锐捷防火墙(WEB)——常见问题

发布于:2023-09-28 ⋅ 阅读:(213) ⋅ 点赞:(0)

目录

Ⅰ  产品知识

Ⅱ  防火墙部署

Ⅲ  功能配置

Ⅳ  访问控制策略

Ⅴ  UTM安全策略相关

Ⅵ  运维监控


 

Ⅰ  产品知识

1、RG-WALL 1600 系列全新下一代防火墙总共有几款型号?

答:总共有6款型号、两款低端桌面型设备S3100和S3600;两款中端1U设备M5100和M6600;两款高端2U设备X8500和X9300.

2、RG-WALL 1600 系列全新下一代防火墙硬件架构是什么样子的?

答:全新NGFW采用多核cpu+ASIC芯片的一种处理架构,芯片分为两种、一种是NP芯片、一种是CP芯片,NP芯片他是处理网络层以及传输层的一些数据转发、可以达到线速转发。一旦防火墙建立会话之后,在后续的匹配同一个会话的数据包都会有NP芯片直接处理转发。还有一种是CP芯片,CP芯片主要是用于处理应用层内容加速的,比如ips、防病毒、应用过滤等需要应用层检测的都会由CPU送到CP芯片进行加速处理。正式因为有了NP芯片和CP芯片的处理架构,所以全新NGFW具有非常高的性能。

3、哪些型号带交换口?是否可以转换成路由口?如何转换?

答:S3100、S3600、M5100带交换口,均可以转换为交换口,转换方式如下:

  • S3100、S3600

config system global

   set internal-switch-mode interface

  • M5100

print cliovrd enabl4e                

 config system virtual-switch

         delete lan

注意:执行操作前,确保internal或LAN口没有被防火墙策略、dhcp、路由等引用

4、哪些型号有带bypass接口?哪些型号有combo接口?

答:带bypass接口的只有X8500,带两对bypass接口,带combo共享接口的只有X8500,两组共8个光电复用口。

5、S3100、S3600设备面板的小孔是否可以用来恢复出厂

      答:S3100,S3600设备面板的小孔可以用来恢复出厂:防火墙系统正常启动后(可以ping通或登录管理页面)30S内,长按10S左右,系统将自动重启,届时将恢复为出厂设置;

6、combo光电复用口默认什么优先,如何切换?

      答:combo口没有光电优先之分,插什么口,什么口就可以用,不需要切换。

7、MGMT口使用上有什么限制?交换口使用上有什么限制?转换为路由口呢?

     答:

(1)MGMT口不建议用作业务口,没有连接芯片,无法实现加速

(2)交换口不建议连接不同的安全区域,不受策略限制,就以一个交换机。

(3)交换口转换为路由口也不建议用在主干链路上,因为转换过来的所有路由口是共享总线的,每个接口达不到千兆,在性能上面有限制,特别是在测试性能的时候避免使用!


Ⅱ  防火墙部署

1、防火墙支持几种模式

答:防火墙支持nat(路由模式)和透明模式两种模式,不支持混合模式。

2、透明模式和nat(路由模式)有什么区别

答:透明模式不支持路由功能、不支持接口模式ipsecvpn、不支持sslvpn、l2tp、pptp、gre功能。

3、如何实现混合模式场景需求

答:如果需要实现混合模式的场景需求,需要采用vdom方式来实现,把防火划分成两个虚拟域,一个虚拟域做透明模式,另外一个虚拟域做路由模式。

4、什么是vdom(虚拟域)模式

答:虚拟域(VDOM),可以理解为虚拟防火墙,是一种将一个RG-WALL设备分为两个或两个以上虚拟设备的技术,它能起到多个独立设备的作用。VDOM可提供单独防火墙策略,

在NAT/路由模式下,它可完全分开配置,从而为各连通网络或组织提供路由或VPN服务,同时vdom之间也可以互访。设备的系统资源可以手动分配给不同的vdom。一般常用

于需要完成独立分割的多个网络,比如云环境;当存在多个区域,即有透明模式又有路由模式的混合环境,由于NGFW只支持透明合适和nat路由模式,所以这种环境必须用vdom

功能来解决。

5、防火墙是否支持盘路部署模式?

