<menu id="ycqsw"></menu><nav id="ycqsw"><code id="ycqsw"></code></nav>
<dd id="ycqsw"><menu id="ycqsw"></menu></dd>
  • <nav id="ycqsw"></nav>
    <menu id="ycqsw"><strong id="ycqsw"></strong></menu>
    <xmp id="ycqsw"><nav id="ycqsw"></nav>
  • 深信服防火墻配置詳細步驟(防火墻的基本配置方法)


    1、防火墻的產品USG 5000 6000 9000 分別是低端、中端、高端產品。

    2、四個區域:(local100、trust85、untrust5、DMZ50)

    3、安全策略:高安全等級區域到低安全等級區域是outbound,反之inbound,但是在配置安全策略方向時候,dmz不能訪問UNtrust、UNtrust不能訪問trust防火墻基礎與配置

    trust-untrust

    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 10.1.1.1 255.255.255.0
     service-manage ping permit        //在接口下開啟ping功能
    #
    interface GigabitEthernet1/0/2
     undo shutdown
     ip address 1.1.1.1 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
     add interface GigabitEthernet1/0/1    //接口加入相應的區域
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
    security-policy              //安全策略
     rule name policy_sec_1  //名稱
      source-zone trust          //源區域
      destination-zone untrust  //目的區域
      source-address 10.1.1.0 24 //源地址
      action permit  

    防火墻基礎與配置

    測試防火墻基礎與配置

    session表

    USG6000密碼是Admin@123;service-manage ping permit //防火墻接口下開啟ping,使用默認的trust區域下接口ping失敗,所以使用了g1/0/1 g1/0/2作為新成員加入了區域中,防火墻是執行默認的缺省策略的,即所有都拒絕,所以需要安全策略來指定流量通過

    在上述實驗中只是配置了一條安全策略,為什么可以實現終端ping通server呢?

    因為在創建了安全策略后呢,終端發來請求的數據包,防火墻收到后呢,創建session表,里面有五元組,即源IP地址源端口號、目的IP地址,目的端口號、協議,回報到了防火墻后,會查看session表,即可通過。但是session表有老化時間,不同的協議,老化時間是不一樣的,能承載會話表的容量也是防火墻的性能之一

    傳統UTM檢查分步驟檢查:入侵檢測、反病毒、URL過濾;下一代防火墻:一體化檢測,檢查的速度加快,即進行一次檢查和處理即可完成所有的安全功能;NGFW安全策略構成:條件、動作、配置文件;配置邏輯,按順序匹配

    多通道協議:比如ftpserver 有兩個端口21 20 如果需要分別與客戶端進行連接,就需要多通道了,當遇到使用隨機端口協商的協議時,單純的包過濾方法無法進行數據流的定義;多通道協議,以ftp-server為例,21是控制端口,建了TCP連接后呢,傳輸數據是20號端口,這時客戶端會發送一個port command報文,告知server使用20端口傳輸數據,會在防火墻上創建一個server-map表,當服務器端建立連接到客戶端,防火墻收到回來的信息,會創建session表關于20號端口,之前配置了安全策略創建了關于21端口的session表, ASPF相當于動態的安全策略,自動獲取相關信息并創建相應的會話表項,保證這些應用的正常通信,這個叫做ASPF,所創建的會話表項叫做server-map(外網UNtrust訪問dmz區域)

    源nat的兩種轉換方式:nat no-pat ,只轉換IP地址,不轉換端口,一對一,比較浪費公網地址,不常用

    1、安全區域的配置 2、安全策略的配置 3、缺省路由,是路由順利達到Internet 4、路由黑洞公網地址組的下一條為null0;5、公網的靜態路由(不需要考慮)

    napt,同時對IP地址和端口進行轉換,比較節約公網地址。

    1、安全區域 2、安全策略 3、公網地址池 4、nat策略 5、缺省路由 6、黑洞路由防火墻基礎與配置

    napt

    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 10.1.1.1 255.255.255.0
    #
    interface GigabitEthernet1/0/2
     undo shutdown
     ip address 1.1.1.1 255.255.255.0
     service-manage ping permit
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
     add interface GigabitEthernet1/0/1
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/2
    #
    ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
    ip route-static 1.1.1.10 255.255.255.255 NULL0
    ip route-static 1.1.1.11 255.255.255.255 NULL0
    //防止路由黑洞,因為配置了默認路由,所以當有回包時目的地址的下一跳又回到了1.1.1.254
    //所以需要配置這兩個公網地址的下一跳為 null0
    nat address-group address-group1 0
     mode pat
     section 0 1.1.1.10 1.1.1.11
    //策略、策略名、區域、IP地址、應用
    security-policy
     rule name policy_sec_1
      source-zone trust
      destination-zone untrust
      source-address 10.1.1.0 24
      action permit
    //策略、策略名、區域、IP地址、應用
    nat-policy    //nat 策略
     rule name policy_nat_1
      source-zone trust
      destination-zone untrust
      source-address 10.1.1.0 24
      action nat address-group address-group1
    #

    防火墻基礎與配置

    測試防火墻基礎與配置

    session表

    nat server (外部網絡訪問內部的dmz區域的server)

    1、安全區域 2、安全策略 3、配置server映射 4、配置默認路由 5、配置黑洞路由防火墻基礎與配置

    nat-server

    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 1.1.1.1 255.255.255.0
     service-manage ping permit
    #
    interface GigabitEthernet1/0/2
     undo shutdown
     ip address 10.2.0.1 255.255.255.0
     service-manage ping permit
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/1
    #
    firewall zone dmz
     set priority 50
     add interface GigabitEthernet1/0/2
    #
    ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
    ip route-static 1.1.1.10 255.255.255.255 NULL0
    #
    security-policy
     rule name policy_sec_1
      source-zone untrust
      destination-zone dmz
      destination-address 10.2.0.0 24
      action permit
    #
    nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
    ww no-reverse
    //配置no-reverse是單向的,如果沒有配置默認是雙向的

    防火墻基礎與配置

    server-map防火墻基礎與配置

    測試防火墻基礎與配置

    server訪問后生成的session表

    //配置了nat server的命令后會自動生成server-map表項,然后等到server對客戶端進行反饋后
    //首先查找server-map表項然后將報文的目的地址和端口轉換為10.2.0.7 8080,據此判斷報文流動方向
    //通過域間安全策略檢查后呢,建立session會話表,將報文轉發到私網

    版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。

    發表評論

    登錄后才能評論
    国产精品区一区二区免费