(一)策略路由:1、如果防火墙工作在二层,与内网之间直连或通过二层交换机连,此时无法通过mac地址作为匹配条件

2、如果工作在三层,与内网之间直连或通过二层交换机相连,可以通过arp学习,直接使用mac地址作为匹配条件

3、如果fw与内网之间通过三层网络设备相连,首先需要配置fw的跨三层mac识别功能,再以mac地址作为匹配条件。

4、fw支持下述类型匹配条件

源安全区域,入接口,ip/mac地址,用户,服务类型,应用类型,dscp优先级

5、动作:匹配指定下一跳,指定出接口,利用智能选路功能,指定虚拟系统,不做路由策略

(二)isp路由:1、预置和导入的isp地址文件固定存放在根目录下名称为isp的文件夹内。导入isp地址文件后,管理员需要为每个文件创建一个名称。成功导入文件后,每个isp地址文件会·自动生成一个isp地址集,其中包含了isp地址文件中的所有ip地址,该地址集可以被策略路由引用为源地址或目的地址。指定出接口与某个运营商名称关联后,fw会批量生成到此运营商网络的isp路由:目的地址是isp地址文件中的ip地址,下一跳是出接口上配置的网关地址。isp路由在路由表中显示的地址协议类型是UNR。优先级为70.

2、isp选路功能能配合健康检查功能使用,当健康检查功能检测到链路故障时,对应isp路由表向将被删除,流量不会命中。

(三)ip-link

1、子功能:支持icmp,icmpv6探测方式,支持arp和ns(ipv6)探测方式

2、在三个探测周期内未收到响应报文,则认为当前链路故障(共15s)

(四)华为产品:1、logcenter分析器和采集器安装在不同的物理服务器上,一台分析器最多可管理15台采集器。分布式部署时,不能将logcenter分析器和采集器部署在同一物理服务器上,影响系统性能

2、WAF使用非法链接过滤技术(华为独创)来应对盗链、跨站请求伪造等特殊web攻击。

(五)双机热备:1、发生主备切换时,备墙会发送免费arp报文,交换机收到arp报文后,刷新mac地址表,将流量引至备墙。

(六)vpn:

1、ipsec vpn(不支持组播)

配置步骤

AH和ESP两种协议的区别

模式对比

        建立安全联盟方式有:手工方式(manual),ike自动协商(isakmp)

        nat穿越功能中删去了ike协商过程中udp端口号的验证过程,同时实现了对vpn隧道中nat网关设备的发现功能,及如果发现nat网关设备,则将在之后的ipse数据传输中使用udp封装。

        配置RSA信封步骤:1、上传CA证书

                                         2、上传本地证书

                                        3、创建本端设备公私密钥对答案

排错

2、GRE over IPSec

因为GRE over IPSec隧道模式与传输模式相比多了个IPSec头,报文长度更长,更容易分片。所以推荐采用传输GRE over IPSec

3、L2TP over IPsec

封装顺序ppp>L2TP>UDP>IPsec

(六)智能选路的全局选路策略:根据链路带宽负载分担,根据链路权重负载分担,根据链路质量负载分担,根据链路优先级主备备份。

(七)服务器负载均衡

 (八)带宽管理:匹配依据:源安全区域/入接口 目的安全区域/出接口 源地址/地区 目的地址/地区 用户 应用 服务 时间段 报文dscp优先级

1、如果带宽管理与源nat功能同时使用时,配置带宽策略的源地址/地区匹配条件指定的是转换前的地址,若使用的是nat server则匹配条件应该是转换后的地址

(九)RADIUS

Logo

更多推荐