华为防火墙基本原理工作方法总结

在这里插入图片描述
防火墙只会对tcp首包syn建立会话表,其它丢掉,如syn+ack,ack
udp直接建立会话表
icmp只对首包请求包建立会话表,其它包,如应答的不会建立直接丢掉

防火墙状态查看:
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit

dis firewall session table verbose
查看详细会话情况
在这里插入图片描述

192.168.0.139已把包送到172.16.0.100,但172.16.0.100回不了包。
<–packets: 0bytes: 0 --> packets: 1bytes: 60
在这里插入图片描述
dis policy interzone trust untrust outbound
查看策略命中统计

firewall interzone trust untrust
detect ftp
开启ftp或qq或msn的aspf功能

当防火墙开启aspf功能后,会话会产生server-map表项(nat server、no-pat时也会产生server-map)
dis firewall server-map
查看会话表项

自定义aspf项
acl number 3000
rule 5 permit ip source 192.168.0.1 0 destnation 172.16.0.100 0
firewall interzone trust untrust
detect user-defined 3000 outbound

display interzone 查看域外是否开启了aspf
dis zone 查看域内是否开启了aspf

防火墙会默认阻挡单播报文,不会阻挡组播报文,所以ospf p2p网络不用配置策略。

dis firewall statistic system discard
查看丢包情况

undo firewall session link-state check
关闭状态检测功能,变成包过滤防火墙

TTl 本条信息的老化时间
loft 本条信息剩余老化时间
mac 目标mac地址

会话表的老化时间设备
firewall session aging-time service-set icmp 1000

类似于sql语句需要长连接的业务,需要单独设置长连接,华为只支持tcp类型长连接
默认长连接会话时间是168小时。
rule name trust_untrust
source-zone trust
destination-zone untrust
long-link enable //开长连接
action permit

防火墙有两条ISP线路时,负载均衡时,要把不同的ISP加入两个不同的zone,设两条napt策略,两条安全策略,两个地址池。如果都放到一个zone时,就不会负载了,只会按NAT策略的顺序执行最上面的那条isp策略。

如果把两条公网放在一个zone了,现在又要做nat server就用下面第二种方法:
nat server向外发服务器地址时可以在命令后加上no-reverse,映射两个公网上
[USG6000V1]nat server protocol tcp global 1.1.1.1 80 inside 192.168.0.1 80 no-re
verse
[USG6000V1]nat server protocol tcp global 1.1.1.2 80 inside 192.168.0.1 80 no-re
verse

dis firewall server-map
查看

firewall endpoint-independent filter enable
用于开启只根据server-map表转发,不受策略的控制,华为默认这个配置是开的。

双线,对外nat server时,要配置源进源出,两条外线接口上都要配置:
gateway 1.1.1.254 //是对端公网网关下一跳地址
redirect-rroute enable

不同版本命令不同:
redirect-reverse nexthop 1.1.1.254

防火墙在使用时的正确思路是:

第一步:先把默认策略打开全部放行
security-policy
default active permit

第二步:把正常的业务都配通,然后进行ping测试或业务连接测试。
第三步:用命令看数据zone的走向:dis firewall session table verbose
第四步:把看到数据走向的哪个区域到哪个区域都记下来,数据的来回正向和反向都要考虑到
第五步:按记下的数据zone走向起安全策略,哪个zone到哪个zone,包括数据来回正向和反向策略都要考虑在内。
第六步:关掉第一步的全部放行,改成默认全部拒绝,最后测试业务是否正常。
security-policy
default active deny

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/124836.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Qlik Sense : Fetching data with Qlik Web Connectors

Qlik Sense : Fetching data with Qlik Web Connectors

目录 Connecting to data sources Opening a connector Connecting to a data source Authenticating the connector Defining table parameters Using standard mode or legacy mode Standard mode Connector overview Using multi-line input parameters to fetch da…
阅读更多...
解析虚拟文件系统的调用

解析虚拟文件系统的调用

Linux 可以支持多达数十种不同的文件系统。它们的实现各不相同&#xff0c;因此 Linux 内核向用户空间提供了虚拟文件系统这个统一的接口&#xff0c;来对文件系统进行操作。它提供了常见的文件系统对象模型&#xff0c;例如 inode、directory entry、mount 等&#xff0c;以及…
阅读更多...
【Linux】 reboot 命令使用

