1.防火墙原理
通过匹配数据包中的源目IP地址及源目端口或者协议,地址转换及隐藏端口等,定义相应策略,从而实现需求及效果。
2.作用
2.1防止外部攻击,保护内网;
2.2在防火墙上做NAT地址转换(源和目的);
2.3基于源地址及目的地址应用协议及端口做策略规则,控制访问关系;
2.4限定用户访问特殊站点
2.5管理访问网络的行为
2.6做监管认证
3.部署位置(以Hillstone SG6000为例)
一般部署在出口位置,如出口路由器等,或者区域出口
4.接入方式
三层接入(需要做NAT转换,常用)
二层透明接入(透明接入不影响网络架构)
混合接入(一般有接口需要配置成透明模式,可以支持此模式)
5.安全域划分
5.1一般正常三个安全域untrust(外网)、trust(内网)、DMZ
5.2服务器网段也可自定义多个,外网接口ip地址:客户提供
5.3内网口ip地址:如果内网有多个网段,建议在中心交换机配置独立的VLAN网段,不要与内网网段相同。
5.4如果客户内网只有一个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(使用于中小型网络)
5.5 DMZ口ip地址:建议配置成服务器网段的网关
配置安全域(默认三个安全域)
配置接口地址
配置路由
- 默认路由:其中指定的接口:untrust(外网)接口,如果有多个出口,可以在这选择不同的接口,其中网关为跟FW互联设备接口的地址,比如59.60.12.33是给电信给的出口网关地址。
- 静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要配置静态路由,比如客户内部有172.16.2.0/24,172.16.3.0/24等多网段,可以指定一条静态路由。
6.配置策略
Rule id 4
Action permit //动作允许
log session-start
log session-end
src-zone "untrust" //源安全域为untrust
dst-zone "trust" //目的安全域为trust
src-addr "XXXX广场_10.126.242.3"
dst-addr "XX系统_144.160.31.139"
service "Any"
description "XXX广场访问XX系统"
exit
//源地址XXX广场访问目的地址XX系统
6.1配置安全域之间的允许策略
6.2配置trust到untrust的允许所有的策略
6.3配置DMZ到untrust的允许所有的策略
6.4配置trust到DMZ的允许所有的策略
6.5配置untrust到DMZ服务器的允许策略
6.6配置untrust到trust服务器的允许策略
(有时候有需求是从untrust访问trust内部地址的需求,同样要先做目的NAT,然后配置从untrust到trust的允许策略)
7.配置详细策略
一般为了使接口流量能够流入或者流出接口,将接口绑定到某个安全域下。
三层安全域,还需为接口配置ip地址,然后规定策略,多个接口可以绑定到一个安全域下,但是一个接口不能被绑定到多个安全域。
策略查询:
系统会根据数据包的源安全域、目的安全域、源ip地址及端口号和目的ip地址及端口号及协议等,查找策略规则,如果找不到策略,则丢弃数据包,如果找到相应的策略,则根据规则所定义的动作来执行,动作为允许、拒绝、隧道。
7.1配置策略规则
Address address1
Ip address 192.168.10.1 255.255.255.0
Policy from l2-trust2 to l2-untrust2
Rule from ipaddress1 to any service any permit //从地址1来的所有服务都允许通过
7.2安全域
Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ、VPNhub(VPN功能域)HA(ha功能域)
接口绑定到域,并且绑定到vswitch,二层和三层域决定了接口工作在二层模式还是三层模式。
创建vswitch2,创建二层安全域trust1,将trust1绑定到vswitch2中,再将eth0/0绑定到trust1中:
配置示例:
Vswitch vswitch2
Zone trust1 l2
Bind vswitch2
Int eth0/0
Zone trust1
配置安全域:
Zone +域名称
L2+指定所创建域为二层域
在全局模式下使用no zone+域名称则删除指定域
绑定二层域到vswitch,默认情况下,每一个二层域都被绑定到vswitch1中
7.3接口模式
物理接口:设备上eth0/0、eth0/1等都属于物理接口
逻辑接口:VLAN接口、环回接口、等属于逻辑接口。
二层接口:属于二层域以及VLAN的接口均属于二层接口
三层接口:属于三层域的接口都属于三层接口,只有三层接口在NAT/路由模式下工作。
8.Juniper SSG-550M防火墙
使用Get system 查看版本信息等
使用Get interface查看接口状态,系统默认的登录用户名和密码都为netscreen
几个系统默认的安全区及接口:安全域中如无物理接口存在,则无实际意义。
Trust eth1口
Untrust eth4口
DMZ eth3口
接口模式
当流量从端口流入,再流出端口时,源地址会转换为接口的地址,不管策略中转换池有没有指定源地址转换,接口会进行转换,eth1口默认是NAT默认,使用时修改为router模式。
(更加灵活,常用)当流量从端口流入,再流出端口时,如果在策略中转换池指定源地址转换了,则流出端口时会进行转换,如策略地址池中无源地址转换策略,则不会进行转换。
Juniper防火墙地址转换方式
MIP静态一对一地址转换
VIP虚拟一对多地址转换
DIP动态多对多地址转换
配置MIP和VIP时转换时有要求,转换后的地址必须是与eth1内网口地址所属同一网段,否则无法使用,而DIP不受此规则限制看,所以比较灵活。
1.QOS流量限制
作用:对流量进行限速,增加链路带宽
实现方式:先对需要限速的报文分类标记,然后进行流量策略匹配,将流策略和流行为进行绑定,然后应用于接口。
2.Ospf 10 area 1 使用OSPF协议
Ospf路由协议,手动配置,路由表自动生成
ospf协议特点:
1.1路由信息传递与路由计算分离
1.2无路由自环收敛速度快
1.3以带宽作为选路条件,更精确
1.4支持无类域间路由
1.5使用ip组播收发协议数据
1.6支持协议报文的认证
OSPF开销:
COST=参考带宽/实际带宽(参考带宽缺省100)
3.起子接口连接各支行
在接口下启用子接口,配置IP地址,连接各支行
4.做NQA检测
主要检测地市分行核心路由器到数据中心出口路由器,主备线路,当检测到主链路出现故障时,切换到备用链路上。
5.使用静态路由
静态路由,手动配置,路由表逐条添加
6.NTP时钟服务
设置NTP时钟服务器,同步各设备时间。
7.SSH远程登录
远程登录设备控制
8.静态NAT网络地址转换
可以针对源地址转换,针对目的地址转换。