您的位置:首页 > 数码常识数码常识
启明星辰防火墙配置(基础配置方法与步骤)
2025-05-12人已围观
启明星辰防火墙配置(基础配置方法与步骤)
1、防火墙的产品USG 5000 6000 9000 分别是低端、中端、高端产品。
启明星辰防火墙配置
2、四个区域:(local100、trust85、untrust5、DMZ50)
3、安全策略:高安全等级区域到低安全等级区域是outbound,反之inbound,但是在配置安全策略方向时候,dmz不能访问UNtrust、UNtrust不能访问trust
trust-untrust
测试
session表
USG6000密码是Admin@123;service-manage ping permit //防火墙接口下开启ping,使用默认的trust区域下接口ping失败,所以使用了g1/0/1 g1/0/2作为新成员加入了区域中,防火墙是执行默认的缺省策略的,即所有都拒绝,所以需要安全策略来指定流量通过
在上述实验中只是配置了一条安全策略,为什么可以实现终端ping通server呢?
因为在创建了安全策略后呢,终端发来请求的数据包,防火墙收到后呢,创建session表,里面有五元组,即源IP地址源端口号、目的IP地址,目的端口号、协议,回报到了防火墙后,会查看session表,即可通过。但是session表有老化时间,不同的协议,老化时间是不一样的,能承载会话表的容量也是防火墙的性能之一
传统UTM检查分步骤检查:入侵检测、反病毒、URL过滤;下一代防火墙:一体化检测,检查的速度加快,即进行一次检查和处理即可完成所有的安全功能;NGFW安全策略构成:条件、动作、配置文件;配置逻辑,按顺序匹配
多通道协议:比如ftpserver 有两个端口21 20 如果需要分别与客户端进行连接,就需要多通道了,当遇到使用随机端口协商的协议时,单纯的包过滤方法无法进行数据流的定义;多通道协议,以ftp-server为例,21是控制端口,建了TCP连接后呢,传输数据是20号端口,这时客户端会发送一个port command报文,告知server使用20端口传输数据,会在防火墙上创建一个server-map表,当服务器端建立连接到客户端,防火墙收到回来的信息,会创建session表关于20号端口,之前配置了安全策略创建了关于21端口的session表, ASPF相当于动态的安全策略,自动获取相关信息并创建相应的会话表项,保证这些应用的正常通信,这个叫做ASPF,所创建的会话表项叫做server-map(外网UNtrust访问dmz区域)
源nat的两种转换方式:nat no-pat ,只转换IP地址,不转换端口,一对一,比较浪费公网地址,不常用
1、安全区域的配置 2、安全策略的配置 3、缺省路由,是路由顺利达到Internet 4、路由黑洞公网地址组的下一条为null0;5、公网的静态路由(不需要考虑)
napt,同时对IP地址和端口进行转换,比较节约公网地址。
1、安全区域 2、安全策略 3、公网地址池 4、nat策略 5、缺省路由 6、黑洞路由
napt
测试
session表
nat server (外部网络访问内部的dmz区域的server)
1、安全区域 2、安全策略 3、配置server映射 4、配置默认路由 5、配置黑洞路由
nat-server
server-map
测试
server访问后生成的session表
上面就是小居数码小编今天给大家介绍的关于(基础配置方法与步骤)的全部内容,希望可以帮助到你,想了解更多关于数码知识的问题,欢迎关注我们,并收藏,转发,分享。
94%的朋友还想知道的:
linux系统防火墙开放指定端口的命令(linux防火墙怎么放行端口)
安装防火墙可以防止ddos攻击(防火墙能不能防ddos攻击)
Linux查看防火墙状态是否打开(linux防火墙关闭和开启命令)
gartner防火墙(gartner企业级防火墙魔力象限)
98377
1、防火墙的产品USG 5000 6000 9000 分别是低端、中端、高端产品。
启明星辰防火墙配置
2、四个区域:(local100、trust85、untrust5、DMZ50)
3、安全策略:高安全等级区域到低安全等级区域是outbound,反之inbound,但是在配置安全策略方向时候,dmz不能访问UNtrust、UNtrust不能访问trust
trust-untrust
测试
session表
USG6000密码是Admin@123;service-manage ping permit //防火墙接口下开启ping,使用默认的trust区域下接口ping失败,所以使用了g1/0/1 g1/0/2作为新成员加入了区域中,防火墙是执行默认的缺省策略的,即所有都拒绝,所以需要安全策略来指定流量通过
在上述实验中只是配置了一条安全策略,为什么可以实现终端ping通server呢?
因为在创建了安全策略后呢,终端发来请求的数据包,防火墙收到后呢,创建session表,里面有五元组,即源IP地址源端口号、目的IP地址,目的端口号、协议,回报到了防火墙后,会查看session表,即可通过。但是session表有老化时间,不同的协议,老化时间是不一样的,能承载会话表的容量也是防火墙的性能之一
传统UTM检查分步骤检查:入侵检测、反病毒、URL过滤;下一代防火墙:一体化检测,检查的速度加快,即进行一次检查和处理即可完成所有的安全功能;NGFW安全策略构成:条件、动作、配置文件;配置逻辑,按顺序匹配
多通道协议:比如ftpserver 有两个端口21 20 如果需要分别与客户端进行连接,就需要多通道了,当遇到使用随机端口协商的协议时,单纯的包过滤方法无法进行数据流的定义;多通道协议,以ftp-server为例,21是控制端口,建了TCP连接后呢,传输数据是20号端口,这时客户端会发送一个port command报文,告知server使用20端口传输数据,会在防火墙上创建一个server-map表,当服务器端建立连接到客户端,防火墙收到回来的信息,会创建session表关于20号端口,之前配置了安全策略创建了关于21端口的session表, ASPF相当于动态的安全策略,自动获取相关信息并创建相应的会话表项,保证这些应用的正常通信,这个叫做ASPF,所创建的会话表项叫做server-map(外网UNtrust访问dmz区域)
源nat的两种转换方式:nat no-pat ,只转换IP地址,不转换端口,一对一,比较浪费公网地址,不常用
1、安全区域的配置 2、安全策略的配置 3、缺省路由,是路由顺利达到Internet 4、路由黑洞公网地址组的下一条为null0;5、公网的静态路由(不需要考虑)
napt,同时对IP地址和端口进行转换,比较节约公网地址。
1、安全区域 2、安全策略 3、公网地址池 4、nat策略 5、缺省路由 6、黑洞路由
napt
测试
session表
nat server (外部网络访问内部的dmz区域的server)
1、安全区域 2、安全策略 3、配置server映射 4、配置默认路由 5、配置黑洞路由
nat-server
server-map
测试
server访问后生成的session表
上面就是小居数码小编今天给大家介绍的关于(基础配置方法与步骤)的全部内容,希望可以帮助到你,想了解更多关于数码知识的问题,欢迎关注我们,并收藏,转发,分享。
94%的朋友还想知道的:
linux系统防火墙开放指定端口的命令(linux防火墙怎么放行端口)
安装防火墙可以防止ddos攻击(防火墙能不能防ddos攻击)
Linux查看防火墙状态是否打开(linux防火墙关闭和开启命令)
gartner防火墙(gartner企业级防火墙魔力象限)
98377
很赞哦! ()
下一篇:返回列表