設備調試思路
1、瞭解網絡狀況
2、確定防火牆的部署位置
3、選擇防火牆的部署模式,規劃網絡路由信息
4、確定策略方向,地址,服務信息
5、合理設定訪問策略
防火牆的設置步驟
1、確定設置防火牆的佈置模式
2、設置防火牆設備的IP地址信息
3、設置防火牆的路由信息
4、確定經過防火牆設備的IP地址信息
5、確定網絡應用
6、配置訪問控制策略
防火牆的默認狀態
1、防火牆的默認IP地址爲:192.168.1.1/24,該地址在這防火牆的
Ethernet1或MGT上
2、防火牆的三個接口的安全區域是
ethernet1:trust
ethernet1:dmz
ethernet1:untrust
ethernet1:null
3、登錄web方式
透明模式下,默認ip 192.168.1.1
NAT模式下,登錄trunk接口
防火牆三種應用模式
1、透明模式
防火牆端口上沒有IP地址,只有一個用於管理的全局IP
使用環境:
一般用於處理相同網段的不同網絡之間的安全隔離
優點:
不需要重新配置路由器或者受保護服務器的IP設置
不需要爲受保護服務器的創建地址映射或端口映射
命令行實現:
unset interface ethernet1 ip //取消低級防火牆默認IP
set interface ethernet1 zone v1-trust
set interface ethernet2 zone v1-dmz
set interface ethernet2 zone v1-untrust
set interface vlan1 ip 192.168.1.1/24
save
2、NAT模式
適用的網絡環境:
客戶擁有的公網地址數量,不能滿足網絡中的每個設備都擁有一個公網IP地址的情況
優點:
針對內網對互聯網的訪問,可以大量節省公共IP地址,路由結構清晰
命令行實現:
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 nat
save
3、路由模式
特殊模式:二層與三層混合部署
適用網絡環境:
擁有足夠多的公網IP地址,可以滿足網絡中所有設備需要
set interface ethernet1 zone trust
set interface ethernet2 zone dmz
set interface ethernet2 zone untrust
set interface ethernet1 ip 192.168.1.1/24
set interface ethernet2 ip 172.16.1.1/24
set interface ethernet3 ip 10.10.1.1/24
set interface ethernet3 gateway 10.10.0.251
set interface ethernet1 route
save
訪問控制的實現
1,防火牆的訪問控制是依靠防火牆的訪問控制策略實現的,所有的 訪問控制由防火牆的訪問列表中的策略實現。
2,訪問控制策略包含留個最基本的必要信息:
策略的方向
原地址信息
目標地址信息
網絡服務信息
策略動作信息
策略的排列位置
3, 其他非必要信息:
日誌、陸良控制、認證、實時流量記錄
策略設置的建議
1,合理安排策略順序:
具體策略在上,非具體在下
拒絕策略在上,允許在下
***策略在上,非***在下
2 優化策略內容:
合理利用地址組,服務組功能
安全域的設置和自定義
1,安全域的概念,有Netscreen首先提出
2,對於介入防火牆設備的每個網絡,他們全部都是非新人的,針對每個安全域,全部可以自定義他的安全檢查項目,即:安全級別
3,最常用的安全域爲:trust,dmz,untrust三層的安全域
v1-trust.v1-dmz,v1-untrust二層的安全域
以上的名稱都是防火牆的保留字