权文件 防火墙版本过低,老版本不支持部分UTM功能 防火墙未联网,离线库文件升级错误 四、处理步骤 步骤一:检查防火墙授权状态 系统管理---系统设置---授权管理界面,可查看到防火墙当前的授权状态,下图表示所有UTM功能都未授权,UTM未授权情况下,对应的特征库均无法升级。 步骤二:检查防火墙的软件版本 如果防火墙版本低于R3,需要先升级版本(设备会重启)到最新,因为R3版本之前只支持IPS功能,其他UTM功能不支持,导入授权文件的时候会报错。 步骤三:离线库升级失败 离线库下载方式:点击查看 各个类型的特征库可从下图位置分别下载并导入。 五、信息收集 1、防火墙授权信息界面截图 2、一键故障信息导出如上述步骤无法定位解决转售后处理

    SE_Zhang 2025-01-17
    2 0 0

  • 【转载】防火墙设计和部署解析

    目录 拓扑一: 安全性评估: 改善方案: 杀毒网关/ips/WAF工作机制分析: 拓扑修改+安全性提升: 拓扑一: 需求:外网的pc2能够访问内网的web服务器 安全性评估: 需求可以实现,但是如果pc2作为恶意攻击者入侵了公司内网的web服务器,以公司内网的web服务器作为跳板,向内网的OA办公系统、财务系统等发起攻击就很难防御 。很不安全!!缺乏合理的安全架构设计 改善方案: 在OA与核心交换机之间安装IPS(入侵防御检测) web服务器与核心交换机之间安装WAF(web安全应用防火墙) 或者设置AC杀毒网关等等 缺点:不能百分百的防御攻击 杀毒网关/ips/WAF工作机制分析: 当一个最新的病毒出来之后,相关的研发人员会把这个病毒源代码利用汇编语言做逆向工程,提取出这个病毒代码的特征,写成一个病毒的数据库,然后再把这个病毒的数据库升级到杀毒网关里面,杀毒网关才会具备对这个最新病毒的查杀能力。所以无论部署什么都不能完全防御黑客攻击。 拓扑修改+安全性提升: 添加防火墙并且接口划分zone(区域),做安全策略 域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发; 注:两个防火墙之间的区域也叫DMZ区域,银行网络架构中比较常见 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/124546923

    SE_Ning 2024-12-27
    5 0 0

  • 【转载】防火墙典型配置

    一、拓扑: 二、配置解析:   出现问题: 异步路由(路由去的时候和回来的时候路径不一样) 原因:思科的防火墙默认不支持路由负载均衡,所以数据回来的时候会随机选择一个下一跳,这就导致了异步路由的产生 解决:修改对应路由,对应vlan的cost值 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/124551969

    SE_Ning 2024-12-27
    15 0 0

  • 华为USG2210和山石网科防火墙对接IPSEC VPN

    华为USG2210和山石网科防火墙对接IPSEC VPN,中心端是山石防火墙SG6000-A2700,分支端使用华为USG2210防火墙。因前期用户无统一规划导致两端内网地址冲突,都是192.168.1.0/24和192.168.2.0/24两个网段ip地址。用户需求为分分支端需要访问中心端的服务器网段192.168.1.0/24的ip地址。两端都有固定公网ip地址,需要组建IPSEC VPN。 用户现有设备型号及版本如下: 山石防火墙版本:SG6000-A2700  SG6000-A-1-5.5R8 华为防火墙版本:USG2210           V300R001 服务器网段为192.168.1.0/24网段,部署在中心端山石防火墙下。 统一为用户规划中点端组建ipsec vpn的虚拟地址为10.10.0.0/24网段地址。分支端组建ipsec vpn的地址为172.17.20.0/24网段地址。分支端访问中心端的流量统一转换为172.17.20.0/24后去访问10.10.0.0/24的虚拟网段地址。然后做10.10.0.0/24对应192.168.1.0/24一对一映射。如访问10.10.0.8对应访问的真实服务器地址192.168.1.8,这样既避免了vpn两端地址冲突问题,又隐藏了真实服务器地址,同时还能保证vpn数据能正常访问。后续如果分支端有服务器业务,也可以用类似方式来配置中心端到分支端的业务。 配置介绍(省略防火墙基础配置,只列举ipsec vpn配置) 华为防火墙侧ipsec vpn配置 第一阶段配置 第二阶段配置 配置隧道路由 配置源地址转换,将访问10.10.0.0/24网段的流量转换为172.17.20.0/24网段去访问 vpn地址池为172.17.20.0/24地址 配置安全策略放行 山石防火墙配置 配置ipsec vpn 第一阶段 配置ipsec vpn 第二阶段 配置隧道路由 配置安全策略,允许对端虚拟地址172.17.20.0/24访问服务器网段10.10.0.0/24地址 配置ip映射,让分支端访问10.10.0.0/24一对一映射到服务器网段192.168.1.0/24 山石侧查看vpn连接信息 查看isakmp连接信息和ipsec sa连接信息 华为侧查看vpn连接信……

