USG6000V Virtual Service Gateway — Huawei products

Usg6000v virtual service gateway — huawei products

Командная строка huawei usg

Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

Еще несколько отличий:

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

display current-configuration

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

display version 

у Cisco подобная команда выглядит

show version

Проверяем:

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Линейки huawei usg и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Его краткие характеристики следующие:
Интерфейсы: 8GE
Питание: AC Adapter
Firewall throughput: 2 Gbit/s
IPS throughput:  700 Mbit/s
IPS AV throughput: 700 Mbit/s
Concurrent sessions: 500,000
VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Настройка nat/pat для выхода локальной сети в интернет

Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security.

В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.

После чего создадим NAT policy для зоны trust для выхода в Интернет, «маскируясь» внешним IP-адресом:

После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.

Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.

Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site,  SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.

Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.

Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

• Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
• DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
• Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
• Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности.  Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

[USG6300]ping 8.8.8.8
  PING 8.8.8.8: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 8.8.8.8 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях.

В случае применения исходящей политики по отношению к трафику в направлении LOCAL → UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и  места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.

Настройка с помощью web-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.

Обновление по устройства

Текущая версия ПО (по состоянию на март 2021 года) — v500r001c30spc100.

Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

***********************************************************
 *                                                         *
 *                       N G F W                           *
 *                                                         *
 ***********************************************************

Base      Bootrom Ver : 060 Dec  4 2021 06:55:42
Extended  Bootrom Ver : 060 Dec  4 2021 07:00:34
CPLD           BigVer : 02
CPLD           SmlVer : 00 2021-03-19
PCB               Ver : SUE1MPUB REV A
BOM               Ver : 000
CPU L2 Cache          : 2048 KB
CPU Core Frequency    : 1000 MHz
BUS Frequency         : 600 MHz
Mem Size              : 2048 MB

Press Ctrl B to enter main menu...

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei:  O&m15213      (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

====================< Extend Main Menu >====================
| <1> Boot System                                          |
| <2> Set Startup Application Software and Configuration   |
| <3> File Management Menu...                              |
| <4> Load and Upgrade Menu...                             |
| <5> Modify Bootrom Password                              |
| <6> Reset Factory Configuration                          |
| <0> Reboot                                               |
| ---------------------------------------------------------|
| Press Ctrl T to Enter Manufacture Test Menu...           |
| Press Ctrl Z to Enter Diagnose Menu...                   |
============================================================
Enter your choice(0-6):

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.