深信服防火墙配置详细步骤（防火墙的基本配置方法）_深信服防火墙配置手册

 转载至：深信服防火墙配置详细步骤（防火墙的基本配置方法） - 宝瑞资源网

1、防火墙的产品USG 5000 6000 9000 别离是低端、中端、高端产品。

2、四个区域：（local100、trust85、untrust5、DMZ50）

3、安全战略：高安全等级区域到低安全等级区域是outbound，反之inbound，可是在装备安全战略方向时分，dmz不能拜访UNtrust、UNtrust不能拜访trust

trust-untrust

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 service-manage ping permit        //在接口下敞开ping功用
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1    //接口参加相应的区域
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
security-policy              //安全战略
 rule name policy_sec_1  //称号
  source-zone trust          //源区域
  destination-zone untrust  //意图区域
  source-address 10.1.1.0 24 //源地址
  action permit  

测验

session表

USG6000暗码是Admin@123；service-manage ping permit //防火墙接口下敞开ping，运用默许的trust区域下接口ping失利，所以运用了g1/0/1 g1/0/2作为新成员参加了区域中，防火墙是履行默许的缺省战略的，即一切都回绝，所以需求安全战略来指定流量经过

在上述试验中仅仅装备了一条安全战略，为什么能够完结终端ping通server呢？

由于在创立了安全战略后呢，终端发来恳求的数据包，防火墙收到后呢，创立session表，里边有五元组，即源IP地址源端口号、意图IP地址，意图端口号、协议，报答到了防火墙后，会查看session表，即可经过。可是session表有老化时刻，不同的协议，老化时刻是不一样的，能承载会话表的容量也是防火墙的功用之一

传统UTM查看分过程查看：侵略检测、反病毒、URL过滤；下一代防火墙：一体化检测，查看的速度加速，即进行一次查看和处理即可完结一切的安全功用；NGFW安全战略构成：条件、动作、装备文件；装备逻辑，按次序匹配

多通道协议：比方ftpserver 有两个端口21 20 假如需求别离与客户端进行衔接，就需求多通道了，当遇到运用随机端口洽谈的协议时，单纯的包过滤办法无法进行数据流的界说；多通道协议，以ftp-server为例，21是操控端口，建了TCP衔接后呢，传输数据是20号端口，这时客户端会发送一个port command报文，奉告server运用20端口传输数据，会在防火墙上创立一个server-map表，当服务器端树立衔接到客户端，防火墙收到回来的信息，会创立session表关于20号端口，之前装备了安全战略创立了关于21端口的session表， ASPF相当于动态的安全战略，主动获取相关信息并创立相应的会话表项，确保这些使用的正常通讯，这个叫做ASPF,所创立的会话表项叫做server-map（外网UNtrust拜访dmz区域）

源nat的两种转化方法：nat no-pat ，只转化IP地址，不转化端口，1对1，比较糟蹋公网地址，不常用

1、安全区域的装备 2、安全战略的装备 3、缺省路由，是路由顺畅到达Internet 4、路由黑洞公网地址组的下一条为null0；5、公网的静态路由（不需求考虑）

napt，一起对IP地址和端口进行转化，比较节省公网地址。

1、安全区域 2、安全战略 3、公网地址池 4、nat战略 5、缺省路由 6、黑洞路由

napt

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
//避免路由黑洞，由于装备了默许路由，所以当有回包时意图地址的下一跳又回到了1.1.1.254
//所以需求装备这两个公网地址的下一跳为 null0
nat address-group address-group1 0
 mode pat
 section 0 1.1.1.10 1.1.1.11
//战略、战略名、区域、IP地址、使用
security-policy
 rule name policy_sec_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action permit
//战略、战略名、区域、IP地址、使用
nat-policy    //nat 战略
 rule name policy_nat_1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 24
  action nat address-group address-group1
#

测验

session表

nat server （外部网络拜访内部的dmz区域的server）

1、安全区域 2、安全战略 3、装备server映射 4、装备默许路由 5、装备黑洞路由

nat-server

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.2.0.1 255.255.255.0
 service-manage ping permit
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
#
security-policy
 rule name policy_sec_1
  source-zone untrust
  destination-zone dmz
  destination-address 10.2.0.0 24
  action permit
#
nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
ww no-reverse
//装备no-reverse是单向的，假如没有装备默许是双向的

server-map

测验

server拜访后生成的session表

//装备了nat server的指令后会主动生成server-map表项，然后比及server对客户端进行反应后
//首要查找server-map表项然后将报文的意图地址和端口转化为10.2.0.7 8080，据此判别报文活动方向
//经过域间安全战略查看后呢，树立session会话表，将报文转发到私网

转载至：深信服防火墙配置详细步骤（防火墙的基本配置方法） - 宝瑞资源网