[Dr.WoW] [No.12] Précautions de configuration et guide de dépannage

Dernière réponse abr. 24, 2019 15:06:13 34 4 0 0


1 politique de sécurité
Dans les réseaux réels, des politiques de sécurité inappropriées entraînent souvent des interruptions de service. La commande display firewall statistic system discard peut être utilisée pour afficher des statistiques sur les paquets rejetés par les pare-feu. En analysant la sortie de la commande, nous pouvons déterminer si les paquets sont ignorés en raison de politiques de sécurité. Par exemple:

[FW] display firewall statistic system discard

 Packets discarded statistic

                            Total packets discarded:            10

                         ACL deny packets discarded:            5

                     Default deny packets discarded:           5

Dans la sortie de la commande, la valeur "ACL refuser les paquets rejetés" indique le nombre de paquets rejetés en raison de politiques de sécurité. la valeur "Refuser par défaut les paquets rejetés" indique le nombre de paquets rejetés en raison du filtrage de paquets par défaut. Si les statistiques sur les paquets rejetés contiennent les informations précédentes, les stratégies de sécurité sont inexactes et doivent être dépannées.

Commencez par vérifier les conditions de correspondance dans les stratégies de sécurité. Si les conditions de correspondance sont incorrectes, les paquets ne peuvent pas correspondre aux politiques de sécurité et, par conséquent, les pare-feu ne peuvent pas effectuer les actions prédéfinies sur les paquets. Une fois la stratégie de sécurité configurée sur un pare-feu, si celui-ci ne traite pas les paquets de la manière attendue, vous devez vérifier la configuration de la stratégie de sécurité.

[FW] display policy interzone trust untrust outbound

policy interzone trust untrust outbound

 firewall default packet-filter is deny

 policy 1 (0 times matched)

  action permit

  policy service service-set http (predefined)

  policy source 192.168.0.1 0

  policy destination 172.16.0.1 0

Dans la sortie de commande précédente, 0 paquet correspondait à la stratégie 1. Si l'interface correspondante a été ajoutée à la zone de sécurité correcte, nous devons vérifier si les conditions de la stratégie sont correctes.

Deuxièmement, si plusieurs politiques de sécurité sont configurées dans un interzone, faites attention à leur séquence correspondante. Dans l'exemple suivant, deux stratégies de sécurité sont configurées dans l'interzone Trust-Untrust.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] policy 2

[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.100 0

[FW-policy-interzone-trust-untrust-outbound-2] action deny

[FW-policy-interzone-trust-untrust-outbound-2] quit

Comme l'étendue de l'adresse source dans la politique 1 couvre celle de la politique 2, les paquets de 192.168.0.100 correspondent toujours à la politique 1 et passent à travers le pare-feu. L'action deny définie dans la politique 2 pour les paquets de 192.168.0.100 ne sera jamais prise. 


Pour résoudre ce problème, nous pouvons exécuter la commande suivante pour déplacer la stratégie 2 avant la stratégie 1.

[FW-policy-interzone-trust-untrust-outbound] policy move 2 before 1

Ensuite, les paquets de 192.168.0.100 correspondent d’abord à la stratégie 2 et sont refusés par le pare-feu.

#

policy interzone trust untrust outbound

 policy 2

  action deny

  policy source 192.168.0.100 0

 

 policy 1

  action permit

  policy source 192.168.0.0 0.0.0.255

  policy destination 172.16.0.0 0.0.0.255

#

Il est difficile de spécifier des conditions de correspondance précises pour les stratégies de sécurité. Les conditions de correspondance étendues comportent des risques de sécurité, tandis que les conditions de correspondance strictes peuvent empêcher certains paquets de correspondre aux stratégies, ce qui affecte les services. Ici, je souhaite vous présenter une feuille de route de configuration générale: d’abord, définissez l’action dans le filtrage de paquets par défaut sur "permission" pour mettre en service des services, assurant ainsi le fonctionnement normal du service. Ensuite, affichez la table de session et configurez les politiques de sécurité avec les informations enregistrées dans la table de session correspondant aux conditions. Enfin, restaurez la configuration de filtrage de paquets par défaut sur les services de commission, en vérifiant l'effet de la politique de sécurité.

