防火墻eudemon安全改造的實(shí)例分析

本篇文章給大家分享的是有關(guān)防火墻eudemon安全改造的實(shí)例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

 背景：因安全需求，對(duì)原先配置的EUDEMON防火墻進(jìn)行安全改造?，F(xiàn)有的業(yè)務(wù)系統(tǒng)DMZ區(qū)網(wǎng)絡(luò)環(huán)境是192網(wǎng)段的，通過(guò)上聯(lián)的華為8508經(jīng)防火墻和路由連公網(wǎng)。 業(yè)務(wù)系統(tǒng)DMZ區(qū)通過(guò)華為EUDEMON防火墻接內(nèi)部核心區(qū)。

環(huán)境：網(wǎng)絡(luò)設(shè)備都是華為的，交換機(jī)華為L(zhǎng)S-S5328C，防火墻華為Eudemon 1000E，服務(wù)器系統(tǒng)都是SUSE 11 ENTERPRISE  SERVER 64bit版本的。

需求：防火墻要求通過(guò)SSH方式遠(yuǎn)程登錄；防火墻各區(qū)域間加安全訪問(wèn)限制。

網(wǎng)絡(luò)拓?fù)鋱D：

一、防火墻要求通過(guò)SSH方式遠(yuǎn)程登錄

原配置：

Telnet協(xié)議在TCP/IP協(xié)議族中屬于應(yīng)用層協(xié)議，通過(guò)網(wǎng)絡(luò)提供遠(yuǎn)程登錄和虛擬終端功能。

[switch]aaa

[switch-aaa]local-user admin password simple usermax   //設(shè)置賬號(hào)密碼[switch-aaa]local-user admin privilege level 3  //設(shè)置賬號(hào)級(jí)別，3為最高級(jí)

[switch-aaa]local-user service-type telnet   //設(shè)置本地賬號(hào)服務(wù)類型是telnet

[switch-aaa]quit  

[switch]user-interface vty 0 4

[switch-user-vty0-4]authentication-mode aaa   //設(shè)置登錄用戶驗(yàn)證方式為aaa

[switch-user-vty0-4]protocol bind telnet   // 綁定用戶協(xié)議為telnet

[switch-user-vty0-4]idle-timeout 5 0 //空閑超時(shí)5分鐘退出

[switch-user-vty0-4]quit 

SSH（Secure Shell）特性可以提供安全的信息保障和強(qiáng)大的認(rèn)證功能，以保護(hù)設(shè)備不受諸如IP地址欺騙、明文密碼截取等***。 

改造后的配置： 

服務(wù)端創(chuàng)建SSH用戶user001。

# 新建用戶名為user001的SSH用戶，且認(rèn)證方式為password。

[Quidway] ssh user  user001

[Quidway] ssh user  user001  authentication-type password

（補(bǔ)充：SSH用戶主要有password、RSA、password-rsa、all這4種認(rèn)證方式：

如果SSH用戶的認(rèn)證方式為password、password-rsa時(shí)，必須配置同名的local-user用戶；如果SSH用戶的認(rèn)證方式為RSA、password-rsa、all，服務(wù)器端應(yīng)保存SSH客戶端的RSA公鑰。）

# 為SSH用戶 user001 配置密碼為huawei。

[Quidway] aaa

[Quidway-aaa] local-user  user001  password simple huawei

[Quidway-aaa] local-user  user001  service-type ssh

# 配置VTY用戶界面。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode aaa

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway-ui-vty0-4] quit

# 使能SFTP服務(wù)功能

[Quidway] sftp server enable

客戶端連接SSH服務(wù)器 

# 第一次登錄，則需要使能SSH客戶端首次認(rèn)證功能。

[ user001 ] ssh client first-time enable

# SFTP客戶端Client001用password認(rèn)證方式連接SSH服務(wù)器。

< user001 > system-view

[ user001 ] sftp 221.116.139.121 

Input Username:user001

Trying 221.116.139.121 ...

Press CTRL+K to abort

Enter password:

sftp-client>

二、防火墻各區(qū)域間加安全訪問(wèn)限制

防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(UNTRUST區(qū)域)和一個(gè)內(nèi)部網(wǎng)絡(luò)(TRUST區(qū)域)還有中立區(qū)（DMZ） 。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響.

原配置：(各區(qū)域沒(méi)有限制,安全區(qū)域間的所有方向都允許報(bào)文通過(guò)） 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

 firewall packet-filter default permit interzone local vzone direction inbound

 firewall packet-filter default permit interzone local vzone direction outbound

 firewall packet-filter default permit interzone trust untrust direction inbound

 firewall packet-filter default permit interzone trust untrust direction outbound

 firewall packet-filter default permit interzone trust dmz direction inbound

 firewall packet-filter default permit interzone trust dmz direction outbound

 firewall packet-filter default permit interzone trust vzone direction inbound

 firewall packet-filter default permit interzone trust vzone direction outbound

 firewall packet-filter default permit interzone dmz untrust direction inbound

 firewall packet-filter default permit interzone dmz untrust direction outbound

 firewall packet-filter default permit interzone untrust vzone direction inbound

 firewall packet-filter default permit interzone untrust vzone direction outbound

 firewall packet-filter default permit interzone dmz vzone direction inbound

 firewall packet-filter default permit interzone dmz vzone direction outbound

改造后配置：

1、在原區(qū)域互訪基礎(chǔ)上精簡(jiǎn) 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

注：安全域間的數(shù)據(jù)流動(dòng)具有方向性，包括入方向（Inbound）和出方向（Outbound）。

• 入方向：數(shù)據(jù)由低優(yōu)先級(jí)的安全區(qū)域向高優(yōu)先級(jí)的安全區(qū)域傳輸。

• 出方向：數(shù)據(jù)由高優(yōu)先級(jí)的安全區(qū)域向低優(yōu)先級(jí)的安全區(qū)域傳輸。

2、設(shè)置地址集： 

[Quidway]#
ip address-set addressgroup1 

 address 4 192.29.141.130 0 

 address 5 192.29.141.132 0 

 address 6 192.29.141.140 0 

 address 7 192.29.141.142 0 

[Quidway]#

 ip address-set addressgroup4

 address 0 192.29.141.25 0 

 address 1 192.29.141.26 0 

 address 2 192.29.141.27 0  

3、增加特定地址集間的訪問(wèn)規(guī)則和限制

[Quidway]#

acl number 3201 

 rule 10 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq sqlnet 

 rule 11 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmptrap 

 rule 3000 deny ip  

[Quidway]#

acl number 3202 

 rule 10 permit tcp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmptrap 

 rule 3000 deny ip  

 4、在區(qū)域間匹配ACL

[Quidway]#                                 
firewall interzone dmz untrust
 packet-filter 3201 inbound
 packet-filter 3202 outbound
 detect ftp
 detect http
 session log enable acl-number 3201 inbound
 session log enable acl-number 3202 outbound

其他區(qū)域間的安全改造如上類似。

安全改造后在一定程度上提高了網(wǎng)絡(luò)安全性，當(dāng)然大家還可以再針對(duì)具體情況ACL（訪問(wèn)控制列表）、AM（訪問(wèn)管理配置）、AAA、dot1x、MAC綁定等方面進(jìn)行查缺補(bǔ)漏來(lái)進(jìn)行不斷完善。

以上就是防火墻eudemon安全改造的實(shí)例分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。