答:支持盘路部署模式,接口开启sniffer模式,做数据分析之用,使用场景较少,可以用于ips测试回访攻击包使用

6、wan口可以单做内网口使用吗?

Wan口可以做内网口使用,接口的名称只是一个代号,不具有特殊特性。可以按照自己习惯以及现场环境灵活使用


Ⅲ  功能配置

1、如何实现源nat,防火墙策略中启用NAT、ip地址池、和中央NAT分别是什么意思?

答:源nat即源地址转换,源nat在防火墙策略中实现,通过开启nat、引用ip地址池、和引用中央nat来实现源地址转换。

启用NAT:代表源地址转换为此策略出接口的ip地址

ip地址池:如果选择了ip地址池,代表源地址转换为ip地址池中的ip地址,或者也可以直接定义源地址对应关系,不受策略限制。

中央NAT:中央NAT是一个单独的地址转换表,防火墙策略选择了中央nat后,会根据策略的源地址去到中央nat查找匹配相应的转换关系。

2、什么是虚拟ip?

答:虚拟ip即vip,虚拟ip是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟ip的映射关系会影响到源地址转换,也就是,防火墙会优先匹配虚拟ip的映射关系,再匹配防火墙策略中选择的源地址转换方式。

2、如何实现目的nat?

答:目的nat即目的转换,目的转换在 防火墙策略中实现,通过事先新建一个vip,然后在防火墙策略中的目的选择vpn即可实现目的地址映射。

3、如何实现双向nat?

答:如果要实现双向地址转换,在防火墙策略的目的选择相应的vip,然后在策略中启用nat或者引用ip地址池,或者直接使用中央nat。

4、接口和区的有什么关系

答:区域可以包含多个接口,可以理解为接口组,接口一旦划入到区中,就不能单独做策略,在防火墙策略中只能找到相应的区,而无法选择所划入区的接口了,所以区一般不会使用。

5、内网用户需要通过公网映射地址访问内部服务器,需要什么特殊配置?

答:做好外网访问内网的映射后,只需要增加一条内网访问外网的的防火墙策略即可。

6、HA主备模式系统升级是否会中断业务,如何操作?

答:主备防火墙升级系统不会中断,只要按照正常的方式升级即可,通过管理主墙,上传版本文件后,主墙把版本文件同步给备墙,备墙先升级,备墙升级完后,主墙开始升级,升级过程中会切换到备墙工作,整个过程透明,无需其他额外操作,通单台升级操作一样。

7、Sslvpn支持几种模式?是否支持sslvpn的site-to-site模式?

  • 支持代理模式:代理模式只支持B/S架构的http、https应用代理
  • 支持客户端模式:即隧道模式,无应用限制。
  • 不支持插件方式
  • 不支持site-to-site模式

8、移动终端vpn支持情况?

答:Ipsecvpn支持ios和android,ios和android均采用系统自带的客户端

      Sslvpn不支持ios,也不支持android

9、广域网加速功能是所有型号都支持吗?

答:不带硬盘的型号不支持广域网加速功能,因此S3100M6600没有带硬盘,所以不支持。

10、防火墙支持stp功能吗?

答:只有低端S3100S3600M5100支持,高端M6600X8500X9300不支持

11、防火墙是否支持802.1x

答:只有低端S3100S3600M5100支持,高端M6600X8500X9300不支持

12、防火墙支持链路聚合802.3ad功能吗?

答:中高端M5100M6600X8500X9300支持,低端S3100S3600不支持。

13、转换或接口时提示被占用,如何查找接口被哪些模块被调用?

答:使用diagnose sys checkused system.interface.name  xxxx 命令查看,例如以下查看internal被调用

 RG-WALL#diagnose sys checkused system.interface.name internal

entry used by table system.dhcp.server:name 'internal_dhcp_server'

entry used by table firewall.policy:policyid '1'

entry used by table router.static:seq-num '1'

14、外网WEB登陆提示登陆失败次数过多,请几分钟后再试,内网登陆正常

        答:已确认为P3版本之前软件bug,P3及之后版本已修复解决 


Ⅳ  访问控制策略

关键词:顺序、默认隐藏规则、状态检测

1、主要技术点说明

(1)防火墙策略基于不同的源目标接口,IP地址,服务,时间等来控制网络流量及会话

(2)防火墙策略的匹配规则为由上至下,匹配到一条规则就终止不再往下匹配;防火墙通过序号说明策略前后关系,序号越小则位置越前

(3)如果网络流量未匹配任意策略,那么将会命中隐含任意接口至任意接口的拒绝策略

(4)防火墙策略的顺序至关重要,策略位置不正确可能导致规则不生效或者影响其他策略的正常工作,所以每次新建策略都需要确认该策略是否处于合理的位置,策略的调整可以通过选中策略,将其移动到指定策略之前或之后。简单来说,颗粒度越细的策略应该放在越前面的位置

(5)简单场景1:防火墙部署为出口网关仅提供内部用户上网功能,在这种情况下在设置了允许内部用户访问互联网的策略后,是否需要再设置一条互联网到内部用户允许的策略,便于返回的数据顺利通过防火墙?

        答:不需要;全新NGFW是状态检测防火墙。防火墙建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。从互联网返回的数据包到达防火墙后,防火墙检测该数据包符合之前建立的会话状态,则直接放行,无需另外再设置访问控制策略;


Ⅴ  UTM安全策略相关

1、代理模式和流模式的区别

答:代理模式是在内存中把需要检测的内容先缓存下来,再做全面整体的分析,这种方式检测比较准确,但是延迟比较大,耗性能;

基于流的检查方法在设备时进行检查,无需缓冲。在每个流量包到达时即进行处理和发送,无需等待整个文件或网页等。基于流量的方法的优点是速度快,延迟小,但是缺点是在数据分析中不准确,错误率比较高。

2、数据防泄漏功能主要用于做什么

答:数据防泄漏主要用于,保护敏感信息、数据、文件等不被外传,泄漏,可以通过文件类型、文件指纹、文件水印、文件内容信息、文件大小、以及文件是否加密等多种方式来实现敏感文件数据通过防火墙外传。

3、数据防泄漏中的指纹是什么?如何实现这指纹方式的数据防泄漏

答:指纹就是通过MD5算出来的一串唯一的字符串,操作过程是,通过把敏感文件传到防火墙上,进行指纹识别(分块MD5验证),后续这些文件经过防火墙传输时,就会比配到相应的指纹,则无法被传输,也就达到敏感数据不被泄露的目的。


Ⅵ  运维监控

1、如何查看设备的cpu、内存、磁盘等信息

答:可以在web界面的首页,查看设备cpu、内存、磁盘的使用情况,也可以通过命令get system performance status查看系统资源更详细的信息

2、如何查看用户流量的排名

答:进入web管理界面,在系统管理--面板的菜单里面,找到源排行即可查看用户流量的排名

3、如何查看应用会话情况

答:进入web管理界面,在系统管理--面板的菜单里面,找到应用排行即可查看应用的排名情况

4、如何查看设备接口的流量

答:进入web管理界面,在系统管理--面板的菜单里面,找到流量情况即可查看设备接口的流量情况,可添加微件以及编辑微件的方式来查看更多的接口流量情况。

5、为什么web界面无法显示日志

答:①开启相关功能或者策略的日志记录

      ②以内存形式记录日志的话,需要命令开启内存日志显示。无硬盘型号只能通过内存记录日志。

config log memory setting

set status enable

本文含有隐藏内容,请 开通VIP 后查看