Lorsque l'action dans le filtrage de paquets par défaut est permit, le pare-feu laisse passer tous les paquets, exposant ainsi le pare-feu à des risques. Par conséquent, il est recommandé d'utiliser ce paramètre uniquement pour la mise en service. Après la mise en service, vous devez restaurer la configuration de filtrage de paquets par défaut. C'est-à-dire, définissez l'action pour deny.

Regardons deux exemples. La figure 1-1 illustre la mise en réseau du premier exemple. Un PC et un serveur Web se connectent directement à un pare-feu. Le PC réside dans la zone de confiance, tandis que le serveur Web réside dans la zone non approuvée. Le PC doit accéder au serveur Web.

Figure 1-1 Mise en réseau d'un PC pour accéder à un serveur Web


5552ad39da8cf.png

Au début, nous ne connaissons pas la condition d’adéquation exacte. Par conséquent, définissez l'action de manière à autoriser le filtrage de paquets par défaut dans l'interzone Trust-Untrust et entrez y lorsque le message suivant s'affiche.

[FW] firewall packet-filter default permit interzone trust untrust direction outbound

Warning: Setting the default packet filtering to permit poses security risks. You are advised to configure the security policy based on the actual data flows. Are you sure you want to continue?[Y/N] y

À ce stade, le pare-feu permet à tous les paquets de passer de la zone de confiance à la zone de confiance. Utilisez le PC pour accéder au serveur Web. Une fois l'accès réussi, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

 Current Total Sessions : 1

  http  VPN:public --> public

  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:07

  Interface: GigabitEthernet0/0/1  NextHop: 172.16.0.1  MAC: 54-89-98-c0-15-c5

  <--packets:4 bytes:465   -->packets:7 bytes:455

  192.168.0.1:2052-->172.16.0.1:80

Une session a été générée pour la connexion du PC au serveur Web. Ensuite, configurez la stratégie de sécurité suivante:

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy service service-set http

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust untrust direction outbound

La figure 1-2 illustre la mise en réseau du deuxième exemple. Un PC résidant dans la zone de confiance se connecte directement à un pare-feu. Un administrateur doit se connecter au pare-feu via Telnet à partir du PC.

Figure 1-2 Mise en réseau d'un administrateur pour qu'il se connecte à un pare-feu via Telnet à partir d'un PC


5552ad4d67940.png

Commencez par configurer le filtrage de paquets par défaut dans l'interzone Trust-Local et définissez l'action sur Permettre. Lorsque le message suivant est affiché, entrez y.

[FW] firewall packet-filter default permit interzone trust local direction inbound

Warning: Setting the default packet filtering to permit poses security risks. You

are advised to configure the security policy based on the actual data flows. Are

you sure you want to continue?[Y/N] y

Utilise****lnet pour vous connecter au pare-feu à partir du PC. Une fois la connexion établie, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

 Current Total Sessions : 1

  telnet  VPN:public --> public

  Zone: trust--> local  TTL: 00:10:00  Left: 00:09:55

  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00

  <--packets:6 bytes:325   -->packets:8 bytes:415

  192.168.0.1:2053-->192.168.0.2:23

Ensuite, configurez la stratégie de sécurité suivante en fonction de la session précédente:

[FW] policy interzone local trust inbound

[FW-policy-interzone-local-trust-inbound] policy 1

[FW-policy-interzone-local-trust-inbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-local-trust-inbound-1] policy destination 192.168.0.2 0

[FW-policy-interzone-local-trust-inbound-1] policy service service-set telnet

[FW-policy-interzone-local-trust-inbound-1] action permit

Enfin, définissez l'action sur Refuser pour le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust local direction inbound

J'espère que ces deux exemples vous aideront à comprendre la feuille de route de configuration, de sorte que vous puissiez configurer des conditions de correspondance précises dans des réseaux réels.

2 ASPF
ASPF détermine si les pare-feu peuvent transférer correctement les paquets de protocoles spéciaux. Lorsque FTP est utilisé sur un réseau, vérifiez si ASPF est activé. Les pare-feu des séries USG2000 / 5000 sont utilisés à titre d'exemple. Le tableau 1-1 répertorie les protocoles pour lesquels ASPF peut être activé. Pour connaître les conditions de support des autres modèles de pare-feu, voir la documentation produit d'un modèle de pare-feu spécifique.

