在防火墙上查询nat转换结果的命令_论防火墙之基础知识

1.防火墙原理

通过匹配数据包中的源目IP地址及源目端口或者协议&＃xff0c;地址转换及隐藏端口等&＃xff0c;定义相应策略&＃xff0c;从而实现需求及效果。

2.作用

2.1防止外部攻击&＃xff0c;保护内网&＃xff1b;

2.2在防火墙上做NAT地址转换&＃xff08;源和目的&＃xff09;&＃xff1b;

2.3基于源地址及目的地址应用协议及端口做策略规则&＃xff0c;控制访问关系&＃xff1b;

2.4限定用户访问特殊站点

2.5管理访问网络的行为

2.6做监管认证

3.部署位置&＃xff08;以Hillstone SG6000为例&＃xff09;

一般部署在出口位置&＃xff0c;如出口路由器等&＃xff0c;或者区域出口

4.接入方式

三层接入&＃xff08;需要做NAT转换&＃xff0c;常用&＃xff09;

二层透明接入&＃xff08;透明接入不影响网络架构&＃xff09;

混合接入&＃xff08;一般有接口需要配置成透明模式&＃xff0c;可以支持此模式&＃xff09;

5.安全域划分

5.1一般正常三个安全域untrust&＃xff08;外网&＃xff09;、trust&＃xff08;内网&＃xff09;、DMZ

5.2服务器网段也可自定义多个&＃xff0c;外网接口ip地址&＃xff1a;客户提供

5.3内网口ip地址&＃xff1a;如果内网有多个网段&＃xff0c;建议在中心交换机配置独立的VLAN网段&＃xff0c;不要与内网网段相同。

5.4如果客户内网只有一个网段&＃xff0c;没有中心交换机&＃xff0c;则把防火墙内网口地址设置为客户内网地址段&＃xff0c;并作为客户内网网关&＃xff08;使用于中小型网络&＃xff09;

5.5 DMZ口ip地址&＃xff1a;建议配置成服务器网段的网关

• 配置基本思路&＃xff1a;

配置安全域&＃xff08;默认三个安全域&＃xff09;

配置接口地址

配置路由

• 默认路由&＃xff1a;其中指定的接口&＃xff1a;untrust&＃xff08;外网&＃xff09;接口&＃xff0c;如果有多个出口&＃xff0c;可以在这选择不同的接口&＃xff0c;其中网关为跟FW互联设备接口的地址&＃xff0c;比如59.60.12.33是给电信给的出口网关地址。
• 静态路由&＃xff1a;网关地址为下一跳地址&＃xff0c;客户内部有多个VLAN&＃xff0c;需要配置静态路由&＃xff0c;比如客户内部有172.16.2.0/24,172.16.3.0/24等多网段&＃xff0c;可以指定一条静态路由。

6.配置策略

Rule id 4

Action permit //动作允许

log session-start

log session-end

src-zone "untrust" //源安全域为untrust

dst-zone "trust" //目的安全域为trust

src-addr "XXXX广场_10.126.242.3"

dst-addr "XX系统_144.160.31.139"

service "Any"

description "XXX广场访问XX系统"

exit

//源地址XXX广场访问目的地址XX系统

6.1配置安全域之间的允许策略

6.2配置trust到untrust的允许所有的策略

6.3配置DMZ到untrust的允许所有的策略

6.4配置trust到DMZ的允许所有的策略

6.5配置untrust到DMZ服务器的允许策略

6.6配置untrust到trust服务器的允许策略

&＃xff08;有时候有需求是从untrust访问trust内部地址的需求&＃xff0c;同样要先做目的NAT&＃xff0c;然后配置从untrust到trust的允许策略&＃xff09;

7.配置详细策略

一般为了使接口流量能够流入或者流出接口&＃xff0c;将接口绑定到某个安全域下。

三层安全域&＃xff0c;还需为接口配置ip地址&＃xff0c;然后规定策略&＃xff0c;多个接口可以绑定到一个安全域下&＃xff0c;但是一个接口不能被绑定到多个安全域。

策略查询&＃xff1a;

系统会根据数据包的源安全域、目的安全域、源ip地址及端口号和目的ip地址及端口号及协议等&＃xff0c;查找策略规则&＃xff0c;如果找不到策略&＃xff0c;则丢弃数据包&＃xff0c;如果找到相应的策略&＃xff0c;则根据规则所定义的动作来执行&＃xff0c;动作为允许、拒绝、隧道。

