做网站怎么回本,安阳县陈佳,商丘 网站建设,沈阳网站建设哪家便宜1、设备特点
外观#xff1a; 功能特点#xff1a; 安全特性#xff1a; vFW的默认账号密码#xff1a;admin
2、安全区域
1#xff09;相同安全级别的集合
2#xff09;默认的安全域
【1】区域
trust、untrust、local#xff08;所有有接口属于local#xff0c;…1、设备特点
外观 功能特点 安全特性 vFW的默认账号密码admin
2、安全区域
1相同安全级别的集合
2默认的安全域
【1】区域
trust、untrust、local所有有接口属于local不能删除、management、DMZ
【2】特点
默认创建、区域没有接口、缺省的区域不能删除
【3】区域成员
对象接口和vlan、IP v4/v6子网、服务
优先级服务IP接口和vlan
安全实例用于指定安全策略
[vFW-acl-ipv4-adv-3001]dis this
#
acl advanced 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255
#
[vFW-zone-pair-security-Trust-Any]dis this
#
zone-pair security source Trust destination Any packet-filter 3001
#
①包过滤配置安全实例→包过滤
②对象组的对象策略
对象组用于匹配数据包的特征
查看命令[vFW]display current-configuration configuration obj-grp
特征IP地址、MAC地址、协议
对象策略根据对象的匹配类型定义各个对象组之间的策略 一个对象策略可以存在多条规则
查看命令[vFW]display current-configuration configuration object-policy-ip
匹配顺序与创建顺序有关
特点对象策略匹配对象组如果不存在则不匹配任何报文 对象策略不指定对象组该规则匹配所有报文
配置步骤
1、放行Trust区域中10.1.1.0/24到其他区域的任意IP流量。
①定义对象组
object-group ip address Inside 0 network subnet 192.168.1.0 255.255.255.0
②定义对象策略
object-policy ip TRUST-TO-ANY rule 0 pass source-ip Inside
③调用策略
[vFW]zone-pair security source trust destination any
[vFW-zone-pair-security-Trust-Any]object-policy apply ip TRUST-TO-ANY
[vFW-zone-pair-security-Trust-Any]qu
2、只放行DMZ区域到Trust区域中10.1.1.1/24的telnet流量。
①定义对象组
object-group ip address DMZ 0 network subnet 172.16.2.0 255.255.255.0
object-group ip address Inside_PC1 0 network host address 192.168.1.1
object-group service Service_telnet 0 service tcp destination eq 23
②定义对象策略
object-policy ip DMZ-TO-TRUST rule 0 pass source-ip DMZ destination-ip Inside_PC1 service Service_telnet
③调用策略
[vFW]zone-pair security source DMZ destination trust
[vFW-zone-pair-security-DMZ-Trust]object-policy apply ip DMZ-TO-TRUST
[vFW-zone-pair-security-DMZ-Trust]qu
3、只放行Untrust区域的10.1.4.0/24到DMZ区域中10.1.2.1/24的HTTP和telnet流量。
①定义对象组
object-group ip address DMZ_srv 0 network host address 172.16.2.1
object-group ip address Outside 0 network subnet 202.101.12.0 255.255.255.0
object-group service Service_HTTP 0 service tcp destination eq 80 10 service tcp destination eq 23
②定义对象策略
object-policy ip UNTRUST_TO_DMZ rule 0 pass source-ip Outside destination-ip DMZ_srv service Service_HTTP
③调用策略
[vFW]zone-pair security source untrust destination dmz
[vFW-zone-pair-security-Untrust-DMZ]object-policy apply ip UNTRUST_TO_DMZ
[vFW-zone-pair-security-Untrust-DMZ]qu
③ASPF
同一个区域内的接口间如果没有安全实例默认是丢包
3、基本配置
区域添加接口 查看命令 DHCP 设置域间策略: 4、安全策略
1定义
根据报文的属性特征指导报文的转发行为和DPI深度报文检测
2应用
防火墙转发报文、流量访问防火墙telnet
3发展
ALC采用五元组匹配流量涉及的层次不高、UTM、NGFW
4构成
过滤条件(设置IP、用户、区域、协议等信息可以设置多种因数)
设置动作放行、拒绝、DPI
5顺序
先创建先匹配限制越严格写前面
6流程 7注意事项
非management和非local安全的报文都会被丢弃
当需要访问防火墙时需要配置源安全区域到local区域的安全策略
限制越严格写前面
8配置的顺序
1、允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的Web服务
security-policy ip rule 0 name zongcaiban_to_database action pass source-zone zongcaiban destination-zone database source-ip-subnet 192.168.1.0 255.255.255.0
destination-ip-subnet 172.16.2.0 255.255.255.0
service http
2、允许财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。
①设置工作时间
[vFW]time-range Worktime 08:00 to 18:00 working-day
②设置策略
security-policy ip rule 1 name caiwubu_to_database action pass time-range Worktime source-zone caiwubu destination-zone database source-ip-subnet 202.101.12.0 255.255.255.0
destination-ip-subnet 172.16.2.0 255.255.255.0
service http
5、设备的管理登入
若是要进行非management安全区域主机对设备进行登录则要记得写安全策略
telnet
[vFW]telnet server enable 开启telnet服务
[vFW]line vty 0 4设置远程登入
[vFW-line-vty0-4]authentication-mode scheme --- AAA认证
[vFW-line-vty0-4]qu
[vFW]local-user LTL class manage 创建账号
[vFW-luser-manage-LTL]password simple abc123456设置密码
[vFW-luser-manage-LTL]service-type telnet开启服务
[vFW-luser-manage-LTL]qu HTTP 若是要进行非management安全区域主机对设备进行登录则要记得写安全策略