    SE_YT 2024-12-26
    7 0 0

  • HiSecEngine USG系列防火墙与 eKitEngine USG系列防火墙

    HiSecEngine USG系列防火墙与eKitEngine USG系列防火墙是华为公司推出的两款不同系列的防火墙产品,它们在产品定位、功能特性、应用场景等方面存在差异: 产品定位: HiSecEngine USG系列:定位为企业级防火墙,提供全面的安全防护功能,适用于大中型企业、数据中心等场景。 eKitEngine USG系列:定位可能更偏向于特定场景或特定需求的防火墙解决方案,具体定位需参考华为官方的最新产品文档。 功能特性: HiSecEngine USG系列:通常具备高级威胁防御、入侵防御、应用识别与控制、URL过滤、病毒防护、虚拟防火墙等功能,支持多种安全策略和管理方式。 eKitEngine USG系列:具体功能特性需参考华为官方的最新产品文档,但通常会根据其定位提供相应的安全功能。 应用场景: HiSecEngine USG系列:适用于大中型企业、数据中心、云环境等需要高级安全防护的场景。 eKitEngine USG系列:具体应用场景需参考华为官方的最新产品文档,但可能更偏向于特定行业或特定规模的企业。 硬件规格: HiSecEngine USG系列:提供多种硬件规格,包括盒式、机架式等,支持高可用性、冗余电源等特性。 eKitEngine USG系列:硬件规格可能更专注于特定需求。 logo:   HiSecEngine USG系列:https://e.huawei.com/cn/products/security eKitEngine USG系列:https://ekit.huawei.com/#/ekitShop/shopList?firstCatalogName=%E6%95%B0%E9%80%9A%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8&firstCatalog=9576&firstSaleCode=9576&countryCode=CN&lang=zh_CN

    SE_YT 2024-12-26
    16 0 0

  • 为什么要部署下一代防火墙?有哪些可靠的方案吗?

    01 传统防火墙是什么? 传统防火墙是一种基于规则集的安全设备,主要用于监控和控制进出网络的数据流。它通过检查数据包的源地址、目的地址、端口号等信息来决定是否允许该数据包通过。 01 主要功能包括: 包过滤:根据预设的规则集,检查每个数据包的头部信息(如 IP 地址、端口号),并决定是否放行。 状态检测:不仅检查单个数据包,还跟踪连接的状态(如新建、建立、终止),以确保合法连接的连续性。 应用层网关(ALG):对特定的应用层协议进行更深入的检查,但通常只限于少数几种常见协议。 网络地址转换(NAT):隐藏内部网络的真实 IP 地址,增强安全性并简化 IP 地址管理。 02 局限性 缺乏应用程序识别能力:传统防火墙主要依赖于端口号来区分应用程序,无法识别和控制现代应用程序,特别是那些使用动态端口或加密通信的应用。 有限的威胁检测能力:传统防火墙难以应对复杂的攻击手段,如零日漏洞攻击、高级持续性威胁(APT)等,因为它们缺乏深度包检测(DPI)和实时威胁分析功能。 无法处理加密流量:随着越来越多的流量采用 SSL/TLS 加密,传统防火墙无法解密和检查这些流量,导致潜在的安全盲区。 用户身份验证不足:传统防火墙通常不支持基于用户的身份验证和访问控制,难以实现精细化的安全策略。 02 下一代防火墙是什么? 下一代防火墙(Next-Generation Firewall, NGFW)是一种集成了多种安全功能的综合防护平台,旨在应对现代网络环境中日益复杂的安全威胁。 NGFW 不仅继承了传统防火墙的基本功能,如包过滤和状态检测,还引入了深度包检测(DPI)、应用程序控制、入侵防御系统(IPS)、SSL/TLS 检测等先进技术。这些特性使得 NGFW 能够更精准地识别和阻止恶意流量,提供全面的网络安全保护。 01 核心特性 1.深度包检测 (DPI) DPI 是一种高级流量分析技术,可以深入检查数据包……

