j'ai compris

[Dr.WoW] [No.12] Précautions de configuration et guide de dépannage

publié il y a  2020-4-28 15:01:52 8 0 0 0

1 Politique de sécurité

Dans les réseaux réels, des politiques de sécurité inappropriées entraînent souvent des interruptions de service. La commande de suppression du système d'affichage des statistiques du pare-feu peut être utilisée pour afficher les statistiques sur les paquets rejetés par les pare-feu. En *** yzant la sortie de la commande, nous pouvons déterminer si les paquets sont rejetés en raison de politiques de sécurité. Par exemple:

[FW] display firewall statistic system discard

 Packets discarded statistic

                            Total packets discarded:            10

                         ACL deny packets discarded:            5

                     Default deny packets discarded:           5


Dans la sortie de la commande, la valeur de "ACL deny packets discarded" indique le nombre de paquets rejetés en raison des politiques de sécurité; la valeur de "Default deny packets discarded" indique le nombre de paquets rejetés en raison du filtrage de paquets par défaut. Si les statistiques sur les paquets rejetés contiennent les informations précédentes, les politiques de sécurité sont inexactes et doivent être résolues.

Tout d'abord, vérifiez les conditions correspondantes dans les politiques de sécurité. Si les conditions de correspondance sont incorrectes, les paquets ne peuvent pas correspondre aux stratégies de sécurité et, par conséquent, les pare-feu ne peuvent pas effectuer les actions prédéfinies sur les paquets. Une fois qu'une politique de sécurité est configurée sur un pare-feu, si le pare-feu ne traite pas les paquets de la manière attendue, nous devons vérifier la configuration de la politique de sécurité.

[FW] display policy interzone trust untrust outbound

policy interzone trust untrust outbound

 firewall default packet-filter is deny

 policy 1 (0 times matched)

  action permit

  policy service service-set http (predefined)

  policy source 192.168.0.1 0

  policy destination 172.16.0.1 0


Dans la sortie de commande précédente, 0 paquet correspondait à la politique 1. Si l'interface correspondante a été ajoutée à la zone de sécurité correcte, nous devons vérifier si les conditions de la politique sont correctes.

Deuxièmement, si plusieurs politiques de sécurité sont configurées dans une interzone, faites attention à leur séquence de correspondance. Dans l'exemple suivant, deux stratégies de sécurité sont configurées dans l'interzone Trust-Untrust.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] policy 2

[FW-policy-interzone-trust-untrust-outbound-2] policy source 192.168.0.100 0

[FW-policy-interzone-trust-untrust-outbound-2] action deny

[FW-policy-interzone-trust-untrust-outbound-2] quit


Comme la portée de l'adresse source dans la stratégie 1 couvre celle de la stratégie 2, les paquets de 192.168.0.100 correspondent toujours à la stratégie 1 et passent par le pare-feu. L'action refusée définie dans la stratégie 2 pour les paquets de 192.168.0.100 ne sera jamais prise.

Pour résoudre ce problème, nous pouvons exécuter la commande suivante pour déplacer la stratégie 2 avant la stratégie 1.

[FW-policy-interzone-trust-untrust-outbound] policy move 2 before 1

Ensuite, les paquets de 192.168.0.100 correspondent à la première politique 2 et sont refusés par le pare-feu.

#

policy interzone trust untrust outbound

 policy 2

  action deny

  policy source 192.168.0.100 0

 

 policy 1

  action permit

  policy source 192.168.0.0 0.0.0.255

  policy destination 172.16.0.0 0.0.0.255

#


Il est difficile de spécifier des conditions de correspondance précises pour les politiques de sécurité. Des conditions de correspondance étendues présentent des risques de sécurité, tandis que des conditions de correspondance strictes peuvent empêcher certains paquets de correspondre aux politiques, ce qui affecte les services. Ici, je veux vous présenter une feuille de route de configuration générale: Tout d'abord, définissez l'action dans le filtrage de paquets par défaut sur «permettre» de commissionner des services, garantissant ainsi un fonctionnement normal du service. Ensuite, affichez la table de session et configurez les stratégies de sécurité avec les informations enregistrées dans la table de session correspondant aux conditions. Enfin, restaurez la configuration de filtrage de paquets par défaut pour commissionner à nouveau les services, en vérifiant l'effet de la politique de sécurité.