7.1配置策略规则

Address address1

Ip address 192.168.10.1 255.255.255.0

Policy from l2-trust2 to l2-untrust2

Rule from ipaddress1 to any service any permit //从地址1来的所有服务都允许通过

7.2安全域

Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ、VPNhub&＃xff08;VPN功能域&＃xff09;HA&＃xff08;ha功能域&＃xff09;

接口绑定到域&＃xff0c;并且绑定到vswitch&＃xff0c;二层和三层域决定了接口工作在二层模式还是三层模式。

创建vswitch2&＃xff0c;创建二层安全域trust1&＃xff0c;将trust1绑定到vswitch2中&＃xff0c;再将eth0/0绑定到trust1中&＃xff1a;

配置示例&＃xff1a;

Vswitch vswitch2

Zone trust1 l2

Bind vswitch2

Int eth0/0

Zone trust1

配置安全域&＃xff1a;

Zone &＃43;域名称

L2&＃43;指定所创建域为二层域

在全局模式下使用no zone&＃43;域名称则删除指定域

绑定二层域到vswitch&＃xff0c;默认情况下&＃xff0c;每一个二层域都被绑定到vswitch1中

7.3接口模式

物理接口&＃xff1a;设备上eth0/0、eth0/1等都属于物理接口

逻辑接口&＃xff1a;VLAN接口、环回接口、等属于逻辑接口。

二层接口&＃xff1a;属于二层域以及VLAN的接口均属于二层接口

三层接口&＃xff1a;属于三层域的接口都属于三层接口&＃xff0c;只有三层接口在NAT/路由模式下工作。

8.Juniper SSG-550M防火墙

使用Get system 查看版本信息等

使用Get interface查看接口状态&＃xff0c;系统默认的登录用户名和密码都为netscreen

几个系统默认的安全区及接口&＃xff1a;安全域中如无物理接口存在&＃xff0c;则无实际意义。

Trust eth1口

Untrust eth4口

DMZ eth3口

接口模式

• NAT模式

当流量从端口流入&＃xff0c;再流出端口时&＃xff0c;源地址会转换为接口的地址&＃xff0c;不管策略中转换池有没有指定源地址转换&＃xff0c;接口会进行转换&＃xff0c;eth1口默认是NAT默认&＃xff0c;使用时修改为router模式。

• 路由模式

&＃xff08;更加灵活&＃xff0c;常用&＃xff09;当流量从端口流入&＃xff0c;再流出端口时&＃xff0c;如果在策略中转换池指定源地址转换了&＃xff0c;则流出端口时会进行转换&＃xff0c;如策略地址池中无源地址转换策略&＃xff0c;则不会进行转换。

Juniper防火墙地址转换方式

MIP静态一对一地址转换

VIP虚拟一对多地址转换

DIP动态多对多地址转换

配置MIP和VIP时转换时有要求&＃xff0c;转换后的地址必须是与eth1内网口地址所属同一网段&＃xff0c;否则无法使用&＃xff0c;而DIP不受此规则限制看&＃xff0c;所以比较灵活。

1.QOS流量限制

作用&＃xff1a;对流量进行限速&＃xff0c;增加链路带宽

实现方式&＃xff1a;先对需要限速的报文分类标记&＃xff0c;然后进行流量策略匹配&＃xff0c;将流策略和流行为进行绑定&＃xff0c;然后应用于接口。

2.Ospf 10 area 1 使用OSPF协议

Ospf路由协议&＃xff0c;手动配置&＃xff0c;路由表自动生成

ospf协议特点&＃xff1a;

1.1路由信息传递与路由计算分离

1.2无路由自环收敛速度快

1.3以带宽作为选路条件&＃xff0c;更精确

1.4支持无类域间路由

1.5使用ip组播收发协议数据

1.6支持协议报文的认证

OSPF开销&＃xff1a;

COST&＃61;参考带宽/实际带宽&＃xff08;参考带宽缺省100&＃xff09;

3.起子接口连接各支行

在接口下启用子接口&＃xff0c;配置IP地址&＃xff0c;连接各支行

4.做NQA检测

主要检测地市分行核心路由器到数据中心出口路由器&＃xff0c;主备线路&＃xff0c;当检测到主链路出现故障时&＃xff0c;切换到备用链路上。

5.使用静态路由

静态路由&＃xff0c;手动配置&＃xff0c;路由表逐条添加

6.NTP时钟服务

设置NTP时钟服务器&＃xff0c;同步各设备时间。

7.SSH远程登录

远程登录设备控制

8.静态NAT网络地址转换

可以针对源地址转换&＃xff0c;针对目的地址转换。