華為防火牆是現網應用比較廣的一款防火牆產品,下面以常見的Eudemon1000E梳理下常用的巡檢和操作命令:
1、防火牆工作模式
防火牆工作在用戶模式和系統模式,普通模式下可以進行信息查看(如display各種配置),命令模式下可以進行防火牆配置(如策略配置),使用system-view可以由用戶模式切換至系統模式,使用quit可以從系統模式切換至用戶模式。用戶模式下設備名稱類似<device-name>用尖括號包裹,系統模式下設備名稱類似[device-name]用方括號包裹。
2、安全域劃分
防火牆的主要作用是通過安全域的劃分來控制訪問,華為防火牆主要有Trust(可信任區)、Untrust(非信任區)、DMZ(非軍事區)、Local(本地)等四個安全域,每個安全域有不同的優先級,安全域裡有接口。防火牆可以對跨域的訪問進行限制,如通過配置ACL可以控制Untrust對Trust的訪問,通常情況下Untrust對應的是外部網絡,Trust是內部網絡。
2、操作技巧
華為防火牆有較多的操作命令,需要逐步學習,當不清楚或不知道用什麼命令的時候可以用問號?進行查詢,?的應用主要有幾種方式:一是在登進設備之後直接查詢相關命令,每一條命令後面都有解釋,二是在某個命令結尾鍵入,可以查詢當前命令後連接的命令或當前命令參數。
另外,華為防火牆跟Linux有一個類似的技巧,就是命令補全,如display命令,敲入dis時按Tab鍵可以補全,另外如果一條命令是單獨存在的,那麼簡拼等同於全拼。如dis的效果等同於display。
3、常用命令
查看當前配置:display current-configuration | include/begin XX
查看工作區:display zone
查看cpu、內存使用率:display health
查看運行環境:display environment
查看日誌:display logbuffer (summary)
查看設備健康狀況:display diagnostic-information
查看全部會話:display firewall session table verbose
其中,查看會話命令中可以進行精確的源地址和目的地址配置,從而進行更精確的查詢,常常用於網絡故障排查,進行抓包,如:
display firewall session table verbose source global XX.XX.XX.XX source-port XX destination global XX.XX.XX.XX destination-port XX
筆者半路出家,很多基礎細節還不大清楚,所以本文僅作個人學習記錄,有興趣深入瞭解的同仁可以參見《強叔侃牆》,絕對物超所值。下文將繼續記錄ACL策略的配置和命中數的查詢。