1. 首頁 > 經驗知識 > >

機房防火墻怎么配置 怎么設置防火墻

生活經驗知識分享

1.防火墻USG 5000 6000 9000的產品分別是低端、中端和高端產品 。
2.四個區域:(本地100、信任85、不信任5、DMZ50)
3.安全策略:高安全級別區域到低安全級別區域為出站,否則為入站 。但是,在配置安全策略方向時,dmz不能訪問UNtrust,UNtrust也不能訪問trust 。
信任-不信任
interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0 service-manage ping permit //在接口下開啟ping功能#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1 //接口加入相應的區域#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#security-policy //安全策略 rule name policy_sec_1 //名稱 source-zone trust //源區域 destination-zone untrust //目的區域 source-address 10.1.1.0 24 //源地址 action permit
試驗
會話表
USG6000密碼是Admin @ 123;服務管理ping permit // ping在防火墻接口下開啟,默認信任區域下接口ping失敗,于是g1/0/1 g1/0/2作為新成員加入該區域 。防火墻實施默認策略,即拒絕所有流量,因此需要安全策略來指定流量 。
在上面的實驗中,只配置了一個安全策略 。為什么可以實現終端ping服務器?
因為安全策略創建后,終端發送請求的數據包,防火墻接收后創建會話表,會話表包含五個元組,即源IP地址、源端口號、目的IP地址、目的端口號、協議 。向防火墻報告后,它將檢查會話表并通過 。但是會話表是有老化時間的,不同的協議老化時間不一樣 。承載會話表的能力也是防火墻的性能之一 。
傳統的UTM檢查分為幾個步驟:入侵檢測、反病毒、URL過濾;下一代防火墻:集成檢測,檢查速度加快,即一次檢查處理即可完成所有安全功能;NGFW安全策略由條件、動作和配置文件組成;配置,按順序匹配
多通道協議:例如,ftpserver有兩個端口21 20 。如果需要單獨與客戶端連接,則需要多通道 。當遇到使用隨機端口協商的協議時,簡單的包過濾方法無法定義數據流;多通道協議,以ftp-server為例,21是控制端口 。TCP連接建立后,傳輸的數據是端口20 。此時,客戶端會發送端口命令消息,告知服務器使用端口20傳輸數據,防火墻上會創建一個服務器映射表 。當服務器連接到客戶端時,防火墻將接收信息,將為端口20創建會話表,并且之前已經配置了端口21的會話表 。ASPF相當于一個動態的安全策略,自動獲取相關信息并創建相應的會話條目,保證這些應用的正常通信 。這稱為ASPF,創建的會話條目稱為server-map(外部網絡不信任訪問dmz區域) 。
源nat的兩種轉換方法:nat no-pat,只轉換IP地址,不轉換端口,一對一,浪費公網地址,不常用 。
1.安全區域2的配置 。安全策略3的配置 。默認路由是指路由成功到達互聯網4,黑洞公網的下一個地址組為null 0;5.公網靜態路由(無需考慮)
Napt,同時對IP地址和端口進行轉換,保存公網地址 。
1.安全區域2、安全策略3、公共網絡地址池4、nat策略5、默認路由6和黑洞路由 。
網絡地址端口轉換
interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0ip route-static 1.1.1.11 255.255.255.255 NULL0//防止路由黑洞,因為配置了默認路由,所以當有回包時目的地址的下一跳又回到了1.1.1.254//所以需要配置這兩個公網地址的下一跳為 null0nat address-group address-group1 0 mode pat section 0 1.1.1.10 1.1.1.11//策略、策略名、區域、IP地址、應用security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit//策略、策略名、區域、IP地址、應用nat-policy //nat 策略 rule name policy_nat_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group address-group1#
試驗
會話表
Nat服務器(外部網絡訪問內部dmz區域的服務器)
1.安全區域2,安全策略3,服務器映射配置4,默認路由配置5,黑洞路由配置 。
NAT-服務器
interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage ping permit#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0#security-policy rule name policy_sec_1 source-zone untrust destination-zone dmz destination-address 10.2.0.0 24 action permit#nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse//配置no-reverse是單向的,如果沒有配置默認是雙向的
服務器地圖
試驗
服務器訪問后生成的會話表
//配置了nat server的命令后會自動生成server-map表項,然后等到server對客戶端進行反饋后//首先查找server-map表項然后將報文的目的地址和端口轉換為10.2.0.7 8080,據此判斷報文流動方向//通過域間安全策略檢查后呢,建立session會話表,將報文轉發到私網

  • 劉濤421是真的嗎?劉濤胡軍深夜對戲,真假?
  • 張國榮唐鶴德有關系嗎?他們解釋了什么是真愛
  • 你怎么知道自己被暗戀了?暗戀你的人往往有四種表現 。
  • 了解燃氣安檢流程,不再上當受騙
  • 哪個系統好用(普通手機系統)
【機房防火墻怎么配置 怎么設置防火墻】-- 展開閱讀全文 --

    推薦閱讀