Tableau 1-1 Protocoles pour lesquels ASPF peut être activé sur l'USG2000 / 5000

002626pwxb0spsxbz9x3sx.png
Exécutez la commande display interzone pour vérifier si ASPF a été activé dans un interzone. Par exemple:

[FW] display interzone

interzone trust untrust

 detect ftp

#

Le résultat de la commande indique qu'ASPF a été activé pour FTP dans l'interzone Trust-Untrust. Exécutez la commande display zone pour vérifier si ASPF a été activé dans une zone. Par exemple:

[FW] display zone

local

 priority is 100

#

trust

 priority is 85

 detect qq

 interface of the zone is (1):

    GigabitEthernet0/0/1

#

untrust

 priority is 5

 interface of the zone is (0):

#

dmz

 priority is 50

 interface of the zone is (0):

#

Le résultat de la commande indique que ASPF a été activé pour QQ dans la zone de confiance.

Si ASPF pour un protocole défini par l'utilisateur ne prend pas effet, exécutez la commande display firewall server-map pour vérifier si l'entrée correspondante de la carte du serveur a été générée. Par exemple:

[FW] display firewall server-map

 server-map item(s)

 ------------------------------------------------------------------------------

Type: STUN,  ANY -> 192.168.0.1:55199,  Zone:---                              

 Protocol: udp(Appro: stun-derived),  Left-Time:00:04:52,  Pool: ---,

 Vpn: public -> public

Le résultat de la commande indique que l’entrée mappe-serveur a été générée. Si l'entrée de mappe de serveur n'existe pas, vérifiez si les règles ACL sont correctement configurées et si les paquets peuvent correspondre aux règles ACL. Si la liste de contrôle d'accès est incorrecte, reconfigurez-la. 




Questions du Dr. WoW:

1. Un administrateur configure les stratégies de sécurité suivantes en séquence dans l'interzone Trust-Untrust. Quel est le problème dans la configuration?

l Stratégie 1: refuser les paquets destinés au 172.16.0.0/24.

l Politique 2: Tous les paquets destinés à 172.16.0.100.

2. Quelles dimensions des conditions de correspondance sont disponibles pour les stratégies de sécurité unifiées sur les serveurs NGFW?

3. Dans le réseau où un client FTP accède à un serveur FTP, ASPF doit-il être activé si le client FTP fonctionne en mode passif (PASV)?

4. Dans l’hypothèse où OSPF s’exécute sur un pare-feu et que le type de réseau OSPF est Diffusé, renseignez le script de configuration ci-dessous afin de configurer des stratégies de sécurité précises dans l’interzone Untrust-Local (l’interface OSPF du pare-feu est activée). la zone non confiance).

#    

policy interzone local untrust _____________                     

 policy 1                                                         

  action permit                                       

  policy service service-set _____________             

#

policy interzone local untrust _____________

 policy 1                                                      

  action permit                                               

  policy service service-set _____________                     

#

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.




  • x
  • Standard:

Mira.S
publié il y a 2019-4-24 14:57:33 Utile(0) Utile(0)
1. Un administrateur configure les stratégies de sécurité suivantes en séquence dans l'interzone Trust-Untrust. Quel est le problème dans la configuration?
l Stratégie 1: refuser les paquets destinés au 172.16.0.0/24.
l Politique 2: Tous les paquets destinés à 172.16.0.100.

Answear: La stratégie 1 inclut toutes les adresses IP du segment. Par conséquent, si vous souhaitez exclure une adresse IP, cela ne serait pas possible. Dans le cadre de la politique 2, aucune action n'est proposée
  • x
  • Standard:

Mira.S
publié il y a 2019-4-24 14:58:00 Utile(0) Utile(0)
2. Quelles dimensions des conditions de correspondance sont disponibles pour les politiques de sécurité unifiées sur

• NGFWs
• application
• Contenu
• Temps
• utilisateur
• attaque
• Emplacement
  • x
  • Standard:

Mira.S
publié il y a 2019-4-24 15:03:15 Utile(0) Utile(0)
3. Dans le réseau où un client FTP accède à un serveur FTP, ASPF doit-il être activé si le client FTP fonctionne en mode passif (PASV)?

Je suppose que oui, nous devons activer les modes actif et passif.
  • x
  • Standard:

Mira.S
publié il y a 2019-4-24 15:06:13 Utile(0) Utile(0)
Je souhaite savoir si, oui ou non, il est judicieux de connecter le pare-feu Huawei USG 9560 directement à la connexion Internet, ou dois-je le placer derrière un routeur ?. Y-a-t-il des problèmes lors de la connexion du pare-feu USG directement à Internet?
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier