深信服防火墻配置詳細步驟（防火墻的基本配置方法）

1、防火墻的產品USG 5000 6000 9000 分別是低端、中端、高端產品。

2、四個區域：（local100、trust85、untrust5、DMZ50）

3、安全策略：高安全等級區域到低安全等級區域是outbound，反之inbound，但是在配置安全策略方向時候，dmz不能訪問UNtrust、UNtrust不能訪問trust

trust-untrust

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage ping permit        //在接口下開啟ping功能
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1    //接口加入相應的區域
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
security-policy              //安全策略
 rule name policy_sec_1  //名稱
  source-zone trust          //源區域
  destination-zone untrust  //目的區域
  source-address 10.1.1.0 24 //源地址
  action permit  

測試

session表

USG6000密碼是Admin@123；service-manage ping permit //防火墻接口下開啟ping，使用默認的trust區域下接口ping失敗，所以使用了g1/0/1 g1/0/2作為新成員加入了區域中，防火墻是執行默認的缺省策略的，即所有都拒絕，所以需要安全策略來指定流量通過

在上述實驗中只是配置了一條安全策略，為什么可以實現終端ping通server呢？

因為在創建了安全策略后呢，終端發來請求的數據包，防火墻收到后呢，創建session表，里面有五元組，即源IP地址源端口號、目的IP地址，目的端口號、協議，回報到了防火墻后，會查看session表，即可通過。但是session表有老化時間，不同的協議，老化時間是不一樣的，能承載會話表的容量也是防火墻的性能之一

傳統UTM檢查分步驟檢查：入侵檢測、反病毒、URL過濾；下一代防火墻：一體化檢測，檢查的速度加快，即進行一次檢查和處理即可完成所有的安全功能；NGFW安全策略構成：條件、動作、配置文件；配置邏輯，按順序匹配

多通道協議：比如ftpserver 有兩個端口21 20 如果需要分別與客戶端進行連接，就需要多通道了，當遇到使用隨機端口協商的協議時，單純的包過濾方法無法進行數據流的定義；多通道協議，以ftp-server為例，21是控制端口，建了TCP連接后呢，傳輸數據是20號端口，這時客戶端會發送一個port command報文，告知server使用20端口傳輸數據，會在防火墻上創建一個server-map表，當服務器端建立連接到客戶端，防火墻收到回來的信息，會創建session表關于20號端口，之前配置了安全策略創建了關于21端口的session表， ASPF相當于動態的安全策略，自動獲取相關信息并創建相應的會話表項，保證這些應用的正常通信，這個叫做ASPF,所創建的會話表項叫做server-map（外網UNtrust訪問dmz區域）

源nat的兩種轉換方式：nat no-pat ，只轉換IP地址，不轉換端口，一對一，比較浪費公網地址，不常用

1、安全區域的配置 2、安全策略的配置 3、缺省路由，是路由順利達到Internet 4、路由黑洞公網地址組的下一條為null0；5、公網的靜態路由（不需要考慮）

napt，同時對IP地址和端口進行轉換，比較節約公網地址。

1、安全區域 2、安全策略 3、公網地址池 4、nat策略 5、缺省路由 6、黑洞路由

napt

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
//防止路由黑洞，因為配置了默認路由，所以當有回包時目的地址的下一跳又回到了1.1.1.254
//所以需要配置這兩個公網地址的下一跳為 null0
nat address-group address-group1 0
 mode pat
 section 0 1.1.1.10 1.1.1.11
//策略、策略名、區域、IP地址、應用
security-policy
 rule name policy_sec_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action permit
//策略、策略名、區域、IP地址、應用
nat-policy    //nat 策略
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action nat address-group address-group1
#

測試

session表

nat server （外部網絡訪問內部的dmz區域的server）

1、安全區域 2、安全策略 3、配置server映射 4、配置默認路由 5、配置黑洞路由

nat-server

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.2.0.1 255.255.255.0
 service-manage ping permit
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
#
security-policy
 rule name policy_sec_1
  source-zone untrust
  destination-zone dmz
  destination-address 10.2.0.0 24
  action permit
#
nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
ww no-reverse
//配置no-reverse是單向的，如果沒有配置默認是雙向的

server-map

測試

server訪問后生成的session表

//配置了nat server的命令后會自動生成server-map表項，然后等到server對客戶端進行反饋后
//首先查找server-map表項然后將報文的目的地址和端口轉換為10.2.0.7 8080，據此判斷報文流動方向
//通過域間安全策略檢查后呢，建立session會話表，將報文轉發到私網