Huawei usg 6300 настройка

Обновлено: 05.07.2024

Представляем вашему вниманию наш новый обзор сетевого оборудования. На этот раз мы протестировали межсетевой экран Huawei USG6320 в условиях решения часто встречающейся задачи — организации защищённого доступа локальной сети организации к ресурсам сети Интернет.

Необходимо организовать защищённый доступ для небольшой организации (

50 ПК) к сети Интернет с возможностью ограничения доступа пользователей к сайтам по URL категориям. Правила ограничения доступа будут привязаны к информации, полученной из Microsoft AD. В дополнение обеспечим проверку трафика на вирусы.

Решаем с помощью

  • Фильтрацию пакетов на сетевом и транспортном уровнях;
  • Различные виды трансляции сетевых адресов (NAT);
  • Все виды VPN подключений как между площадками там и удалённого доступа.
  • Фильтрацию URL;
  • Систему обнаружения/предотвращения вторжений (IPS);
  • Проверку трафика на вирусы;
  • Различные виды контентной фильтрации (Антиспам, контроль приложений, контроль передачи файлов и т.д.)

Процесс настройки

Для наглядности процесса будем настраивать с использованием WEB интерфейса. Имеем ввиду, что все действия по настройке так же возможны через Cli (протоколы SSH, Telnet или через консольный порт).

На новое устройство попадаем через браузер по адресу по умолчанию 192.168.0.1 и порту 8443

При первом успешном логине запускается Startup Wizard

  • Зададим IP адресацию внутреннего и внешнего интерфейсов;
  • Изменим именование устройства (Sysname);
  • Зададим пароль администратора;
  • Настроим время, дату и часовой пояс;
  • Скорректируем параметры DHCP для локальной сети.

2.jpg


Рис. Startup Wizard

3.jpg


Рис. Startup Wizard

4.jpg


Рис. Startup Wizard

5.jpg

Рис. Startup Wizard

6.jpg

Рис. Startup Wizard

7.jpg


Рис. Startup Wizard

8.jpg


Рис. Startup Wizard

9.jpg

Сразу после завершения работы мастера Startup Wizard и перезагрузки, устройства нужно активировать лицензионный функционал. В консоли управления лицензии отображаются в System -> License

Рис. License Management

Для любого функционала в любой момент можно активировать Trial лицензию.

10.jpg


Рис. WEB Портал регистрации лицензий

Перед дальнейшей настройкой кратко посмотрим на способы просмотра состояния устройства и быстрой диагностики.

Здесь отображается текущее состояние аппаратной платформы, лицензии, версия работающего ПО, загрузка CPU и т.д.

11.jpg


Рис. Dashboard

Здесь в реальном времени отображается информация о таблице активных сессий, общему количеству сессий по протоколам. Также есть полезные утилиты проверки работоспособности сети через WEB-интерфейс устройства.

В отдельной вкладке есть механизм захвата пакетов (packet capture) с возможностью экспорта в формате .csv для последующего анализа.

12.jpg


Рис. Monitor

13.jpg


Рис. Monitor

14.jpg


Рис. Monitor

Процесс настройки

В Network-Interface проверяем настройки интерфейсов. Убеждаемся, что внешний, подключенный к сети Интернет (outside) интерфейс принадлежит зоне “untrust”, а внутренний интерфейс локальной сети (inside) зоне “trust”.

Зоны позволяют гибко настраивать правила разграничения доступа и имеют различные весовые коэффициенты.

15.jpg

16.jpg


Рис. Настройки интерфейсов и зон

В настройках маршрутизации Network-Router-Static Route убеждаемся в наличии как минимум маршрута по умолчанию. В случае отсутствия добавляем. Так же добавляем все необходимые статические маршруты

17.jpg


Рис. Настройки маршрутизации

В Network-DNS-DNS задаём параметры DNS для устройства. Может быть активирован функционал DNS прокси.

18.jpg


Рис. Настройки DNS

В Object-Adress-Adress для удобства написания правил создаём объект сеть с IP адресом нашей локальной сети.