Lorsque l'action dans le filtrage de paquets par défaut est autorisée , le pare-feu autorise tous les paquets à passer, exposant le pare-feu à des risques. Par conséquent, il est recommandé d'utiliser ce paramètre uniquement pour la mise en service. Après la mise en service, vous devez restaurer la configuration de filtrage de paquets par défaut. Autrement dit, définissez l'action pour refuser .


Regardons deux exemples. La figure 1-1 montre la mise en réseau pour le premier exemple. Un PC et un serveur Web se connectent directement à un pare-feu. Le PC réside dans la zone d'approbation, tandis que le serveur Web réside dans la zone non approuvée. Le PC doit accéder au serveur Web.

Figure 1-1 Mise en réseau d'un PC pour accéder à un serveur Web

[Dr.WoW] [No.12] Précautions de configuration et guide de dépannage-1350657-1

 

Au début, nous ne connaissons pas la condition de correspondance exacte. Par conséquent, définissez l'action pour autoriser le filtrage de paquets par défaut dans l'interzone Trust-Untrust et entrez y lorsque le message suivant s'affiche.

[FW] firewall packet-filter default permit interzone trust untrust direction outbound

Avertissement: la définition du filtrage de paquets par défaut pour autoriser pose des risques de sécurité. Il est conseillé de configurer la politique de sécurité en fonction des flux de données réels. Voulez-vous vraiment continuer? [O / N] y

À l'heure actuelle, le pare-feu permet à tous les paquets de passer de la zone d'approbation à la zone non approuvée. Utilisez le PC pour accéder au serveur Web. Une fois l'accès réussi, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

 Current Total Sessions : 1

  http  VPN:public --> public

  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:07

  Interface: GigabitEthernet0/0/1  NextHop: 172.16.0.1  MAC: 54-89-98-c0-15-c5

  <--packets:4 bytes:465   -->packets:7 bytes:455

  192.168.0.1:2052-->172.16.0.1:80


Une session a été générée pour la connexion du PC au serveur Web. Ensuite, configurez la stratégie de sécurité suivante:

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.1 0

[FW-policy-interzone-trust-untrust-outbound-1] policy service service-set http

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit


Enfin, redéfinissez l'action pour refuser le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust untrust direction outbound

La figure 1-2 montre la mise en réseau pour le deuxième exemple. Un PC résidant dans la zone d'approbation se connecte directement à un pare-feu. Il est nécessaire qu'un administrateur se connecte au pare-feu via Telnet à partir du PC.


Figure 1-2 Mise en réseau d'un administrateur pour se connecter à un pare-feu via Telnet à partir d'un PC

[Dr.WoW] [No.12] Précautions de configuration et guide de dépannage-1350657-2

 

Tout d'abord, configurez le filtrage de paquets par défaut dans l'interzone Trust-Local et définissez l'action à autoriser . Lorsque le message suivant s'affiche, entrez y .

[FW] firewall packet-filter default permit interzone trust local direction inbound

Warning: Setting the default packet filtering to permit poses security risks. You

are advised to configure the security policy based on the actual data flows. Are

you sure you want to continue?[Y/N] y


Utilisez Telnet pour vous connecter au pare-feu à partir du PC. Une fois la connexion réussie, affichez la table de session sur le pare-feu.

[FW] display firewall session table verbose

 Current Total Sessions : 1

  telnet  VPN:public --> public

  Zone: trust--> local  TTL: 00:10:00  Left: 00:09:55

  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00

  <--packets:6 bytes:325   -->packets:8 bytes:415

  192.168.0.1:2053-->192.168.0.2:23


Ensuite, configurez la stratégie de sécurité suivante en fonction de la session précédente:

[FW] policy interzone local trust inbound

[FW-policy-interzone-local-trust-inbound] policy 1

[FW-policy-interzone-local-trust-inbound-1] policy source 192.168.0.1 0

[FW-policy-interzone-local-trust-inbound-1] policy destination 192.168.0.2 0

[FW-policy-interzone-local-trust-inbound-1] policy service service-set telnet

[FW-policy-interzone-local-trust-inbound-1] action permit


Enfin, redéfinissez l'action pour refuser le filtrage de paquets par défaut. La configuration de la politique de sécurité est terminée.

