1、防火墻的產品USG 5000 6000 9000 分別是低端、中端、高端產品。
2、四個區域:(local100、trust85、untrust5、DMZ50)
3、安全策略:高安全等級區域到低安全等級區域是outbound,反之inbound,但是在配置安全策略方向時候,dmz不能訪問UNtrust、UNtrust不能訪問trust
trust-untrust
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.1 255.255.255.0
service-manage ping permit //在接口下開啟ping功能
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1 //接口加入相應的區域
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
security-policy //安全策略
rule name policy_sec_1 //名稱
source-zone trust //源區域
destination-zone untrust //目的區域
source-address 10.1.1.0 24 //源地址
action permit 
測試
session表
USG6000密碼是Admin@123;service-manage ping permit //防火墻接口下開啟ping,使用默認的trust區域下接口ping失敗,所以使用了g1/0/1 g1/0/2作為新成員加入了區域中,防火墻是執行默認的缺省策略的,即所有都拒絕,所以需要安全策略來指定流量通過
在上述實驗中只是配置了一條安全策略,為什么可以實現終端ping通server呢?
因為在創建了安全策略后呢,終端發來請求的數據包,防火墻收到后呢,創建session表,里面有五元組,即源IP地址源端口號、目的IP地址,目的端口號、協議,回報到了防火墻后,會查看session表,即可通過。但是session表有老化時間,不同的協議,老化時間是不一樣的,能承載會話表的容量也是防火墻的性能之一
傳統UTM檢查分步驟檢查:入侵檢測、反病毒、URL過濾;下一代防火墻:一體化檢測,檢查的速度加快,即進行一次檢查和處理即可完成所有的安全功能;NGFW安全策略構成:條件、動作、配置文件;配置邏輯,按順序匹配
多通道協議:比如ftpserver 有兩個端口21 20 如果需要分別與客戶端進行連接,就需要多通道了,當遇到使用隨機端口協商的協議時,單純的包過濾方法無法進行數據流的定義;多通道協議,以ftp-server為例,21是控制端口,建了TCP連接后呢,傳輸數據是20號端口,這時客戶端會發送一個port command報文,告知server使用20端口傳輸數據,會在防火墻上創建一個server-map表,當服務器端建立連接到客戶端,防火墻收到回來的信息,會創建session表關于20號端口,之前配置了安全策略創建了關于21端口的session表, ASPF相當于動態的安全策略,自動獲取相關信息并創建相應的會話表項,保證這些應用的正常通信,這個叫做ASPF,所創建的會話表項叫做server-map(外網UNtrust訪問dmz區域)
源nat的兩種轉換方式:nat no-pat ,只轉換IP地址,不轉換端口,一對一,比較浪費公網地址,不常用
1、安全區域的配置 2、安全策略的配置 3、缺省路由,是路由順利達到Internet 4、路由黑洞公網地址組的下一條為null0;5、公網的靜態路由(不需要考慮)
napt,同時對IP地址和端口進行轉換,比較節約公網地址。
1、安全區域 2、安全策略 3、公網地址池 4、nat策略 5、缺省路由 6、黑洞路由
napt
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage ping permit
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
//防止路由黑洞,因為配置了默認路由,所以當有回包時目的地址的下一跳又回到了1.1.1.254
//所以需要配置這兩個公網地址的下一跳為 null0
nat address-group address-group1 0
mode pat
section 0 1.1.1.10 1.1.1.11
//策略、策略名、區域、IP地址、應用
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action permit
//策略、策略名、區域、IP地址、應用
nat-policy //nat 策略
rule name policy_nat_1
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action nat address-group address-group1
#
測試
session表
nat server (外部網絡訪問內部的dmz區域的server)
1、安全區域 2、安全策略 3、配置server映射 4、配置默認路由 5、配置黑洞路由
nat-server
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.2.0.1 255.255.255.0
service-manage ping permit
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
#
security-policy
rule name policy_sec_1
source-zone untrust
destination-zone dmz
destination-address 10.2.0.0 24
action permit
#
nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 w
ww no-reverse
//配置no-reverse是單向的,如果沒有配置默認是雙向的
server-map
測試
server訪問后生成的session表
//配置了nat server的命令后會自動生成server-map表項,然后等到server對客戶端進行反饋后
//首先查找server-map表項然后將報文的目的地址和端口轉換為10.2.0.7 8080,據此判斷報文流動方向
//通過域間安全策略檢查后呢,建立session會話表,將報文轉發到私網