【Linux】 reboot 命令使用

reboot 命令用于用来重新启动计算机。 语法 reboot [参数] 命令选项及作用 执行令 man --reboot 执行命令结果 参数 -n : 在重开机前不做将记忆体资料写回硬盘的动作-w : 并不会真的重开机&#xff0c;只是把记录写到 /var/log/wtmp 档案里-d : 不把记录写到 /var/log…
阅读更多...
全志A40i应用笔记 | 3种常见的网卡软件问题以及排查思路

全志A40i应用笔记 | 3种常见的网卡软件问题以及排查思路

在飞凌嵌入式OKA40i-C开发板上虽然只有一个网口&#xff0c;但全志A40i-H处理器本身是有两个网络控制器的&#xff0c;因此在飞凌嵌入式提供的产品资料中提供了双网口解决方案。有的工程师小伙伴在开发过程中会遇见一些网卡的设计问题&#xff0c;今天小编为大家分享3种在使用O…
阅读更多...
基于Java+SpringBoot+Mybaties-plus+Vue+ElementUI 失物招领小程序 设计与实现

基于Java+SpringBoot+Mybaties-plus+Vue+ElementUI 失物招领小程序 设计与实现

一.项目介绍 失物招领小程序 用户登录、忘记密码、退出系统 发布失物 和 发布招领 查看我发布的失物和招领信息 失捡物品模块可以查看和搜索所有用户发布的信息。 二.环境需要 1.运行环境&#xff1a;java jdk1.8 2.ide环境&#xff1a;IDEA、Eclipse、Myeclipse都可以&#…
阅读更多...
【紫光同创国产FPGA教程】【PGC1/2KG第七章】7.数字钟实验例程

【紫光同创国产FPGA教程】【PGC1/2KG第七章】7.数字钟实验例程

本原创教程由深圳市小眼睛科技有限公司创作&#xff0c;版权归本公司所有&#xff0c;如需转载&#xff0c;需授权并注明出处 适用于板卡型号&#xff1a; 紫光同创PGC1/2KG开发平台&#xff08;盘古1K/2K&#xff09; 一&#xff1a;盘古1K/2K开发板&#xff08;紫光同创PGC…
阅读更多...
k8s configMap挂载(项目配置文件放到configMap中,不同环境不同配置)

k8s configMap挂载(项目配置文件放到configMap中,不同环境不同配置)

背景说明 项目对接配置文件加密&#xff0c;比如数据库密码、redis密码等。但是密文只能放到指定的配置文件中(important.properties)&#xff0c;该配置文件又不能接收环境变量&#xff0c;所以就很难区分不同环境的不同配置&#xff08;不同环境的数据库密码、redis密码一般…
阅读更多...
ECA-Net(Efficient Channel Attention Network)

ECA-Net(Efficient Channel Attention Network)

ECA-Net&#xff08;Efficient Channel Attention Network&#xff09;是一种用于计算机视觉任务的注意力模型&#xff0c;旨在增强神经网络对图像特征的建模能力。本文详细介绍ECA-Net注意力模型的结构设计&#xff0c;包括其背景、动机、组成部分以及工作原理。ECA-Net模块的…
阅读更多...
LoRaWAN物联网架构

LoRaWAN物联网架构

与其他网关一样&#xff0c;LoRaWAN网关也需要在规定的工作频率上工作。在特定国家部署网关时&#xff0c;必须要遵循LoRa联盟的区域参数。不过&#xff0c;它是没有通用频率的&#xff0c;每个国家对使用非授权MHZ频段都有不同的法律规定。例如&#xff0c;中国的LoRaWAN频段是…
阅读更多...
react-native 0.63 适配 Xcode 15 iOS 17.0+

react-native 0.63 适配 Xcode 15 iOS 17.0+

iOS 17.0 Simulator(21A328)下载失败 App Store 更新到 Xcode15 后&#xff0c;无法运行模拟器和真机。需要下载iOS 17对应的模拟器。Xcode中更新非常容易中断失败&#xff0c;可以在官网单独下载iOS 17模拟器文件&#xff0c;例如&#xff1a;iOS_17.0.1_Simulator_Runtime.d…
阅读更多...
开放智慧,助力学习——电大搜题,打开学无止境的新篇章

开放智慧,助力学习——电大搜题,打开学无止境的新篇章

随着信息技术的迅猛发展&#xff0c;学习已经不再受时间和空间的限制。电大搜题微信公众号为广播电视大学和河南开放大学的学子们带来了便利和智慧&#xff0c;让学习变得更加高效和愉快。 电大搜题微信公众号作为一款专为电大学生而设计的学习助手&#xff0c;是学习中不可或…
阅读更多...
红队专题-从零开始VC++C/S远程控制软件RAT-MFC-远程控制软件总结

