安全运维之华为防火墙用户及安全管理

前文相继介绍了华为防火墙的安全域、策略配置、NAT映射等内容,但这一切的操作都需要用户来操作,此外还需要加强防火墙本身的安全管理,关闭危险端口,启用安全防护功能。本文就简单介绍下华为防火墙的用户管理及安全配置管理的相关内容。


华为防火墙

一、用户管理

用户管理包括用户建立、信息查询、信息更新、用户删除四个方面的内容,下面逐一介绍。

1、用户建立及更新

华为防火墙有3种用户认证方式,即AAA(账户/密码)、Password(纯密码)、None(既不需要账号也不需要密码),因为我们通常是使用账户/密码进行用户的身份验证,即采用AAA模式。新用户的建立和用户信息的更新所使用的命令是一样的,均如下面的命令所示。

#进入系统视图

system-view

#进入aaa模式

aaa

#用户名及密码

local-user newuser password cipher mypassword

#用户支持的服务

local-user newuser service-type telnet ssh

#用户级别

local-user newuser level 3

#用户认证失败次数

local-user newuser fail-lock authentication-count 5

#账号锁定时间

local-user newuser fail-lock lock-timeout 5

上述方式设置的是本地用户,有时还需要通过SecureCRT等工具使用SSH协议登录设备进行维护,所以就需要通过下述命令建立单独的ssh账号。

ssh user newuser password ciper mypassword

#其他配置项类似处理

2、信息查询

#查询当前登录用户

display users

#查询所有用户信息

display local-user

#查询指定用户信息

display local-user username newuser

#更多操作

display local-user ?

3、用户删除

#进入系统模式

system-view

#进入aaa模式

aaa

#删除用户

undo local-user newuser

undo ssh user newuser

二、安全管理

防护墙的安全管理体现在几个方面,一是设备本身的安全,二是危险端口的封禁,三是防攻击功能的启用。

1、设备本身的安全

华为防火墙本身作为一个网络安全设备,其本身也存在一定的安全漏洞,因此要经常性地对其进行漏洞扫描、基线核查、安全加固等操作,及时消除设备本身的安全隐患。

2、危险端口的封禁

危险端口主要是指容易被黑客利用的一些端口,在防火墙侧应通过策略配置进行封禁。常见的危险端口有TCP1433、1434、9995、rpc、5900、445、9996、6667、137、138、5554、ftp等,更多危险端口可参见相关安全规范。

acl number 3001

rule 5 deny udp destination-port eq 1433

rule 10 deny tcp destination-port eq 1433

rule 15 deny tcp destination-port eq 1434

rule 20 deny tcp destination-port eq 9995

rule 25 deny tcp destination-port eq rpc

rule 30 deny tcp destination-port eq netbios-ssn

rule 35 deny tcp destination-port eq 5900

rule 40 deny tcp destination-port eq 445

3、防攻击功能启用

对于攻击的防范,除了使用IPS、抗DDOS设备外,还可以利用防火墙自身的一些功能,如syn攻击防范、land攻击防范、黑名单等。常见的攻击防范如下所示,更多功能请参考产品功能介绍。

firewall defend ip-sweep enable

firewall defend tcp-flag enable

firewall defend large-icmp enable

firewall defend ping-of-death enable

firewall defend icmp-flood enable

firewall defend syn-flood enable

firewall defend land enable

三、总结及预告

用户管理和攻击防范是防火墙的主要功能,本章节对此进行了简单介绍,重点突出操作技巧,有兴趣深入了解的同仁可以参见《强叔侃墙》或华为防火墙官方手册,绝对物超所值,

感谢您花费时间阅读此文,水平有限,但请见谅,欢迎关注评论“斯沃勒科教工作室”,期待与您一起学习、成长。关于防火墙安全运维的更新暂时告一段落,后面将会开启《信息安全工程师复习重点》的更新,欢迎各位继续关注和支撑,谢谢。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,803评论 19 139
  • 2017 10-17 防火墙设置
    一.防火墙概念 (一)安全技术介绍 (1) 入侵检测与管理系统(Intrusion Detection Syste...
    楠人帮阅读 5,403评论 0 3
  • LINUX防火墙iptables
    1.安全技术 (1)入侵检测与管理系统(Intrusion Detection Systems): 特点是不阻断任...
    尛尛大尹阅读 7,253评论 0 2
  • 20171018 Linux防火墙
    防火墙的概念iptables的简介iptables命令网络防火墙NATfirewalld服务 一、防火墙的概念 (...
    哈喽别样阅读 5,829评论 0 1
  • 防火墙与NAT服务器
    1、认识防火墙 防火墙就是定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制。广义的来讲,只要能够...
    Zhang21阅读 7,865评论 0 6

友情链接更多精彩内容