防火墻eudemon安全改造的實例分析

本篇文章給大家分享的是有關(guān)防火墻eudemon安全改造的實例分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)網(wǎng)站建設(shè)與網(wǎng)站營銷,提供成都做網(wǎng)站、網(wǎng)站設(shè)計、外貿(mào)營銷網(wǎng)站建設(shè)、網(wǎng)站開發(fā)、seo優(yōu)化、網(wǎng)站排名、互聯(lián)網(wǎng)營銷、小程序定制開發(fā)、公眾號商城、等建站開發(fā),創(chuàng)新互聯(lián)網(wǎng)站建設(shè)策劃專家,為不同類型的客戶提供良好的互聯(lián)網(wǎng)應用定制解決方案,幫助客戶在新的全球化互聯(lián)網(wǎng)環(huán)境中保持優(yōu)勢。

 背景:因安全需求,對原先配置的EUDEMON防火墻進行安全改造?,F(xiàn)有的業(yè)務系統(tǒng)DMZ區(qū)網(wǎng)絡(luò)環(huán)境是192網(wǎng)段的,通過上聯(lián)的華為8508經(jīng)防火墻和路由連公網(wǎng)。 業(yè)務系統(tǒng)DMZ區(qū)通過華為EUDEMON防火墻接內(nèi)部核心區(qū)。

環(huán)境:網(wǎng)絡(luò)設(shè)備都是華為的,交換機華為LS-S5328C,防火墻華為Eudemon 1000E,服務器系統(tǒng)都是SUSE 11 ENTERPRISE  SERVER 64bit版本的。

需求:防火墻要求通過SSH方式遠程登錄;防火墻各區(qū)域間加安全訪問限制。

網(wǎng)絡(luò)拓撲圖:

防火墻eudemon安全改造的實例分析

一、防火墻要求通過SSH方式遠程登錄

原配置:

Telnet協(xié)議在TCP/IP協(xié)議族中屬于應用層協(xié)議,通過網(wǎng)絡(luò)提供遠程登錄和虛擬終端功能。

[switch]aaa

[switch-aaa]local-user admin password simple usermax   //設(shè)置賬號密碼[switch-aaa]local-user admin privilege level 3  //設(shè)置賬號級別,3為最高級

[switch-aaa]local-user service-type telnet   //設(shè)置本地賬號服務類型是telnet

[switch-aaa]quit  

[switch]user-interface vty 0 4

[switch-user-vty0-4]authentication-mode aaa   //設(shè)置登錄用戶驗證方式為aaa

[switch-user-vty0-4]protocol bind telnet   // 綁定用戶協(xié)議為telnet

[switch-user-vty0-4]idle-timeout 5 0 //空閑超時5分鐘退出

[switch-user-vty0-4]quit 

SSH(Secure Shell)特性可以提供安全的信息保障和強大的認證功能,以保護設(shè)備不受諸如IP地址欺騙、明文密碼截取等***。 

改造后的配置: 

服務端創(chuàng)建SSH用戶user001。

# 新建用戶名為user001的SSH用戶,且認證方式為password。

[Quidway] ssh user  user001

[Quidway] ssh user  user001  authentication-type password

(補充:SSH用戶主要有password、RSA、password-rsa、all這4種認證方式:

如果SSH用戶的認證方式為password、password-rsa時,必須配置同名的local-user用戶;如果SSH用戶的認證方式為RSA、password-rsa、all,服務器端應保存SSH客戶端的RSA公鑰。)

# 為SSH用戶 user001 配置密碼為huawei。

[Quidway] aaa

[Quidway-aaa] local-user  user001  password simple huawei

[Quidway-aaa] local-user  user001  service-type ssh

# 配置VTY用戶界面。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode aaa

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway-ui-vty0-4] quit

# 使能SFTP服務功能

[Quidway] sftp server enable

客戶端連接SSH服務器 

# 第一次登錄,則需要使能SSH客戶端首次認證功能。

[ user001 ] ssh client first-time enable

# SFTP客戶端Client001用password認證方式連接SSH服務器。

< user001 > system-view

[ user001 ] sftp 221.116.139.121 

Input Username:user001

Trying 221.116.139.121 ...

Press CTRL+K to abort

Enter password:

sftp-client>

二、防火墻各區(qū)域間加安全訪問限制

防火墻最基本的功能就是控制在計算機網(wǎng)絡(luò)中,不同信任程度區(qū)域間傳送的數(shù)據(jù)流。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(UNTRUST區(qū)域)和一個內(nèi)部網(wǎng)絡(luò)(TRUST區(qū)域)還有中立區(qū)(DMZ) 。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響.

原配置:(各區(qū)域沒有限制,安全區(qū)域間的所有方向都允許報文通過) 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

 firewall packet-filter default permit interzone local vzone direction inbound

 firewall packet-filter default permit interzone local vzone direction outbound

 firewall packet-filter default permit interzone trust untrust direction inbound

 firewall packet-filter default permit interzone trust untrust direction outbound

 firewall packet-filter default permit interzone trust dmz direction inbound

 firewall packet-filter default permit interzone trust dmz direction outbound

 firewall packet-filter default permit interzone trust vzone direction inbound

 firewall packet-filter default permit interzone trust vzone direction outbound

 firewall packet-filter default permit interzone dmz untrust direction inbound

 firewall packet-filter default permit interzone dmz untrust direction outbound

 firewall packet-filter default permit interzone untrust vzone direction inbound

 firewall packet-filter default permit interzone untrust vzone direction outbound

 firewall packet-filter default permit interzone dmz vzone direction inbound

 firewall packet-filter default permit interzone dmz vzone direction outbound

改造后配置:

1、在原區(qū)域互訪基礎(chǔ)上精簡 

#

 firewall packet-filter default permit interzone local trust direction inbound

 firewall packet-filter default permit interzone local trust direction outbound

 firewall packet-filter default permit interzone local untrust direction inbound

 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone local dmz direction inbound

 firewall packet-filter default permit interzone local dmz direction outbound

注:安全域間的數(shù)據(jù)流動具有方向性,包括入方向(Inbound)和出方向(Outbound)。

  • 入方向:數(shù)據(jù)由低優(yōu)先級的安全區(qū)域向高優(yōu)先級的安全區(qū)域傳輸。

  • 出方向:數(shù)據(jù)由高優(yōu)先級的安全區(qū)域向低優(yōu)先級的安全區(qū)域傳輸。

2、設(shè)置地址集: 

[Quidway]#
ip address-set addressgroup1 

 address 4 192.29.141.130 0 

 address 5 192.29.141.132 0 

 address 6 192.29.141.140 0 

 address 7 192.29.141.142 0 

[Quidway]#

 ip address-set addressgroup4

 address 0 192.29.141.25 0 

 address 1 192.29.141.26 0 

 address 2 192.29.141.27 0  

3、增加特定地址集間的訪問規(guī)則和限制

[Quidway]#

acl number 3201 

 rule 10 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq sqlnet 

 rule 11 permit tcp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup1 destination address-set addressgroup4 destination-port eq snmptrap 

 rule 3000 deny ip  

[Quidway]#

acl number 3202 

 rule 10 permit tcp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ssh 

 rule 15 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmp 

 rule 16 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq ntp 

 rule 17 permit udp source address-set addressgroup4 destination address-set addressgroup1 destination-port eq snmptrap 

 rule 3000 deny ip  

 4、在區(qū)域間匹配ACL

[Quidway]#                                 
firewall interzone dmz untrust
 packet-filter 3201 inbound
 packet-filter 3202 outbound
 detect ftp
 detect http
 session log enable acl-number 3201 inbound
 session log enable acl-number 3202 outbound

其他區(qū)域間的安全改造如上類似。

安全改造后在一定程度上提高了網(wǎng)絡(luò)安全性,當然大家還可以再針對具體情況ACL(訪問控制列表)、AM(訪問管理配置)、AAA、dot1x、MAC綁定等方面進行查缺補漏來進行不斷完善。

以上就是防火墻eudemon安全改造的實例分析,小編相信有部分知識點可能是我們?nèi)粘9ぷ鲿姷交蛴玫降摹OM隳芡ㄟ^這篇文章學到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站標題:防火墻eudemon安全改造的實例分析
文章URL:http://muchs.cn/article6/gheoog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營銷推廣、電子商務網(wǎng)站設(shè)計、用戶體驗、自適應網(wǎng)站響應式網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

手機網(wǎng)站建設(shè)