设备调试思路
1、了解网络状况
2、确定防火墙的部署位置
3、选择防火墙的部署模式,规划网络路由信息
4、确定策略方向,地址,服务信息
5、合理设定访问策略
防火墙的设置步骤
1、确定设置防火墙的布置模式
2、设置防火墙设备的IP地址信息
3、设置防火墙的路由信息
4、确定经过防火墙设备的IP地址信息
5、确定网络应用
6、配置访问控制策略
防火墙的默认状态
1、防火墙的默认IP地址为:192.168.1.1/24,该地址在这防火墙的
Ethernet1或MGT上
2、防火墙的三个接口的安全区域是
ethernet1:trust
ethernet1:dmz
ethernet1:untrust
ethernet1:null
3、登录web方式
透明模式下,默认ip 192.168.1.1
NAT模式下,登录trunk接口
防火墙三种应用模式
1、透明模式
防火墙端口上没有IP地址,只有一个用于管理的全局IP
使用环境:
一般用于处理相同网段的不同网络之间的安全隔离
优点:
不需要重新配置路由器或者受保护服务器的IP设置
不需要为受保护服务器的创建地址映射或端口映射
命令行实现:
unset interface ethernet1 ip //取消低级防火墙默认IP
set interface ethernet1 zone v1-trust
set interface ethernet2 zone v1-dmz
set interface ethernet2 zone v1-untrust
set interface vlan1 ip 192.168.1.1/24
save
2、NAT模式
适用的网络环境:
客户拥有的公网地址数量,不能满足网络中的每个设备都拥有一个公网IP地址的情况
优点:
针对内网对互联网的访问,可以大量节省公共IP地址,路由结构清晰
命令行实现:
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 nat
save
3、路由模式
特殊模式:二层与三层混合部署
适用网络环境:
拥有足够多的公网IP地址,可以满足网络中所有设备需要
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 route
save
访问控制的实现
1,防火墙的访问控制是依靠防火墙的访问控制策略实现的,所有的 访问控制由防火墙的访问列表中的策略实现。
2,访问控制策略包含留个最基本的必要信息:
策略的方向
原地址信息
目标地址信息
网络服务信息
策略动作信息
策略的排列位置
3, 其他非必要信息:
日志、陆良控制、认证、实时流量记录
策略设置的建议
1,合理安排策略顺序:
具体策略在上,非具体在下
拒绝策略在上,允许在下
×××策略在上,非×××在下
2 优化策略内容:
合理利用地址组,服务组功能
安全域的设置和自定义
1,安全域的概念,有Netscreen首先提出
2,对于介入防火墙设备的每个网络,他们全部都是非新人的,针对每个安全域,全部可以自定义他的安全检查项目,即:安全级别
3,最常用的安全域为:trust,dmz,untrust三层的安全域
v1-trust.v1-dmz,v1-untrust二层的安全域
以上的名称都是防火墙的保留字
转载于:https://blog.51cto.com/howardhuang/1941695