当前位置:   article > 正文

深信服防火墙配置详细步骤(防火墙的基本配置方法)_深信服防火墙配置手册

深信服防火墙配置手册

 转载至:深信服防火墙配置详细步骤(防火墙的基本配置方法) - 宝瑞资源网

1、防火墙的产品USG 5000 6000 9000 别离是低端、中端、高端产品。

2、四个区域:(local100、trust85、untrust5、DMZ50)

3、安全战略:高安全等级区域到低安全等级区域是outbound,反之inbound,可是在装备安全战略方向时分,dmz不能拜访UNtrust、UNtrust不能拜访trust

trust-untrust

  1. interface GigabitEthernet1/0/1
  2. undo shutdown
  3. ip address 10.1.1.1 255.255.255.0
  4. service-manage ping permit //在接口下敞开ping功用
  5. #
  6. interface GigabitEthernet1/0/2
  7. undo shutdown
  8. ip address 1.1.1.1 255.255.255.0
  9. #
  10. firewall zone trust
  11. set priority 85
  12. add interface GigabitEthernet0/0/0
  13. add interface GigabitEthernet1/0/1 //接口参加相应的区域
  14. #
  15. firewall zone untrust
  16. set priority 5
  17. add interface GigabitEthernet1/0/2
  18. #
  19. security-policy //安全战略
  20. rule name policy_sec_1 //称号
  21. source-zone trust //源区域
  22. destination-zone untrust //意图区域
  23. source-address 10.1.1.0 24 //源地址
  24. action permit

测验

session表

USG6000暗码是Admin@123;service-manage ping permit //防火墙接口下敞开ping,运用默许的trust区域下接口ping失利,所以运用了g1/0/1 g1/0/2作为新成员参加了区域中,防火墙是履行默许的缺省战略的,即一切都回绝,所以需求安全战略来指定流量经过

在上述试验中仅仅装备了一条安全战略,为什么能够完结终端ping通server呢?

由于在创立了安全战略后呢,终端发来恳求的数据包,防火墙收到后呢,创立session表,里边有五元组,即源IP地址源端口号、意图IP地址,意图端口号、协议,报答到了防火墙后,会查看session表,即可经过。可是session表有老化时刻,不同的协议,老化时刻是不一样的,能承载会话表的容量也是防火墙的功用之一

传统UTM查看分过程查看:侵略检测、反病毒、URL过滤;下一代防火墙:一体化检测,查看的速度加速,即进行一次查看和处理即可完结一切的安全功用;NGFW安全战略构成:条件、动作、装备文件;装备逻辑,按次序匹配

多通道协议:比方ftpserver 有两个端口21 20 假如需求别离与客户端进行衔接,就需求多通道了,当遇到运用随机端口洽谈的协议时,单纯的包过滤办法无法进行数据流的界说;多通道协议,以ftp-server为例,21是操控端口,建了TCP衔接后呢,传输数据是20号端口,这时客户端会发送一个port command报文,奉告server运用20端口传输数据,会在防火墙上创立一个server-map表,当服务器端树立衔接到客户端,防火墙收到回来的信息,会创立session表关于20号端口,之前装备了安全战略创立了关于21端口的session表, ASPF相当于动态的安全战略,主动获取相关信息并创立相应的会话表项,确保这些使用的正常通讯,这个叫做ASPF,所创立的会话表项叫做server-map(外网UNtrust拜访dmz区域)

源nat的两种转化方法:nat no-pat ,只转化IP地址,不转化端口,1对1,比较糟蹋公网地址,不常用

1、安全区域的装备 2、安全战略的装备 3、缺省路由,是路由顺畅到达Internet 4、路由黑洞公网地址组的下一条为null0;5、公网的静态路由(不需求考虑)

napt,一起对IP地址和端口进行转化,比较节省公网地址。

1、安全区域 2、安全战略 3、公网地址池 4、nat战略 5、缺省路由 6、黑洞路由

napt

  1. interface GigabitEthernet1/0/1
  2. undo shutdown
  3. ip address 10.1.1.1 255.255.255.0
  4. #
  5. interface GigabitEthernet1/0/2
  6. undo shutdown
  7. ip address 1.1.1.1 255.255.255.0
  8. service-manage ping permit
  9. #
  10. firewall zone trust
  11. set priority 85
  12. add interface GigabitEthernet0/0/0
  13. add interface GigabitEthernet1/0/1
  14. #
  15. firewall zone untrust
  16. set priority 5
  17. add interface GigabitEthernet1/0/2
  18. #
  19. ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
  20. ip route-static 1.1.1.10 255.255.255.255 NULL0
  21. ip route-static 1.1.1.11 255.255.255.255 NULL0
  22. //避免路由黑洞,由于装备了默许路由,所以当有回包时意图地址的下一跳又回到了1.1.1.254
  23. //所以需求装备这两个公网地址的下一跳为 null0
  24. nat address-group address-group1 0
  25. mode pat
  26. section 0 1.1.1.10 1.1.1.11
  27. //战略、战略名、区域、IP地址、使用
  28. security-policy
  29. rule name policy_sec_1
  30. source-zone trust
  31. destination-zone untrust
  32. source-address 10.1.1.0 24
  33. action permit
  34. //战略、战略名、区域、IP地址、使用
  35. nat-policy //nat 战略
  36. rule name policy_nat_1
  37. source-zone trust
  38. destination-zone untrust
  39. source-address 10.1.1.0 24
  40. action nat address-group address-group1
  41. #

测验

session表

nat server (外部网络拜访内部的dmz区域的server)

1、安全区域 2、安全战略 3、装备server映射 4、装备默许路由 5、装备黑洞路由

nat-server

  1. interface GigabitEthernet1/0/1
  2. undo shutdown
  3. ip address 1.1.1.1 255.255.255.0
  4. service-manage ping permit
  5. #
  6. interface GigabitEthernet1/0/2
  7. undo shutdown
  8. ip address 10.2.0.1 255.255.255.0
  9. service-manage ping permit
  10. #
  11. firewall zone untrust
  12. set priority 5
  13. add interface GigabitEthernet1/0/1
  14. #
  15. firewall zone dmz
  16. set priority 50
  17. add interface GigabitEthernet1/0/2
  18. #
  19. ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
  20. ip route-static 1.1.1.10 255.255.255.255 NULL0
  21. #
  22. security-policy
  23. rule name policy_sec_1
  24. source-zone untrust
  25. destination-zone dmz
  26. destination-address 10.2.0.0 24
  27. action permit
  28. #
  29. nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
  30. ww no-reverse
  31. //装备no-reverse是单向的,假如没有装备默许是双向的

server-map

测验

server拜访后生成的session表

  1. //装备了nat server的指令后会主动生成server-map表项,然后比及server对客户端进行反应后
  2. //首要查找server-map表项然后将报文的意图地址和端口转化为10.2.0.7 8080,据此判别报文活动方向
  3. //经过域间安全战略查看后呢,树立session会话表,将报文转发到私网

转载至:深信服防火墙配置详细步骤(防火墙的基本配置方法) - 宝瑞资源网

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/704894
推荐阅读
相关标签
  

闽ICP备14008679号