1.防火墙USG 5000 6000 9000的产品分别是低端、中端和高端产品 。
2.四个区域:(本地100、信任85、不信任5、DMZ50)
3.安全策略:高安全级别区域到低安全级别区域为出站,否则为入站 。但是,在配置安全策略方向时,dmz不能访问UNtrust,UNtrust也不能访问trust 。
信任-不信任
interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0 service-manage ping permit //在接口下开启ping功能#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1 //接口加入相应的区域#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#security-policy //安全策略 rule name policy_sec_1 //名称 source-zone trust //源区域 destination-zone untrust //目的区域 source-address 10.1.1.0 24 //源地址 action permit
试验
会话表
USG6000密码是Admin @ 123;服务管理ping permit // ping在防火墙接口下开启,默认信任区域下接口ping失败,于是g1/0/1 g1/0/2作为新成员加入该区域 。防火墙实施默认策略,即拒绝所有流量,因此需要安全策略来指定流量 。
在上面的实验中,只配置了一个安全策略 。为什么可以实现终端ping服务器?
因为安全策略创建后,终端发送请求的数据包,防火墙接收后创建会话表,会话表包含五个元组,即源IP地址、源端口号、目的IP地址、目的端口号、协议 。向防火墙报告后,它将检查会话表并通过 。但是会话表是有老化时间的,不同的协议老化时间不一样 。承载会话表的能力也是防火墙的性能之一 。
传统的UTM检查分为几个步骤:入侵检测、反病毒、URL过滤;下一代防火墙:集成检测,检查速度加快,即一次检查处理即可完成所有安全功能;NGFW安全策略由条件、动作和配置文件组成;配置,按顺序匹配
多通道协议:例如,ftpserver有两个端口21 20 。如果需要单独与客户端连接,则需要多通道 。当遇到使用随机端口协商的协议时,简单的包过滤方法无法定义数据流;多通道协议,以ftp-server为例,21是控制端口 。TCP连接建立后,传输的数据是端口20 。此时,客户端会发送端口命令消息,告知服务器使用端口20传输数据,防火墙上会创建一个服务器映射表 。当服务器连接到客户端时,防火墙将接收信息,将为端口20创建会话表,并且之前已经配置了端口21的会话表 。ASPF相当于一个动态的安全策略,自动获取相关信息并创建相应的会话条目,保证这些应用的正常通信 。这称为ASPF,创建的会话条目称为server-map(外部网络不信任访问dmz区域) 。
源nat的两种转换方法:nat no-pat,只转换IP地址,不转换端口,一对一,浪费公网地址,不常用 。
1.安全区域2的配置 。安全策略3的配置 。默认路由是指路由成功到达互联网4,黑洞公网的下一个地址组为null 0;5.公网静态路由(无需考虑)
Napt,同时对IP地址和端口进行转换,保存公网地址 。
1.安全区域2、安全策略3、公共网络地址池4、nat策略5、默认路由6和黑洞路由 。
网络地址端口转换
interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0ip route-static 1.1.1.11 255.255.255.255 NULL0//防止路由黑洞,因为配置了默认路由,所以当有回包时目的地址的下一跳又回到了1.1.1.254//所以需要配置这两个公网地址的下一跳为 null0nat address-group address-group1 0 mode pat section 0 1.1.1.10 1.1.1.11//策略、策略名、区域、IP地址、应用security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit//策略、策略名、区域、IP地址、应用nat-policy //nat 策略 rule name policy_nat_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group address-group1#
试验
会话表
Nat服务器(外部网络访问内部dmz区域的服务器)
1.安全区域2,安全策略3,服务器映射配置4,默认路由配置5,黑洞路由配置 。
NAT-服务器
interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage ping permit#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0#security-policy rule name policy_sec_1 source-zone untrust destination-zone dmz destination-address 10.2.0.0 24 action permit#nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse//配置no-reverse是单向的,如果没有配置默认是双向的
服务器地图
试验
服务器访问后生成的会话表
//配置了nat server的命令后会自动生成server-map表项,然后等到server对客户端进行反馈后//首先查找server-map表项然后将报文的目的地址和端口转换为10.2.0.7 8080,据此判断报文流动方向//通过域间安全策略检查后呢,建立session会话表,将报文转发到私网
- 刘涛421是真的吗?刘涛胡军深夜对戏,真假?
- 张国荣唐鹤德有关系吗?他们解释了什么是真爱
- 你怎么知道自己被暗恋了?暗恋你的人往往有四种表现 。
- 了解燃气安检流程,不再上当受骗
- 哪个系统好用(普通手机系统)
推荐阅读
- 大山上的雾是怎样形成的?又是怎样消失的?
- 酸豇豆的做法大全
- 新手怎么养猫咪幼崽 怎么养小猫
- 昆明周边好玩的地方
- 电话用英语怎么说phone 电话用英语怎么说
- 拼多多免费推广软件 拼多多怎么推广
- 草鱼酸菜鱼做法
- 怎么煮毛豆才好吃 毛豆怎么做
- 江苏大学在哪里