    SE_YJ 2024-12-26
    5 0 0

  • 网工最容易搞混的:防火墙、网闸、堡垒机

    01 防火墙(Firewall) 防火墙是一种网络安全系统,通过监控和控制进出网络流量,根据预定的安全规则来阻止未经授权的访问。它充当网络边界的第一道防线,保护内部网络免受外部威胁。 类型: 包过滤防火墙:基于IP地址、端口号等信息进行简单过滤。适用于基本的网络分段和访问控制。 状态检测防火墙:跟踪连接状态,提供更细粒度的控制。能够识别并阻止异常行为,如非法重放攻击。 应用层防火墙(下一代防火墙,NGFW):深入检查应用层数据,如HTTP、FTP协议,实现高级保护,并集成入侵防御系统(IPS)、反病毒等功能。 01 特点: 灵活的访问控制:可以根据多种条件(如IP地址、端口、协议)制定复杂的访问规则,确保只有授权流量可以通行。 日志记录和审计:详细记录所有进出流量,便于后续分析和审计,帮助发现潜在的安全问题。 易于部署和管理:大多数防火墙产品提供了图形化界面或命令行工具,简化了配置和维护工作。 高性能处理能力:现代防火墙具备高效的数据包处理能力,支持高带宽环境,确保不影响网络性能。 02 应用场景 企业边界防护:在企业网络与互联网之间设置防火墙,防止外部攻击,确保内部网络的安全。 内部网络分段:在企业内部网络中使用防火墙划分不同的安全域,限制横向移动,减少内部威胁的扩散。 云环境中的安全隔离:为云服务提供商和租户提供虚拟防火墙,确保多租户环境下的安全性,保护敏感数据。 远程办公安全接入:结合VPN技术,为远程用户提供安全的网络访问通道,确保远程办公的安全性和效率。 03 示例配置 假设我们需要配置一个基本的状态检测防火墙,以下是具体步骤: 进入系统视图: <Switch> system-view 创建安全区域: [Switch] firewall zone trust [Switch-zone-trust] add interface GigabitEthernet 0/0/1 [Switch-zone-trust] quit [Switch] firewall ……

    SE_YJ 2024-12-17
    11 0 0

  • USG6000e IPSEC会话查看及抓包判断方法

    问题描述 因为ipsec流量是加密的,无法通过抓包的方式直接获取原始数据流信息 USG6000e IPSEC会话查看及抓包判断方法如下 解决方案 1、内层数据可以通过查看会话表的方式获取信息 Sys Diag Display firewall session table detail source inside 本端内网IP  destination global 对端内网IP(其中有字段fwd_type: forward <--> ipsec 证明流量已发送到隧道中) 然后通过display ipsec sa remote 远端公网地址,可以看到对应的隧道中的outbound 加密字段会有增长) 2、封装后的报文是加密报文有两种场景(抓包中无法直接看到内部的流量信息) 1)非nat穿越场景,此时使用的是协议50(ESP协议封装),所以可以通过五元组抓包抓取到两边公网IP互发的报文 现网流量是混杂的 所以ping的时候 需要携带特殊的长度去测试 如:ping -l 1333 目标地址(方便报文筛选,wireshark报文筛选方法frame.len >=1333 and frame.len<=1500 ) 2)Nat穿越场景,此时仍然是ESP但是抓包只能用目的UDP 4500去获取,也可以通过五元组抓包抓取到两边公网IP互发的报文

    SE_Gao 2024-12-06
    12 0 0

  • 新增USG6580E防火墙导致网络异常的故障处理

    问题描述 在某项目实施过程中,原始拓扑如下图,橘色区域为某ZF部门的设备,蓝色区域为某局的设备,某局所有终端设备的网关地址在ZF部门核心交换机上,为了安全性和可控性方面的考虑,需要对现网进行改造,在核心交换机与汇聚交换机中间新增防火墙USG6580E进行安全管控,同时将某局终端的网关下沉在新增防火墙上边。 按照上述需求进行网络改造后,如下图所示, 新增防火墙有某局网络维护人员进行维护,承担该局点所有终端设备的网关及安全过滤,同时对上三层IP对接并使用静态路由协议与核心进行路由的互相传递,按照上述方案进行改造完毕后,发现该局点所有终端存在上网时断时续,网络质量时好时坏的故障。 告警信息 存在的故障现象即该局点所有终端都存在上网慢,时断时续,时通时不通的情况,包括终端的ping测试、tracert测试和网页测试。 处理过程 由于防火墙以上设备属于某ZF局点的设备,原本想登陆核心设备进行相关信息的查看,与ZF人员沟通后备拒绝,理由是可以配合某局进行相关配置调整,但是为了安全性考虑,无法直接让某局的人登陆ZF的设备进行查看。所以只能先从防火墙下手进行排查。 新增防火墙后出现网络卡顿的故障, 1、首先怀疑是否某些报文被防火墙丢弃了,所以查看了对应的安全策略、带宽策略、接口区域、路由指向等配置,发现并未对报文做相关丢弃的动作。 2、其次为了证明报文是否是被防火墙所丢弃,所以在防火墙的诊断视图下使用firewall statistic acl匹配对应的源进行流量统计,发现相关报文并非被防火墙所丢弃。 所以基本排除了是防火墙丢弃的相关报文导致业务时断时续。 在整个网络改造的过程中,除了新增防火墙以外,还做了一个关键性的动作就是业务网关从原本的核心交换机下沉至了新增防火墙。 所以怀疑会不会该动作导致的故障现象。 但是由于核心交换机ZF无法授权登录,……

    SE_Gao 2024-12-05
    14 0 0

  • USG6500E防火墙作为出口环境的网页访问故障

    问题描述 故障现象:用户发现某Web页面无法正常访问。 组网:USG6500E(V500R001C60SPC100)作为互联网出口设备(配置有Easy-ip方式的Nat),防火墙上行通过运营商链路连接Web服务器,下联一台XXX友商的上网行为管理设备。上网行为管理下联用户三层汇聚交换机。 处理过程 一、在用户终端访问该Web页面验证故障现象,发现页面无法正常访问; 二、在用户终端对Web服务器地址进行ping测试,结果ping成功; 三、在用户终端对Web服务器地址进行telnet测试,发现该地址的443端口和80端口均能连接成功,由此可以判断网络层面地址可达; 四、在USG6500E防火墙查看会话表项,发现存在正确的NAT地址转换表项; 五、为排查传输层故障,在防火墙侧设置Web服务器地址作为五元组抓包参数。然后再用户终端对服务器地址ping测和telnet测试的同时,在防火墙端进行五元组抓包,结果显示TCP三次握手正常建立,之后的应用层连接被重置,此后终端向服务器不停重传TCP-SYN报文,没有收到回复报文; 六、由上述现象判断故障是由于运营商侧或应用侧对NAT转换后的公网地址做了相关的安全限制,故将原本的easy ip转换方式改为地址池转换的方式。 七、重新访问应用Web页面,故障得以解决。     根因 运营商侧或应用侧对防火墙NAT转换后的公网地址做了相关的安全限制,导致TCP建联不正常,引起页面访问故障。 解决方案 将原本的easy ip转换方式改为地址池的方式。 建议与总结 出现类似互联网环境下的页面无法访问情况,应当先排查网络层地址是否可达。网络层没问题应采用设备自带功能或专业抓包工具查看TCP建联情况,如果TCP连接成功则说明问题出在应用层。下一步则排查应用侧是否做了针对客户侧地址的相关限制策略,如发现存在不正确的限制策略则应加以调整或在用户设备侧改变发起访问的源地址。

    SE_Gao 2024-12-04
    9 0 0
123 下一页尾页1/3