19.jpg


Рис. Настройки объектов

До настройки правил доступа на основе аутентификационных данных из Microsoft AD, нужно в Policy-Security Policy создать правило разрешающее прохождение пакетов для IP адресов локальной сети из зоны trust в зону untrust. Задаём в качестве источника объект нашей локальной сети.

20.jpg


Рис. Настройки Security Policy

21.jpg

В Policy-NAT Policy-Source NAT создаём правило динамической трансляции пакетов в сеть Интернет с адресов локальной сети в сеть интернет в адрес интерфейса

Рис. Настройки NAT

После применения выше описанных настроек, получаем базовую маршрутизацию и доступ в сеть Интернет с использованием трансляции сетевых адресов (NAT) для локальной сети.

Интеграция с Microsoft AD

  • Создать в конфигурации необходимые объекты и получить список учётных данных (пользователей и групп) из базы Microsoft AD;
  • Настроить получение данных по соответствию IP адреса и учётной записи в домене;
  • Создать политику аутентификации;
  • Создать правила контроля на основе данных из AD.

22.jpg


Рис. Настройки сервера AD

В Object – User-Authentication domain создаём объект для своего домена

23.jpg


Рис. Настройки Authentication domain

В Object-User-User Import создаём правила импорта учётных данных (пользователей и групп) из базы AD в конфигурацию устройства

24.jpg


Рис. Настройки импорта учётных записей

Возможен как полный импорт, так и получение изменений учётных данных по расписанию.
В результате успешного импорта в Object-User-User/Group будет список всех пользователей и групп домена.

25.jpg


Рис. Список пользователей домена

Далее создаём политику аутентификации в Policy-Authentication Policy . Указываем направление прохождения трафика.

26.jpg


Рис. Настройки политики аутентификации

Данные по IP адресу и логину устройство получает от специализированного ПО (SSO Agent), установленного на любом ПК под управлением ОС Windows и имеющим связь на сетевом уровне с контроллером домена и ПК пользователей

Установочный файл ПО SSO Agent можно скачать с устройства из Object-Users-Authentication Item-SSO Configuration

27.jpg

Рис. Настройки SSO агента

При установке агента указываем IP адрес сервера контроллера домена и учётные данные администратора домена

28.jpg


Рис. Настройки SSO агента

Далее указываем IP адрес межсетевого экрана и параметры подключений и завершаем установку.

29.jpg


Рис. Настройки SSO агента

Принцип получения данных по IP адресам пользователей следующий:

На рабочих станциях пользователей при входе в систему отрабатывает login скрипт который настраивается через Group policy.

Скрипт выгружает по сети на ПК с установленным SSO агентом IP адрес пользователя и логин.

Исполняемый файл для написания скрипта можно взять с ПК с установленным агентом в директории:

30.jpg


Рис. Исполняемый файл для login скрипта

В настройках групповой политики в качестве параметров для исполняемого файла указываем IP адрес агента и данные аутентификации, введённые при установке агента.

31.jpg


Рис. Настройки login скрипта

После получения агентом информации о соответствии IP адресов и логинов пользователей в Object-User-Online Users появится информация о текущих пользователях и их IP адресов в базе устройства.

32.jpg


Рис. Пользователи и их IP адреса

Теперь в правилах Policy-Security Policy можно помимо IP адресов локальной сети указывать имена пользователей и групп.

33.jpg


Рис. Правила доступа с привязкой к логину

Расширенный контроль доступа пользователей к ресурсам сети Интернет

URL фильтрация

Можно настроить как на основе динамически обновляемых списков категорий, так и на основе регулярных выражений, созданных вручную.

34.jpg


Рис. URL категории

Для каждого правила доступа можно создать профиль URL Filtering, в котором можно создать чёрные, белые списки URL и задать действия.

35.jpg


Рис. Настройки URL Filtering profile на основе динамически обновляемых категорий

36.jpg


Рис. Настройки URL Filtering profile. Пользовательские правила

Далее, для того чтобы применить правила фильтрации по URL, их нужно активировать для правил в Security Policy.

37.jpg


Рис. Настройки Secutity policy + URL Filtering profile

Настройка проверки на вирусы

Создаем Профиль AV Object-Secutity Profiles-Antivirus

38.jpg

Рис. Настройки Antivirus profile

Профиль Antivirus так же применяется в настройках правил Security Policy по аналогии с URL Filtering

После всех проделанных настроек получаем:
1. Доступ для ресурсов локальной сети к сети интернет с использованием межсетевого экрана с контролем состояний (Statefull firewall);
2. Возможность контроля доступа пользователей на основе данных полученных из Microsoft AD;
3. Возможность блокирования определённых URL категорий и сайтов;
4. Проверку трафика на вирусы.

Huawei USG 6300. Базовая настройка файервола из коробки

2017-04-05 в 7:06, admin , рубрики: huawei, Huawei USG, nat, Блог компании ГК ЛАНИТ, настройка Huawei, настройка Huawei USG, Сетевые технологии, системное администрирование

Идея написать эту статью возникла после того, как я попытался найти хоть какую-то информацию по настройке файерволов от Huawei в интернете. В русскоязычном сегменте я не нашел ничего, в англоязычном, в основном, устаревшие данные по предыдущим моделям и отсылки к документации (которая, к слову, есть на сайте производителя в открытом доступе и достаточно подробная).

При наличии опыта работы с файерволами других производителей документации должно быть достаточно, чтобы запустить и работать с Huawei USG, но по опыту я знаю, что к мануалам обращаются, когда все варианты уже испробованы. Поэтому одна из целей этой статьи – сэкономить время при первичной пусконаладке этого относительно нового оборудования. Конечно, в одной статье не удастся охватить весь функционал, тем не менее, основные начальные кейсы по настройке тут будут рассмотрены. Инженеры могут использовать статью как шпаргалку по инсталляции сетевого оборудования, так как те базовые настройки, которые будут тут описаны, как правило, придется делать во всех инсталляциях.

Huawei USG 6300. Базовая настройка файервола из коробки - 1


Источник

В статье не будет сравнения с конкурентами и вообще минимум маркетинга, это будет история про администрирование. Упомяну только, что основные конкуренты Huawei USG — это Cisco ASA, CheckPoint, FortiNet и др. Возможно, повышенный интерес в последнее время к китайскому оборудованию, в частности к оборудованию защиты информации, связан с темой «импортозамещения» перечисленных выше американских вендоров.

Линейки Huawei USG и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Huawei USG 6300. Базовая настройка файервола из коробки - 2

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Huawei USG 6300. Базовая настройка файервола из коробки - 3

Его краткие характеристики следующие:
Интерфейсы: 8GE
Питание: AC Adapter
Firewall throughput: 2 Gbit/s
IPS throughput: 700 Mbit/s
IPS+AV throughput: 700 Mbit/s
Concurrent sessions: 500,000
VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl+B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei: O&m15213 (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.
После окончания загрузки устройство выведет приглашение для ввода логина и пароля для управления через консольный порт. Так как мы вернулись к заводским настройкам, то логин и пароль по умолчанию на консоль будут:

Командная строка Huawei USG

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

Еще несколько отличий:

  • команда show у Cisco аналогична команде display в ОС VRP от Huawei;
  • команда no у Cisco аналогична undo у Huawei.

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

у Cisco подобная команда выглядит

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Обновление ПО устройства

Текущая версия ПО (по состоянию на март 2017 года) — v500r001c30spc100.
Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Младший порт Huawei USG я подключил в свою локальную сеть 172.31.31.0 /24 для того, чтобы загрузить в него новый файл с ПО посредством протокола TFTP. Но для этого нужно прописать IP-адрес из сети. Сделаем это следующим образом:

Адрес прописан. Но при этом окажется, что с USG не пингуется наш tftp-сервер. Все это потому, что по умолчанию политики безопасности на USG включены и действие по умолчанию – deny, т.е. запретить. Для ускорения первичных настроек предлагаю сделать правило по умолчанию permit, и пока устройство не будет выпущено в интернет, это не будет представлять угрозы для него. При этом значительно упростит первичную настройку:

Проверим достижимость TFTP-сервера:

После чего загрузим во флеш-память новую версию ПО с TFTP-сервера командой:

Далее следует сказать загрузчику, что после перезагрузки нужно загружать ПО именно с этого образа, а не с того, что сейчас у нас загружен, для этого даем команду:

Проверим, что при следующей загрузке устройство будет загружаться с нужной нам версией ПО:

После чего сохраняем конфигурацию и перезагружаем устройство:

После перезагрузки проверяем текущую версию ПО:

Как видно, версия у нас теперь самая свежая. С этого момента можно начинать настраивать оборудование.

Настройка интерфейсов и SSH для удаленного управления

Включим возможность управления посредством сервиса ssh на всех интерфейсах, которые будут у нас участвовать в работе. Пусть GigabitEthernet0/0/7 будет интерфейсом WAN с public IP, а GigabitEthernet0/0/1 будет LAN интерфейсом с сетью 192.168.200.0 /24:

По умолчанию в Huawei USG созданы четыре зоны файервола с предназначенными приоритетами (в скобках): local (100), dmz (50), trust (85), untrust (5). Все очень похоже на то, как это сделано в Cisco ASA – пользователи, находящиеся в одной зоне, имеют одинаковые атрибуты безопасности. Чуть ниже будет более подробно описан механизм работы зон безопасности, а пока просто определим только что настроенные интерфейсы в соответствующие зоны:

Далее конфигурируем шлюз по умолчанию:

Конфигурируем VTY интерфейс для поддержки AAA:

Создадим пользователя userssh, который сможет управлять устройством по SSH:

Генерируем локальную пару ключей rsa:

Включим сервис Secure Telnet (SSH):

Сконфигурируем пользователя userssh в качестве SSH-администратора.

На этом можно считать первичную настройку выполненной и подключить кабели внешнего интернета и локальной сети к соответствующим настроенным интерфейсам

Настройка с помощью WEB-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.1 /24, разрешены все виды сервисов, а также включен DHCP, поэтому для противников командной строки можно с самого начала использовать WEB-интерфейс, зная эти параметры по умолчанию. Выглядят они так:

Huawei USG 6300. Базовая настройка файервола из коробки - 4


Вкладка Dashboard web-интерфейса Huawei USG

В первую очередь нужно загрузить купленные лицензии в разделе System -> License Management:

Huawei USG 6300. Базовая настройка файервола из коробки - 5

Также можно использовать пробные лицензии, выбрав соответствующий пункт со следующими ограничениями:

Huawei USG 6300. Базовая настройка файервола из коробки - 6


Пробная антивирусная и IPS подписки имеют период действия 2 месяца:

Huawei USG 6300. Базовая настройка файервола из коробки - 7

Либо при выборе Local manual activation подставляем сгенерированный файл с расширением dat с лицензией, и наши купленные лицензии активируются:

Huawei USG 6300. Базовая настройка файервола из коробки - 8

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.
Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

  • Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
  • DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
  • Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
  • Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности. Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях. В случае применения исходящей политики по отношению к трафику в направлении LOCAL -> UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.

Если пакеты, которыми обменивается клиент из зоны LOCAL, и сервер в зоне Untrust соответствуют записи в таблице сессий, файервол обрабатывает пакеты на основе исходящей политики безопасности без повторной проверки направления передачи пакетов. То есть в нашем случае мы должны получить ICMP ECHO от адреса 8.8.8.8.

Настроим политику в разделе Policy, нажав кнопку Add с названием policy_to_Inet:

Huawei USG 6300. Базовая настройка файервола из коробки - 9

После применения политики проверим ее работоспособность, запустив ping на адрес 8.8.8.8 нашего устройства:

В разделе System -> Update Center попробуем обновить сигнатуры IPS и антивируса, нажав Update immediately напротив, например, Antivirus Signature Database:

Huawei USG 6300. Базовая настройка файервола из коробки - 11

После прописывания DNS-сервера все получилось:

Huawei USG 6300. Базовая настройка файервола из коробки - 12

После этого все сигнатуры будут обновляться согласно своему времени в разделе Scheduled Update Time, в данном случае каждый день в 6:38 утра.

