搜索内容

防火墙

  • 防火墙解密导入证书失败案例

    防火墙解密导入证书失败案例 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=272561 防火墙解密导入证书失败案例 1问题现象下图为总描述导入失败 (1)新增解密策略选择对应的名称 区域 以及服务器地址和端口 (2)选择服务器证书 添加 (3)导入证书 (4)由于格式不一致导致导入失败 so  只能把证书格式转换一下再代入就可以 2根本原因 1、只有在设备生成证书请求,证书颁发机构根据设备的证书请求文件颁发的CRT/CER的证书才能直接导入,导入时选择处理未决的证书请求 2 只是格式不对 只能pfx或p12 *.crt或者*.cer文件就是只有公钥的证书文件 *.key文件是证书私钥文件 *.csr文件是证书请求文件,申请SSL证书时需要提交给证书颁发机构的请求文件,这里我们用不到 3解决办法 打开网址 https://www.myssl.cn/tools/merge-pfx-cert.html 按照对应案例将证书导入进去(备注 使用记事本打开  再复制粘贴就行) 如下所示 输入密码 大功告成 最后导入证书就OK了 输入密码 导入证书OK了 将合成后的ssl.cer或者ssl.crt按照以上案例中的方式和key文件合成pfx证书即可 证书就这样安装好了 4建议总结 实际证书不一致导入失败,转换下格式导入就可以 正常做解密策略 记住这个网址 证书转换就OK欧克欧克 https://www.myssl.cn/tools/merge-pfx-cert.html

    SE_Gao 2024-05-29
    52 0 0

  • 第三方IPsec对接H3C防火墙实现总部分支互访配置案例分享

    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=279979 总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通 大概就是这么一个拓扑 总部sangfor设备配置的第三方配 第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2 IKE版本使用V1 身份ID采用:tyxz,开启DPD检测 ,其他默认配置 第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24 那么在这里根据需要配置H3C设备 1、H3C防火墙接口配置 2、安全域配置 3、华三防火墙还代理了内部上网在这采用了接口NAT 4、放行上网的安全策略 策略——安全策略——安全策略——新建 源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。 测试内网已经可以访问外网了 5、配置IPsecVPN 网络——VPN——IPsec——策略——新建 新建IKE提议 本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。 以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可 创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。 6、为建立IPsec需要放行防火墙安全策略 在H3C防火墙创建安全策略 策略——安全策略——安全策略——新建,创建一条ipsec放行 源区域:Untrust, Local,源地址:< 即两端公网出口地址> 目的区域:Untrust, Local,目的地址:<两端公网出口地址> 配置完成后在VPN——IPsec——监控 配置没有问题即可在这里看到建立成功的隧道 到这里,发现IPsec VPN的隧道连接已经建立成功, 在两端的安全策略中均 放行两地内网互访流量,但ping会发现 隧道中没有数据发出 在隧道——详情——隧道统计,也没有数据流量。 ……

    SE_Gao 2024-05-27
    247 0 0

  • 防火墙最新技术汇总

                                               防火墙最新技术汇总   防火墙技术持续发展,以应对日益复杂的网络安全威胁。以下是防火墙领域的一些最新技术汇总: 下一代防火墙(NGFW):NGFW结合了传统防火墙的分组过滤和状态检测功能,还集成了深度包检测(DPI)、应用识别与控制、入侵防御系统(IPS)、SSL/TLS流量解密与检查等高级功能。它们能够基于应用层的内容做出决策,而不仅仅是基于端口和协议。 人工智能与机器学习:现代防火墙越来越多地采用AI和机器学习技术来增强威胁检测能力。通过分析大量网络流量数据,AI可以帮助防火墙自动学习并识别异常行为模式,从而更快地响应新型威胁。 云原生防火墙:随着企业向云环境迁移,云原生防火墙应运而生,专为云环境设计,提供弹性、可扩展的网络安全服务。它们可以轻松部署在公有云、私有云或混合云环境中,实现统一的安全策略管理。 微分割技术:在数据中心和云环境中,微分割技术通过精细的策略控制每个工作负载或应用组件的访问权限,减少了攻击面,增强了内部安全。 软件定义边界(SDP):SDP是一种安全架构,通过身份验证和授权机制隐藏网络服务,仅在需要时建立连接。这种“零信任”模型提升了网络的安全性和隐私性。 SASE(Secure Access Service Edge):SASE结合了广域网(WAN)功能和全面的安全措施,如防火墙即服务(FWaaS)、云访问安全代理(CASB)、零信任网络访问(ZTNA)等,为分布式和远程工作场景提供了统一的安全访问解决方案。 容器和Kubernetes安全:随着容器技术的普及,防火墙技术也在向容器层面扩展,提供容器间的安全策略实施和隔离,确保云原生应用的安全。 自动化与编排:自动化安全策略管理和事件响应成为趋势,防火墙与SOAR(Security Orchestration, Automation and Response)平台集成,能够快速响应安全事件并自动化执行……