红队专题-从零开始VC++C/S远程控制软件RAT-MFC-远程控制软件总结

红队专题 招募六边形战士队员[30]远控班第一期课程与远控总结 招募六边形战士队员 一起学习 代码审计、安全开发、web攻防、逆向等。。。 私信联系 [30]远控班第一期课程与远控总结 一.Bug修复(1)生成路径(2)显示系统版本号二.内存泄露(1)如何检查内存泄露 #define CRTDBG_…
阅读更多...
【广州华锐互动】VR虚拟仿真技术为航测实践教学提供了哪些帮助?

【广州华锐互动】VR虚拟仿真技术为航测实践教学提供了哪些帮助?

在过去的几十年里&#xff0c;航空测量技术发展迅速&#xff0c;为我们提供了前所未有的地理信息获取手段。然而&#xff0c;这个领域的发展并未停止&#xff0c;最新的技术进步——虚拟现实(VR)——正在为航测实践教学开启新的篇章。 VR虚拟现实技术能够创建和体验三维虚拟环境…
阅读更多...
基于SSM的二手车交易网站的设计与实现

基于SSM的二手车交易网站的设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;Vue 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#xff1a;是 目录…
阅读更多...
金融工作怎么做?低代码如何助力金融行业

金融工作怎么做?低代码如何助力金融行业

10月30日至31日&#xff0c;中央金融工作会议在北京举行。金融是国民经济的“血脉”&#xff0c;是国家核心竞争力的重要组成部分。会议指出&#xff0c;党的十八大以来&#xff0c;在党中央集中统一领导下&#xff0c;金融系统有力支撑经济社会发展大局&#xff0c;坚决打好防…
阅读更多...
常见React Hooks 钩子函数用法

常见React Hooks 钩子函数用法

一、useState useState()用于为函数组件引入状态&#xff08;state&#xff09;。纯函数不能有状态&#xff0c;所以把状态放在钩子里面。 import React, { useState } from react import ./Button.cssexport function UseStateWithoutFunc() {const [name, setName] useStat…
阅读更多...
华为云分布式数据库GaussDB,做金融数字化的坚实数据底座

华为云分布式数据库GaussDB,做金融数字化的坚实数据底座

本篇为大家分享下GaussDB的商业进展以及产品能力升级方面的最新情况。 1. 华为云GaussDB正在从金融覆盖到更多行业 从2019年开始&#xff0c;在华为内部通过持续的锤炼&#xff0c;推出了融合多项技术的自主创新的GaussDB数据库&#xff0c;而且陆续完成了华为公司内部核心系统…
阅读更多...
华为交换机端口 access、trunk和hybrid收发数据规则

华为交换机端口 access、trunk和hybrid收发数据规则

文章目录 1. 三个端口类型处理数据帧的汇总表2. access 端口3. trunk端口4. Hybrid 端口&#xff08;交换机的默认端口类型&#xff09;5.常用命令 1. 三个端口类型处理数据帧的汇总表 端口类型收到不带VLAN标签的帧的处理规则收到带VLAN标签的帧的处理规则发送帧时的处理规则…
阅读更多...
线性代数(二)| 行列式性质 求值 特殊行列式 加边法 归纳法等多种方法

线性代数(二)| 行列式性质 求值 特殊行列式 加边法 归纳法等多种方法

文章目录 1. 性质1.1 重要性质梳理1.1.1 转置和初等变换1.1.2加法行列式可拆分1.1.3 乘积行列式可拆分 1.2 行列式性质的应用1.2.1 简化运算1.2.2 将行列式转换为&#xff08;二&#xff09;中的特殊行列式 2 特殊行列式2.1 上三角或下三角行列式2.2 三叉行列式2.3 行列式行和&…
阅读更多...
Leetcode—125.验证回文串【简单】

Leetcode—125.验证回文串【简单】

2023每日刷题&#xff08;二十三&#xff09; Leetcode—125.验证回文串 实现代码 class Solution { public:bool isPalindrome(string s) {int n s.size();if(n 1 && s[0] ) {return true;}int left 0, right 0;for(right 0; right < n; right) {if(s[rig…
阅读更多...
最新文章

Copyright @ 2022~2023