securid-server
default action deny/permit
一、防火墙转发原理
转发原理:如果存在会话表,匹配会话表转发。如果不存在会话表,首包建立会话表,再转发。
注:首包需要开启状态检测(默认开启状态检查),首包针对TCP和ICMP。
security-policy
rule name trust_dmz
source-zone trust
destination-zone dmz
action permit
防火墙转发的唯一依据就是会话表
转发原理:1.如果存在会话表,匹配会话表转发;2.如果不存在会话表,首包建立会话表,再转发。
安全策略放行,并且没有查到已有状态化表项(首包)
查看会话表
[FW1]display firwall session table
19:52:19 2022/07/7
Current Toal Sessions : 2
ftp VPN:public-->public 10.1.2.1:49203+->192.168.1.1:21
ftp-data VPN:public--> public 192.168.1.1:20-->10.1.2.1:49204
查看防火墙会话表服务
老化时间
防火墙会话表字段说明:
[FW1]display firewall session table verbose
19:52:24 2022/07/07
Current Total Sessions:2
ftp VPN:public-->public ID:a48f3622c50bb82bcc5d77feea
协议 没有虚拟系统 唯一ID
Zone:trust-->dmz TTL:00:20::00 Left:00:19:48
区域 老化时间 剩余时间
Output-interface:GigabitEthernet0/0/1.16 NextHop:192.168.1.1 MAC:00-0c-29-33-e8-14
出接口 下一跳 下一跳MAC地址
<--packets:17 bytes:1233 -->packets:15 bytes725
反向报文 正向报文
10.1.2.1:49203+->192.168.1.1:21 PolicyName:trust_dmz
源地址 源端口 目的地址 目的端口 安全策略
单通道协议:通信过程中只需要占用一个端口的协议。如WWW只需要占用80端口。
多通道协议:通信过程中需要占用两个或两个以上的端口协议。如FTP被动模式下需要用21号端口以及一个随机端口。
大部分多媒体协议应用协议(如:H.323、SIP)、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接,再动态的选择端口用数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时使用到多个端口。
FTP主动模式:
FTP:被动模式
ASPF(Application Specific Packet Filter)是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
FTP穿越防火墙主模式与被动模式区别实验
查看 Server-Map 表 :display firewall server-map
Server Map的产生(ASPF)
1、转发多通道协议
配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map表项,用于数据通道发起连接时进行查找。
2.转发QQ、TFTP等STUN (Simple Traversal of UDP over NATs,NAT的UDP简单穿越)类型协议
通过配置STUN类型的ASPF,当QQ用户连接服务器时,设备会记录下用户的IP地址和端口信息,并动态生成STUN类型的 Server-map。这个server-map表项中仅包含三元组信息,即通信一方的IP地址,端口号和协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。
<FW1>display firewall server-map20:40:35 2019/09/10
server-map 1 item(s)
--------------------------------------------------------------------
ASPF,192.168.1.1 -> 10.1.2.1:49357[any], Zone: ---
Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:14,Addr-Pool: ---VPN: public -> public
<FW1>display firewall session table20:40:05 2019/09/10
Current Total Sessions : 4
ftp VPN:public --> public 10.1.2.1:49346+->192.168.1.1:21ftp-data VPN:public --> public 192.168.1.1:20-->10.1.2.1:49357
关闭ASPF功能:undo firewall detect ftp
FTP被动模式
<FW1>display firewall session table20:34:29 2019/09/10
Current Total Sessions : 10
ftp VPN:public --> public 10.1.2.1:49331-->192.168.1.1:21
tcp VPN:public --> public 10.1.2.1:49333-->192.168.1.1:49347
tcp VPN:public --> public 10.1.2.1:49332-->192.168.1.1:49346
注意:不开启ASPF功能,无法做应用层协议识别
security-policy
rule name trust_dmz
source-zone trust
destination-zone dmz
action permit
rule name test
source-zone trust
destination-zone untrusth
source-address 1.1.1.1 mask 255.255.255.255
destination-address 2.2.2.2 mask 255.255.255.255
service http
service https
user / default
application category Entertainmenttime.range worktime
profile av default
profile ips web_server
profile url-filter default
action permit
配置安全策略(Web)
安全策略主要包含的配置内容
策略配置条件:
源安全域,目的安全域,源地址,目的地址,用户,服务,应用,时间段
策略动作:
允许,禁止
内容安全Profile(可选)
反病毒,入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤
配置地址和地址组
·地址是IPv4/IPv6地址或MAC地址的集合,地址组是地址的集合。
·地址包含一个或若干个IPv4/IPv6地址或MAC地址,它类似于一个基础组件,只需定义一次,就可以被各种策略(例如安全策略、NAT策略)多次引用。
配置服务和服务组
·服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。
·预定义服务:指系统缺省已经存在、可以直接选择的服务类型。
·自定义服务:通过指定协议类型(例如TCP、UDP或ICMP)和端口号等信息来定义的—些应用协议类型。
·自定义OSPF服务。
配置应用类型
746
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