    SE_Zhang 2024-05-23
    55 0 0

  • 【转载】华为模拟器 eNSP 教程

    • 链接:华为模拟器eNSP教程_哔哩哔哩_bilibili

    SE_Ning 2024-03-18
    42 0 0

  • IPV6经过防火墙(透明)直连ping不通

    1、故障背景   场景拓扑 故障现象描述 IPV6专线经过二层交换机和透明防火墙连接到核心交换机,核心交换机配置IPV6地址后ping不通直连网关地址 2、故障排查 2.1 故障定位 环境问题 2.2 故障原因分析 1、S5700的25口是上联口,26口是下连口接防火墙,防火墙下联是核心,IPV6在核心交换机的三层口配置,防火墙是透明模式 2、防火墙上没有放行IPV6策略,远程协助用户配置后还是ping不通V6网关地址 3、防火墙上抓包查看v6的ping包已经发出去了,但是没收到回报,从S5700上镜像抓包发现g0/26口没有发送reply报文 4、查看二层交换机S57收发的报文进行对比,存在差异,S57发出去的报文源MAC地址是核心交换机的,目的MAC是专线对端,但是对端会包的目的MAC却是S57的MAC,S57收到的正常报文目的MAC应该是和核心交换机的MAC地址才对。 综上判断是S5700交换机收到专线的reply包后没有转发给防火墙,且收发包存在MAC不一致现象。 3、故障解决方案/规避方案 清除专线对端设备的IPV6neighbor  或者等待专线对端设备的邻居表老化重新学习MAC 以上两种方式再重新学习邻居后可解决问题,最终IPV6可达

    SE_You 2022-06-16
    10 0 0

  • 全新NGFW ONC引流方案故障处理案例

    1、故障背景 场景拓扑 现网拓扑和业务说明如下: 整体方案采用INC ServiceChain引流方案,模式为透明模式(no sw+no ip)模式。防火墙采用路由模式虚拟连接对方法。 故障现象描述 开启INC的业务编排,对业务进行引流到防火墙后,业务不通。 2、故障排查方法 2.1故障定位 此故障为硬件问题,是由于防火墙NP芯片故障导致。 2.2故障原因分析 1、 定位故障点 防火墙进行sniffer抓包,现场并未抓取到报文,怀疑是引流交换机问题。 防火墙抓包命令:diagnose sniffer packet any  ‘host x.x.x.x’ 4 l 如果有抓到报文,但没有进行转发,可确定是防火墙问题,可结合debug功能判断是什么原因导致的丢包。 diagnose debug enable          //开启debug diagnose debug flow filter addr x.x.x.x             //过滤x.x.x.x的地址相关debug信息 diagnose debug flow trace start 10           //打印10条debug信息 如果没有抓取到报文,大概率是引流交换机方面的问题。 2、查看INC和交换机配置,并未发现问题 3、查看INC下发的流表 使用show of flow 查看流表下发情况,参数是否正确以及count值是否有变化。如果相应的count字段的数值有不断增加,说明引流成功。 获取的其中一个流表如下: {table="0", duration_sec="177", priority="1500", flags="0x0",idle_timeout="0", hard_timeout="0",   cookie="0xe51efb3520000",packet_count="10",byte_count="1298".match=oxm{in_port=“1",eth_type="0x800",ipv4_src=“30.7.0.0",ipv4_src_mask="255.255.255.0"}instructions=[apply{acts=[set_field{field:eth_src=“00:d0:f8:22:33:e5"},   set_field{field:eth_dst="1a:11:11:11:13"}, output{port=“2"}]}]} 相关字段解析: 1) duration_sec="177" 表项存在的时间 2) priority=“1500”:该流表的优先级,越大越优先。 3) ……

    SE_You 2022-06-14
    31 0 0

  • 全新NGFW-LDAP认证故障处理案例

    1、故障背景 场景拓扑 故障现象描述 背景描述:外网员工使用SSLVPN拨入内网,VPN拨号的账号密码需要到服务器上做认证,防火墙通过LDAP将客户端的账密发送到服务器验证,验证通过即可拨入VPN。 故障现象:使用本地账号密码可以认证成功,但是通过LDAP认证失败。 2、故障排查 2.1故障定位 原因:用户提供的防火墙查询账号密码错误,以及账户超期导致LDAP认证失败 2.2故障原因分析 1、对比服务器上的根,OU,containers,Group,在防火墙上设置对应属性,这些属性只能在命令行配置,配置如下图: 2、防火墙上有测试LDAP认证的命令,命令如下,如图防火墙上测试提示失败,说明防火墙的LDAP配置参数可能有误。 diagnose test authserver ldap <LDAP server_name> <username> <password> 3、通过以下命令可以查看LDAP认证过程,debug显示内容如下,标注的地方可以看出认证错误的原因分别是账号密码错误和账户超期导致认证失败。 # diagnose debug application fnbamd –1 # diagnose debug enable [1148] fnbamd_ldap_recv-Response len: 104, svr: 192.168.1.10 [829] fnbamd_ldap_parse_response-Got one MESSAGE. ID:1, type:bind [851] fnbamd_ldap_parse_response-Error 49(80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839)   <----- 这两个提示信息表示LDAP 身份认证无效,data52e一般代表账号密码错误 [864] fnbamd_ldap_parse_response-ret=49 [753] __ldap_stop-svr 'AD_LDAP' [182] fnbamd_comm_send_result-Sending result 1 (error 0, nid 0) for req 237259384 authenticate 'user1' against 'AD_LDAP' failed! [860] fnbamd_ldap_send-sending 116 bytes to 192.168.1.182 . . . [764] fnbamd_ldap_parse_response-Got one MESSAGE. ……

    SE_You 2022-06-12
    30 0 0

  • FAQ-USG6300防火墙设备部署URL过滤www.facebook.com失败

    问题描述 如图: 该项目针对防火墙部署的架构比较简单,网络连通性方面没有问题。根据客户要求配置URL过滤facebook,配置如下: url-filter category user-defined name noface_cat  add url www.facebook.com  add url facebook.pt  add url facebook.com # profile type url-filter name nofacebook  add blacklist url *facebook*  add blacklist url *www.facebook.com*  add blacklist url www.facebook.com  add blacklist url facebook  category pre-defined control-level high  category user-defined name noface_cat action block  default action block security-policy  rule name NoFacebook   description App Do Facebook   policy logging   session logging   application app Facebook   action permit  rule name BlockSiteFacebook   description BlockSiteFacebook   policy logging   session logging   source-zone trust   destination-zone untrust   profile url-filter nofacebook   action permit rule name Saida   policy logging   source-zone trust   destination-zone untrust   profile av default   profile ips default   profile url-filter default   action permit  rule name Entrada   policy logging   source-zone untrust   destination-zone trust   profile av default   profile ips default   profile url-filter default   action permit  rule name BypassDetect   policy logging   source-zone untrust   destination-zone untrust   profile av default   profile ips default   a……

    SE_Gai 2022-03-16
    20 0 0
首页上一页 123 3/3