Настройка NAT/PAT для выхода локальной сети в интернет

Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security. Здесь абсолютно такое же правило, как мы уже делали для зоны local. Можно настроить новое правило, а можно, если все остальные параметры будут такими же, добавить в уже созданную policy_to_Inet еще одну Source Zone, в нашем случае trust:

Huawei USG 6300. Базовая настройка файервола из коробки - 13

В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.

После чего создадим NAT policy для зоны trust для выхода в Интернет, «маскируясь» внешним IP-адресом:

Huawei USG 6300. Базовая настройка файервола из коробки - 14

После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.

Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.

Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site, SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.

Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.

Последнее время нас все чаще спрашивают с чего должна начинаться настройка межсетевого экрана нового поколения. Обладатели нового NGFW не всегда понимают, как нужно активировать или настроить опции, чтобы устройство обеспечивало защиту корпоративной сети.

В данной публикации мы рассмотрим пошаговую инструкцию (HOWTO) для настройки и запуска межсетевого экрана на примере оборудования трёх производителей: Cisco, Huawei, Fortinet.

Ниже приведены основные шаги и скриншоты настроек оборудования со следующими операционными системами:

  • Cisco ASA: Firepower Threat Defense Software 6.2 + Firepower Device Manager
  • Fortinet Fortigate: FortiOS 6.0
  • Huawei USG: Software V500

Часть настроек может быть опциональной исходя из решаемых межсетевым экраном задач. Устройства настраиваются на третьем уровне сетевой модели OSI в режиме маршрутизатора. Возможен режим работы на втором уровне – transparent, но это детально будет рассмотрено в других обзорах.

Группируем настройки по типу, решаемым задачам - и приступим!

Администрирование

4. Изменить настройки или отключить параметры/функционал по умолчанию, такие как DHCP сервер, SNMP community и т.п.
5. Загрузить/активировать необходимые лицензии/подписки на функционал.

Для чего нужно настроить в первую очередь параметры администрирования и какими будут последствия, если этого не сделать?

  • Административные учётные записи и пароли по умолчанию либо пустые, либо общеизвестные, либо доступные из документации. Если их не поменять, то злоумышленники без труда получат доступ к управлению устройством.
  • Ограничить доступ нужно только IP-адресами рабочих станций администраторов для того, чтобы пользователи, и тем более злоумышленники, не смогли бы провести атаку на подбор пароля.
  • Защищённые протоколы управления исключают возможность перехвата пароля, передаваемого в открытом виде, например, по сети Интернет.
  • Неизменённые настройки по умолчанию могут быть использованы для получения данных о структуре локальной сети или даже компрометации устройства.

Маршрутизация

1. Задать IP-адресацию интерфейсов. Как минимум, двух: для подключения к сети интернет (WAN) и для локальной сети (LAN). Опционально: настроить DHCP сервер.

2. Настроить маршрутизацию. Как минимум: маршрут по умолчанию. Опционально: с использованием протоколов динамической маршрутизации (в крупных сетях).

3. Обновить версию операционной системы до последней, актуальной и рекомендованной производителем. ПО доступно на сайте при наличии сервисного контракта.

4. Опционально: настроить работу двух устройств в режиме HA (high availability) пары (собрать кластер). На Cisco возможность собрать кластер под управлением Firepower Device Manager появляется на сегодняшний день только при наличии Firepower Management Center (FMC).

Если не сделать: при ненастроенной или настроенной с ошибками маршрутизации не будет связанности между сетями, а также не будет доступа к сети Интернет.
Неактуальная версия прошивки может содержать уязвимости и быть нестабильной в работе.