[FW] firewall packet-filter default deny interzone trust local direction inbound


J'espère que ces deux exemples vous aideront à comprendre la feuille de route de configuration, afin que vous puissiez configurer des conditions de correspondance précises dans les réseaux réels.

2 ASPF

ASPF détermine si les pare-feu peuvent transmettre correctement les paquets de protocoles spéciaux. Lorsque FTP est utilisé sur un réseau, vérifiez si ASPF est activé. Les pare-feu de la série USG2000 / 5000 sont utilisés à titre d'exemple. Le tableau 1-1 répertorie les protocoles pour lesquels ASPF peut être activé. Pour connaître les conditions de prise en charge d'autres modèles de pare-feu, consultez la documentation produit d'un modèle de pare-feu spécifique.

Tableau 1-1 Protocoles pour lesquels ASPF peut être activé sur l'USG2000 / 5000


Emplacement

Protocole

Interzone

DNS, FTP, H.323, ICQ, ILS, MGCP, MMS, MSN, NETBOIS, PPTP, QQ, RTSP, SIP et SQLNET

Zone

DNS, FTP, H.323, ILS, MGCP, MMS, MSN, NETBOIS, PPTP, QQ, RTSP, SIP et SQLNET


 

Exécutez la commande d' affichage interzone pour vérifier si ASPF a été activé dans une interzone. Par exemple:

[FW] display interzone

interzone trust untrust

 detect ftp

#

La sortie de la commande montre que ASPF a été activé pour FTP dans l'interzone Trust-Untrust. Exécutez la commande d' affichage de zone pour vérifier si ASPF a été activé dans une zone. Par exemple:

[FW] display zone

local

 priority is 100

#

trust

 priority is 85

 detect qq

 interface of the zone is (1):

    GigabitEthernet0/0/1

#

untrust

 priority is 5

 interface of the zone is (0):

#

dmz

 priority is 50

 interface of the zone is (0):

#


La sortie de la commande montre que ASPF a été activé pour QQ dans la zone de confiance.

Si ASPF pour un protocole défini par l'utilisateur ne prend pas effet, exécutez la commande display firewall server-map pour vérifier si l'entrée de serveur-map correspondante a été générée. Par exemple:

[FW] display firewall server-map

 server-map item(s)

 ------------------------------------------------------------------------------

Type: STUN,  ANY -> 192.168.0.1:55199,  Zone:---                              

 Protocol: udp(Appro: stun-derived),  Left-Time:00:04:52,  Pool: ---,

 Vpn: public -> public


La sortie de la commande indique que l'entrée de mappage de serveur a été générée. Si l'entrée de mappage de serveur n'existe pas, vérifiez si les règles ACL sont correctement configurées et si les paquets peuvent correspondre aux règles ACL. Si l'ACL est incorrecte, reconfigurez-la.

 

 

Questions du Dr WoW:

1.         Un administrateur configure les stratégies de sécurité suivantes dans l'ordre dans l'interzone Trust-Untrust. Quel est le problème dans la configuration?

l   Politique 1: refuser les paquets destinés à 172.16.0.0/24.

l   Politique 2: tous les paquets destinés à 172.16.0.100.

2.         Quelles dimensions des conditions de correspondance sont disponibles pour les politiques de sécurité unifiées sur les NGFW?

3.         Dans le réseau où un client FTP accède à un serveur FTP, ASPF doit-il être activé si le client FTP fonctionne en mode passif (PASV)?

4.         Dans l'hypothèse qu'OSPF s'exécute sur un pare-feu et que le type de réseau OSPF est Diffusé, remplissez le blanc dans le script de configuration suivant pour configurer des politiques de sécurité précises dans l'interzone Untrust-Local (l'interface OSPF activée sur le pare-feu est dans la zone de défiance).

#    

policy interzone local untrust _____________                     

 policy 1                                                         

  action permit                                       

  policy service service-set _____________             

#

policy interzone local untrust _____________

 policy 1                                                      

  action permit                                               

  policy service service-set _____________                     

#


 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.