设备调试思路

1、了解网络状况

2、确定防火墙的部署位置

3、选择防火墙的部署模式,规划网络路由信息

4、确定策略方向,地址,服务信息

5、合理设定访问策略


防火墙的设置步骤

1、确定设置防火墙的布置模式

2、设置防火墙设备的IP地址信息

3、设置防火墙的路由信息

4、确定经过防火墙设备的IP地址信息

5、确定网络应用

6、配置访问控制策略


防火墙的默认状态

1、防火墙的默认IP地址为:192.168.1.1/24,该地址在这防火墙的

Ethernet1或MGT上

2、防火墙的三个接口的安全区域是

ethernet1:trust

ethernet1:dmz

ethernet1:untrust

ethernet1:null

3、登录web方式

透明模式下,默认ip 192.168.1.1

NAT模式下,登录trunk接口


防火墙三种应用模式

1、透明模式

防火墙端口上没有IP地址,只有一个用于管理的全局IP

使用环境:

一般用于处理相同网段的不同网络之间的安全隔离

优点:

不需要重新配置路由器或者受保护服务器的IP设置

不需要为受保护服务器的创建地址映射或端口映射


命令行实现:

unset interface ethernet1 ip   //取消低级防火墙默认IP

set interface ethernet1 zone v1-trust

set interface ethernet2 zone v1-dmz

set interface ethernet2 zone v1-untrust

set interface vlan1 ip 192.168.1.1/24

save



2、NAT模式

适用的网络环境:

客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公网IP地址的情况

优点:

针对内网对互联网的访问,可以大量节省公共IP地址,路由结构清晰

命令行实现:

set interface ethernet1 zone trust

set interface ethernet2 zone dmz

set interface ethernet2 zone untrust

set interface ethernet1 ip 192.168.1.1/24

set interface ethernet2 ip 172.16.1.1/24

set interface ethernet3 ip 10.10.1.1/24

set interface ethernet3 gateway 10.10.0.251

set interface ethernet1 nat

save


3、路由模式

特殊模式:二层与三层混合部署

适用网络环境:

拥有足够多的公网IP地址,可以满足网络中所有设备需要

set interface ethernet1 zone trust

set interface ethernet2 zone dmz

set interface ethernet2 zone untrust

set interface ethernet1 ip 192.168.1.1/24

set interface ethernet2 ip 172.16.1.1/24

set interface ethernet3 ip 10.10.1.1/24

set interface ethernet3 gateway 10.10.0.251

set interface ethernet1 route

save


访问控制的实现

1,防火墙的访问控制是依靠防火墙的访问控制策略实现的,所有的 访问控制由防火墙的访问列表中的策略实现。


2,访问控制策略包含留个最基本的必要信息:

策略的方向

原地址信息

目标地址信息

网络服务信息

策略动作信息

策略的排列位置


3, 其他非必要信息:

日志、陆良控制、认证、实时流量记录


策略设置的建议

1,合理安排策略顺序:

具体策略在上,非具体在下

拒绝策略在上,允许在下

×××策略在上,非×××在下


2 优化策略内容:

合理利用地址组,服务组功能



安全域的设置和自定义

1,安全域的概念,有Netscreen首先提出

2,对于介入防火墙设备的每个网络,他们全部都是非新人的,针对每个安全域,全部可以自定义他的安全检查项目,即:安全级别

3,最常用的安全域为:trust,dmz,untrust三层的安全域

      v1-trust.v1-dmz,v1-untrust二层的安全域

     以上的名称都是防火墙的保留字