Режим работы в кластере позволит повысить уровень доступности сервисов

1. Настроить подключение ресурсов локальной сети к сети Интернет с использованием динамической трансляции адресов (SNAT)

2. Настроить доступ из сети Интернет к ресурсам локальной сети с использованием статической трансляции сетевых адресов и портов (DNAT).

3. Настроить доступы между сегментами локальной сети на сетевом уровне.

Для чего это нужно: правило по умолчанию запрещает прохождение любого трафика, без задания правил фильтрации не будет доступа как между локальными сетями, так и сетью Интернет.

1. Настроить подключение удалённых площадок друг с другом (Site to Site).

2. Настроить удалённый доступ (Remote Access).

3. Опционально: настроить двухфакторную аутентификацию для доступа к VPN (2FA).

Для чего нужно: все современные NGFW позволяют организовать связь между разнесёнными площадками поверх любых сетей, в том числе Интернет. Также можно настроить защищённый доступ к ресурсам компании из любого места сети Интернет как IPSEC, L2TP, так и SSL VPN. Двухфакторная аутентификация (FortiToken, Cisco DUO) позволяет более эффективно защитить удалённый доступ к локальной сети.

Контентная фильтрация

1. Подключить устройство к облачным сервисам обновлений. Обновить базы данных средств защиты.

2. Настроить профили антивируса, URL-фильтрации, предотвращения вторжений, защиты DNS и т. п. Более детально будет рассмотрено в тематических обзорах. Пример для URL фильтрации:

3. Активировать функционал инспекции SSL-трафика для поиска вредоносного трафика внутри шифрованных туннелей.

4. Привязать профили защиты и SSL-инспекции к трафику внутри правил Firewall

Что будет если не сделать: существует множество уязвимостей протоколов уровня приложений, которые невозможно обнаружить на сетевом уровне. Расширенные средства позволяют проанализировать уровни 5-7 на предмет наличия вредоносного трафика. Более того, на сегодняшний день более половины трафика является шифрованными по технологии SSL, что не позволяет провести анализ трафика без дешифрации.

Аутентификация

1. Подключить устройство к Microsoft AD.

2. Опционально: подключить устройство к серверу аутентификации/авторизации (Cisco ISE, FortiAuthenticator, Huawei Agile Controller)
3. Опционально: настроить получение данных от смежных систем (SSO)

Что это даёт: с настройками по умолчанию доступ к ресурсам сети Интернет ограничивается на основе IP-адресов. Существует возможность настройки доступа на основе аутентификационных данных, полученных из Microsoft AD. Появляется возможность расширенного протоколирования событий на основе данных пользователей из службы каталогов. Подключение к выделенным серверам аутентификации/авторизации (ААА) позволяет гибко настроить политики доступа в организации. Смежные системы могут предоставить данные для доступа через технологию единого входа (Single sign on).

1. Настроить экспорт событий системных журналов на выделенные сервера (Syslog) как стандартные, так и специализированные. Возможно использование SIEM.

2. Настроить регулярное автоматическое архивирование конфигураций оборудования.

Подробная информация о стратегии и настройке NAT межсетевого экрана Huawei

Использование человечеством компьютерных сетей распространилось на различные области, и разработчики компьютерных сетей не могли представить, что Интернет может иметь такие масштабы, в которых он находится сегодня. Любой компьютер, мобильный телефон и смарт-телевизор, подключенные к Интернету, должны иметь юридический IP-адрес, чтобы пользоваться Интернетом. Когда-то считалось, что IP-адреса достаточно для размещения компьютеров мира, но сегодня кажется, что он сильно истощен. Появление IPV6 должно решить проблему недостаточного количества адресов, но прежде, чем IPV6 станет популярным, необходимо перейти на технологию NAT. Появление NAT решает проблему недостаточного количества адресов: он позволяет более 60 000 пользователей в одной локальной сети использовать юридический IP-адрес для одновременного доступа в Интернет. Что касается технологии NAT в оборудовании Cisco, друг, который не совсем понимает, рекомендует эту запись в блоге:Технология трансляции сетевых адресов-NAT Сегодня мы в основном представляем технологию NAT оборудования Huawei.

На границе внутренней и внешней сетей трафик имеет два направления: исходящее и входящее, поэтому технология NAT включает в себя два типа трансляции исходного адреса и трансляции адреса назначения. В общем, преобразование исходного адреса в основном используется для решения сценария доступа компьютеров внутренней локальной сети к Интернету; а преобразование целевого адреса в основном используется для решения сценария доступа пользователей Интернета к серверам локальной сети. Преобразование целевого адреса обычно называется сопоставлением адресов сервера.

Технологией трансляции целевого адреса оборудования Huawei в основном является NAT-сервер, который может быть основан на трансляции IP-адресов или «IP + порт + протокол».

При настройке трансляции Huawei NAT часто настраиваетсяМаршрутизация черной дырыЧтобы решить петлю маршрутизации и большое количество недопустимых пакетов ARP, как его сгенерировать, возможно, в некоторых методах преобразования NAT, чтобы решить проблему подключения внутренней сети к Интернету, отображается общедоступный IP, и общедоступный IP-адрес отображается через сопоставленный общедоступный IP-адрес для доступа в Интернет. Затем, если в это время кто-то обращается к сопоставленному общедоступному IP-адресу через Интернет, возникает петля маршрутизации и большое количество недопустимых пакетов ARP. Уточнение, это очень хлопотно, но решить эти две проблемы очень просто, то есть конфигурацияМаршрутизация черной дыры(Укажите трафик адреса, отображаемого Интернетом для активного доступа к пустому интерфейсу null 0). Таким образом не образуются петли маршрутизации и большое количество пакетов ARP.

NAT

Несколько распространенных методов преобразования NAT, которые необходимо настроить маршрутизацией черной дыры, как показано на рисунке:

  • NAT-сервер (широкий):Это прямое сопоставление внутреннего сетевого адреса с общедоступным сетевым адресом;
  • NAT-сервер (нормально):Он предназначен для сопоставления порта внутреннего сетевого адреса с портом общедоступного сетевого адреса;

1. Решите проблему передачи данных FTP через таблицу Server-map

Брандмауэр Huawei пересылает пакеты данных на основе состояния и строго обеспечивает проверку политики для первого пакета.После разрешения политики будет создана таблица сеанса, и последующие пакеты и отчеты о возврате того же сеанса будут проходить через брандмауэр напрямую, потому что они могут соответствуют таблице сеансов., Никакой дополнительной проверки политики не требуется, что повышает эффективность пересылки. Однако в некоторых случаях только таблица отложенного сеанса не может пересылать трафик определенных специальных приложений. Например: FTP-сервис, схема его работы в активном режиме выглядит следующим образом:

Видно, что когда клиент запрашивает активное соединение с FTP-сервером, проблем не возникает; но когда FTP-сервер инициирует запрос, FTP-соединение не работает. Брандмауэр Huawei решает аналогичные проблемы с помощью таблицы Server-map. Таблица Server-map записывает ключевую информацию уровня приложения, включая целевой адрес, целевой порт и мощность протокола.Как и в таблице сеанса, поток данных, соответствующий таблице Server-map, также может проходить через брандмауэр напрямую, так как показано на рисунке:

Это может решить проблему сбоя подключения к службе FTP, когда FTP-сервер инициирует запрос.

2. Роль таблицы Server-map в NAT.

NAT

В дополнение к решению проблем, аналогичных службам FTP, в технологии NAT также используются таблицы Server-map. Когда определенные типы NAT настроены на брандмауэре, на брандмауэре будет сгенерирована таблица карты серверов, и по умолчанию будут созданы две записи карты серверов, а именно прямая запись и обратная запись (обратная), как показано на рисунке:

  • Прямая запись: переносит информацию о портах и ​​используется для того, чтобы пользователи Интернета могли напрямую выполнять преобразование целевого адреса через таблицу server-map при доступе к серверам в интрасети.
  • Обратный ввод (Reverse): не передает информацию о порте, а целевой адрес является произвольным, используется для обеспечения доступа сервера к Интернету;

резюме:

  • Карта серверов, сгенерированная методом NAT NO-PAT, является динамической, что означает, что таблица карты серверов будет автоматически генерироваться при прохождении трафика;
  • Карта серверов, генерируемая NAT-сервером, является статической, что означает, что содержимое записей таблицы существует в течение длительного времени;
  • В режиме NAT NAPT и исходящем интерфейсе записи Server-map не будут создаваться;
  • Обратите внимание, что не все методы преобразования NAT будут генерировать таблицы Server-map;

NAT

Интерфейс межсетевого экрана должен пройти через серию процедур обработки от получения изоляции до ее окончательной отправки, и NAT является лишь одной из задач. На конфигурацию NAT влияет маршрутизация, то есть политика безопасности, поэтому понимание потока обработки пакетов NAT очень полезно для настройки NAT. Блок-схема обработки пакетов NAT выглядит следующим образом:

Примечание:Поскольку брандмауэр обрабатывает пакеты в порядке трансляции адреса назначения → политика безопасности → трансляция исходного адреса, в среде NAT исходный адрес политики безопасности должен быть адресом до преобразования исходного адреса, а адрес назначения должен быть адресом после трансляции адреса назначения.

1. Метод настройки NAT NO-PAT

1) Топология эксперимента

NAT

2) Экспериментальные требования

ПК1 связывается с ПК2 через адрес 202.106.0.20

21!
Рекомендация: Старайтесь не использовать интерфейс брандмауэра G0 / 0/0 в экспериментальной среде.Этот интерфейс является интерфейсом управления по умолчанию и имеет большое количество конфигураций по умолчанию.

3) Реализация корпуса

(1) Сетевые параметры конфигурации и маршрутизация межсетевого экрана.

(2) Стратегия безопасности конфигурации межсетевого экрана.

(3) Настройте группу адресов NAT.

(4) Настройте стратегию NAT.

Примечание:Стратегия NAT отличается от стратегии безопасности.Стратегия безопасности заключается в проверке правил прохождения потока данных: совпадающие пакеты данных либо пересылаются, либо отбрасываются. Стратегия безопасности определяет, может ли поток проходить через брандмауэр; в то время как стратегия NAT проверяет проходящий поток данных., Соответствующий пакет данных является либо трансляцией адресов, либо без трансляции адресов. Политика NAT определяет, какой трафик нуждается в трансляции NAT.

(5) Настройте маршрутизацию черной дыры для преобразованного глобального адреса.

(6) Настройте IP-адрес маршрутизатора и маршрутизацию.

(7) Настройте IP-адрес и шлюз ПК самостоятельно и проверьте конфигурацию NAT.

NAT

ПК для проверки:

Межсетевой экран проверен:

2. Метод настройки NAPT.

Топология эксперимента такая же, как NAT NO-PAT! (На основе NAT тоже возможен NO-PAT), чтобы новички разобрались, я переделываю сетевое оборудование!

1) Экспериментальные требования

ПК1 связывается с ПК2 через адрес 202.106.0.100!

2) Реализация корпуса

NAT

ПК1 выполняет проверку:

Межсетевой экран проверен:

3. Метод настройки Easy-IP

Топология эксперимента такая же, как NAT NO-PAT! (Также может быть на основе NAPT), чтобы новички понимали, я переделываю сетевое оборудование!

1) Экспериментальные требования

ПК1 связывается с ПК2 через адрес интерфейса межсетевого экрана!

2) Реализация корпуса

NAT

ПК1 выполняет проверку:

Межсетевой экран проверен:

4. Метод настройки NAT-сервера.

1) Топология эксперимента

NAT

2) Экспериментальные требования

Пользователи Интернета получают доступ к FTP-серверу в зоне DMZ через 202.106.0.20.

3) Реализация корпуса

Убедитесь сами! Эффект можно увидеть в таблице сеансов межсетевого экрана!

Читайте также: