上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
1.4.1 Trust和Untrust域间:允许内网用户访问公网
策略一般都是优先级高的在前,优先级低的在后。
policy 1:允许源地址为10.10.10.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。 //如果不加policy source就是指any,如果不加policy destination目的地址就是指any。
[USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1
[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令,或者firewall packet-filter default permit all,但是这样不安全。否则内网不能访问公网。
注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust outbound。这时候policy source ip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。只要是outbound,即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。 由优先级低的区域访问优先级高的区域用inbound,比如是policy interzone untrust trust inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policy interzone trust untrust inbound,这时候policy source ip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。
总结:outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。
inbount时,source地址为优先级低的地址,destination地址为优先级高的地址 配置完成后可以使用display policy interzone trust untrust来查看策略。
1.4.2 DMZ和Untrust域间:从公网访问内部服务器
policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过 policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器 只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
注意:在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下一条了,假如先写的policy 3后写的policy 2,那么就先执行policy 3里的语句,如果policy 3里和policy 2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:policy 2里允许192.168.0.1通过,policy 3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。
[USG5300] policy interzone untrust dmz inbound
[USG5300-policy-interzone-dmz-untrust-inbound] policy 2
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 [USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp [USG5300-policy-interzone-dmz-untrust-inbound-2] action permit [USG5300-policy-interzone-dmz-untrust-inbound-2] quit [USG5300-policy-interzone-dmz-untrust-inbound] policy 3
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0 [USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http [USG5300-policy-interzone-dmz-untrust-inbound-3] action permit [USG5300-policy-interzone-dmz-untrust-inbound-3] quit [USG5300-policy-interzone-dmz-untrust-inbound] quit
应用FTP的NAT ALG功能。
[USG5300] firewall interzone dmz untrust ###优先级高的区域在前 [USG5300-interzone-dmz-untrust] detect ftp [USG5300-interzone-dmz-untrust] quit
在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NAT ALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话,可以不需要再重复配置NAT ALG功能。 两者的区别在于:
? ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。 ? NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。 在域间执行detect命令,将同时开启两个功能。
配置内部服务器:
[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp
1.4.3 NAT策略
Trust和Untrust域间: 如果是同一个区域,比如trust到trust就是域内。 基于源IP地址转换方向
Outbound方向:数据包从高安全级别流向低安全级别
Inbound方向:数据包从低安全级别流向高安全级别 高优先级与低优先级是相对的
根据基于源IP地址端口是否转换分为no-pat方式和napt方式。 No-PAT方式:用于一对一IP地址转换,不涉及端口转换
NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换 1、通过地址池的方式
policy 1:允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。 配置地址池
[USG5300]nat address-group 1 220.10.10.16 220.10.10.20 配置Trust和Untrust域间出方向的策略
[USG5300] nat-policy interzone trust untrust outbound [USG5300--policy-interzone-trust-untrust-outbound] policy 1
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat
[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]
如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口 这里的policy source指的是trust地址,nat转换成untrust地址,如果是nat-policy interzone trust untrust inbound,源地址就是指untrust地址,转换成trust地址。 2、通过公网接口的方式
创建Trust区域和Untrust区域之间的NAT策略,确定进行NAT转换的源地址范围192.168.1.0/24网段,并且将其与外网接口GigabitEthernet 0/0/4进行绑定。 [USG] nat-policy interzone trust untrust outbound [USG-nat-policy-interzone-trust-untrust-outbound] policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255 [USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-0] easy-ip GigabitEthernet 0/0/4 [USG-nat-policy-interzone-trust-untrust-outbound-0] quit 3、直接在接口启用nat
如果是针对内网用户上公网做nat,需要在内网接口使用 [USG-GigabitEthernet0/0/0]nat enable
二、其他常用配置
2.1 查看防火墙的会话的命令
[USG5320]dis firewall session table [source|destination] [inside|global]可以查看这个数据包有没有过来。
display firewall session table verbose source inside 2.2.2.2 //inside可以查看私网ip地址信息,global可以查看公网ip地址信息。
如上图所示
icmp表示协议的类型。
local --> trust 表示这个包是从local区域到trust区域的 192.168.200.5:1 --> 172.16.4.66:2048表示这个包是从192.168.200.5访问172.16.4.66的,如果该会话项有[]就表示做了nat转换,[]里的地址是转换后的地址。如果该会话项为“+->”表示启用了ASPF;
-->packets:14 bytes:840表示该会话出方向的包数和字节数统计 <--packets:5 bytes:420 表示该会话入方向的包数和字节数统计。
如上图所示:“<--packets:0 bytes:0”表示回来的包没有收到。
2.2 查看防火墙序列号
display firewall esn 可以查看防火墙的序列号
2.3 DHCP配置
2.3.1 接口dhcp
用接口的DHCP功能 (在某个VLAN接口下启用DHCP功能,这个VLAN里的所有主机将自动获得IP地址,网段就是接口IP的网段,网关为接口IP) 例: