USG防火墙产品基本功能特性与配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
设置优先级
[USG2100-zone-userzone] set priority 60
给安全区域添加接口 [USG2100-zone-userzone] add interface GigabitEthernet 0/0/1
Page6
安全区域配置验证
查看防火墙安全区域配置
[USG2100]display zone username username priority is 60 interface of the zone is (1):
USG防火墙产品基本 功能特性与配置
培训目标
学完本课程后,您应该能:
掌握USG产品的主要安全技术和安全特性 掌握各安全特性在USG产品上的配置
Page1
目录
防火墙的基本概念
Page2
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page3
防火墙的安全区域
inbound
outbound
outbound
inbound
outbound
inbound Server
...... Server
DMZ
inbound
outbound
outbound inbound
Vzone
Paห้องสมุดไป่ตู้e5
安全区域配置- 1
创建一个安全区域
[USG2100] firewall zone name userzone
Page17
防火墙长连接会话
配置ACL,用于控制需要长连接会话的数据流 [USG2100] acl 3001 [USG2100-acl-adv-3001] rule permit tcp source 10.100.10.20
设置长连接的老化时间 [USG2100] firewall long-link aging-time 2
Vzone 0
接口2
Local区域 100
Trust区域 85
用户自定义区域
DMZ区域 50
接口1
UnTrust区域 5
接口3
接口4
Page4
接口、网络和安全区域关系
outbound
...... 内部网络
Trust
USG Local
Eth0/0/0
Eth2/0/0
Eth1/0/0
外部网络 Untrust
USG(备)
服务器
Page13
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page14
会话
会话(Session)
USG防火墙是状态防火墙,采用会话表维持通信状态。会话表包
括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议 号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报 文后,根据上述五个元素查询会话表,并根据具体情况进行如下 操作:
USG
外部网络 202.10.0.0/24
服务器
Page11
透明模式
Trust区 PC 服务器
202.10.0.0/24 USG
PC
PC
Untrust区
服务器
Page12
混合模式
USG(主)
Trust区 PC
VRRP
PC
PC
Untrust区
内部网络 服务器 202.10.0.0/24
外部网络 202.10.0.0/24
重置防火墙的session <USG2100> reset firewall session table
Page16
会话相关命令
查看防火墙的Session aging-time
[USG2100] display firewall session aging-time
Sequence Pre-defined
GigabitEthernet0/0/1
Page7
安全区域配置-2
在域间下发ACL
<USG2100>system-view [USG2100] policy interzone trust untrust outbound [USG2100-policy-interzone-trust-untrust-outbound] policy 1 [USG2100-policy-interzone-trust-untrust-outbound-1] action
VPN
Timeout(s)
----------------------------------------------------------------------
1 http
All
600
2 telnet
All
600
….
[USG2100] firewall session aging-time icmp 15
在域间应用长连接 [USG2100] firewall interzone trust untrust [USG2100-interzone-trust-untrust] long-link 3001 inbound
[USG2100]display firewall session table verbose FTP VPN: public -> public Remote Zone: zone1 -> out TTL: 168:00:00 Left: 168:00:00 Interface: E1.200 Nexthop: 2.0.200.1 MAC: 00-00-02-00-c8-01 <-- packets:9 bytes:774 --> packets:7 bytes:602 10.100.10.3-->10.100.10.2:21(LongLink)
条件
操作
报文的五元组匹配会话表
转发该报文
报文的五元组 不匹配会话表
域间规则允许通过
转发该报文,并创建会话 表表项
域间规则不允许通过 丢弃该报文
Page15
会话相关命令
查看防火墙的Session信息 [USG2100] display firewall session table verbose Current Total Sessions : 1 telnet VPN:public --> public TTL: 00:10:00 Left: 00:10:00 Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 <--packets:1269 bytes:66769 -->packets:1081 bytes:43715 128.18.196.6:2855-->128.18.196.200:23
permit
Page8
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page9
防火墙的三种工作模式
路由模式 透明模式 混合模式
Page10
路由模式
Trust区 PC
10.110.1.254
202.10.0.1
PC
PC
Untrust区
服务器 内部网络 10.110.1.0/24
[USG2100-zone-userzone] set priority 60
给安全区域添加接口 [USG2100-zone-userzone] add interface GigabitEthernet 0/0/1
Page6
安全区域配置验证
查看防火墙安全区域配置
[USG2100]display zone username username priority is 60 interface of the zone is (1):
USG防火墙产品基本 功能特性与配置
培训目标
学完本课程后,您应该能:
掌握USG产品的主要安全技术和安全特性 掌握各安全特性在USG产品上的配置
Page1
目录
防火墙的基本概念
Page2
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page3
防火墙的安全区域
inbound
outbound
outbound
inbound
outbound
inbound Server
...... Server
DMZ
inbound
outbound
outbound inbound
Vzone
Paห้องสมุดไป่ตู้e5
安全区域配置- 1
创建一个安全区域
[USG2100] firewall zone name userzone
Page17
防火墙长连接会话
配置ACL,用于控制需要长连接会话的数据流 [USG2100] acl 3001 [USG2100-acl-adv-3001] rule permit tcp source 10.100.10.20
设置长连接的老化时间 [USG2100] firewall long-link aging-time 2
Vzone 0
接口2
Local区域 100
Trust区域 85
用户自定义区域
DMZ区域 50
接口1
UnTrust区域 5
接口3
接口4
Page4
接口、网络和安全区域关系
outbound
...... 内部网络
Trust
USG Local
Eth0/0/0
Eth2/0/0
Eth1/0/0
外部网络 Untrust
USG(备)
服务器
Page13
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page14
会话
会话(Session)
USG防火墙是状态防火墙,采用会话表维持通信状态。会话表包
括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议 号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报 文后,根据上述五个元素查询会话表,并根据具体情况进行如下 操作:
USG
外部网络 202.10.0.0/24
服务器
Page11
透明模式
Trust区 PC 服务器
202.10.0.0/24 USG
PC
PC
Untrust区
服务器
Page12
混合模式
USG(主)
Trust区 PC
VRRP
PC
PC
Untrust区
内部网络 服务器 202.10.0.0/24
外部网络 202.10.0.0/24
重置防火墙的session <USG2100> reset firewall session table
Page16
会话相关命令
查看防火墙的Session aging-time
[USG2100] display firewall session aging-time
Sequence Pre-defined
GigabitEthernet0/0/1
Page7
安全区域配置-2
在域间下发ACL
<USG2100>system-view [USG2100] policy interzone trust untrust outbound [USG2100-policy-interzone-trust-untrust-outbound] policy 1 [USG2100-policy-interzone-trust-untrust-outbound-1] action
VPN
Timeout(s)
----------------------------------------------------------------------
1 http
All
600
2 telnet
All
600
….
[USG2100] firewall session aging-time icmp 15
在域间应用长连接 [USG2100] firewall interzone trust untrust [USG2100-interzone-trust-untrust] long-link 3001 inbound
[USG2100]display firewall session table verbose FTP VPN: public -> public Remote Zone: zone1 -> out TTL: 168:00:00 Left: 168:00:00 Interface: E1.200 Nexthop: 2.0.200.1 MAC: 00-00-02-00-c8-01 <-- packets:9 bytes:774 --> packets:7 bytes:602 10.100.10.3-->10.100.10.2:21(LongLink)
条件
操作
报文的五元组匹配会话表
转发该报文
报文的五元组 不匹配会话表
域间规则允许通过
转发该报文,并创建会话 表表项
域间规则不允许通过 丢弃该报文
Page15
会话相关命令
查看防火墙的Session信息 [USG2100] display firewall session table verbose Current Total Sessions : 1 telnet VPN:public --> public TTL: 00:10:00 Left: 00:10:00 Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 <--packets:1269 bytes:66769 -->packets:1081 bytes:43715 128.18.196.6:2855-->128.18.196.200:23
permit
Page8
目录
1. 防火墙的基本概念
1.1 安全区域 1.2 防火墙工作模式 1.3 会话
Page9
防火墙的三种工作模式
路由模式 透明模式 混合模式
Page10
路由模式
Trust区 PC
10.110.1.254
202.10.0.1
PC
PC
Untrust区
服务器 内部网络 10.110.1.0/24