网络运维|防火墙基于服务的转发策略
2020-05-29 17:16 作者:艾锑无限 浏览量:
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容,想要学习
防火墙必须会配置转发策略。简单
网络安全设备维护,从防火墙学起,一步一步学成
网络安全设备维护大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维护信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维护信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
基于服务的转发策略
介绍通过服务(基于端口的协议)控制访问权限的举例。
组网需求
某企业对外提供Web服务和FTP服务,其中Web服务使用非知名的8080端口,如图7-18所示。需要限制外网只能访问服务器所在的区域(DMZ)中的Web服务器和FTP服务器。
图 基于协议的转发策略
项目 |
数据 |
说明 |
(1) |
接口号:GigabitEthernet 0/0/2
IP地址:192.168.5.1/24 |
与内网连接的设备接口。 |
(2) |
接口号:GigabitEthernet 0/0/3
IP地址:1.1.1.1/24 |
与外网连接的设备接口。 |
FTP服务器 |
IP地址:192.168.5.3/24
端口:21 |
– |
Web服务器 |
IP地址:192.168.5.2/24
端口:8080 |
– |
配置思路
本例需要限制外网只能访问Web服务器和FTP服务器,也就是需要限制服务(协议)类型,可以通过在转发策略中引用服务的方式配置转发策略。服务包括预定义服务、自定义服务和服务组。
1. FTP服务器直接使用知名端口21提供FTP服务。Web服务器由于使用非知名端口8080提供Web服务,需要配置自定义服务实现非知名端口与知名端口的映射,使用户能够直接通过知名端口对Web服务器访问。
自定义服务配置的菜单路径为:“防火墙 > 服务 > 自定义服务”。
2. 配置外网访问服务器的转发策略,并在其中引用服务集。
转发策略配置的菜单路径为:“防火墙 > 安全策略 > 转发策略”。
说明:
· 本例只给出转发策略的配置步骤,实际网络中还需要配置NAT Server使外网通过公网地址访问服务器,注意转发策略的目的IP地址是NAT Server转换后的服务器实际私网IP地址和提供服务的端口。
· USG上需要在“路由 > 静态 > 静态路由”中配置缺省路由。
· 如果局域网使用二层接口卡的LAN口接入,需要将物理口加入VLAN并配置Vlanif。此时需要将Vlanif接口加入DMZ域并配置转发策略。
操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/2对应的
。
c. 配置接口GigabitEthernet 0/0/2。
配置参数如下:
· 安全区域:dmz
· 模式:路由
· 连接类型:静态IP
· IP地址:192.168.5.1
· 子网掩码:255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/3。
配置参数如下:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:1.1.1.1
· 子网掩码:255.255.255.0
2. 配置名称为http_8080的自定义服务,指定目的端口为8080。
a. 选择“防火墙 > 服务 > 自定义服务”。
b. 在“自定义服务列表”中单击
。
http_8080自定义服务的参数配置如图7-19所示。
图7-19 配置http_8080自定义服务
c. 单击“应用”。
3. 配置允许外网访问FTP服务器和Web服务器的转发策略,并引用服务。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击
。
该转发策略的具体参数配置如图7-20所示。
图7-20 配置外网允许访问FTP服务器的转发策略
d. 单击“应用”。
e. 重复3.a~3.d,配置外网允许访问Web服务器的转发策略。
该转发策略的具体参数配置如图7-21所示。
图7-21 配置外网允许访问Web服务器的转发策略
4. (可选)配置Untrust-DMZ域间入方向的缺省包过滤策略为deny。
说明:
缺省情况下,Untrust-DMZ域间入方向的缺省包过滤策略为deny,如果之前已经配置了permit请注意配置此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击“untrust->dmz”下面“默认”对应的
。
“untrust->dmz”默认转发策略的配置如图7-22所示。
图7-22 配置Untrust-DMZ域间入方向的缺省包过滤策略为deny
d. 单击“应用”。
5. (可选)配置ASPF。
说明:
缺省情况下,设备仅开启
ftp、
pptp以及
rtsp协议的ASPF功能。如果DMZ安全区域与Untrust安全区域的域间FTP协议ASPF未开启,请进入命令行视图执行如下操作:
[USG]
firewall interzone dmz untrust
[USG-interzone-dmz-untrust]
detect ftp
[USG-interzone-dmz-untrust]
quit
结果验证
验证外网是否只能访问FTP和Web服务器,如果不能访问说明配置错误,请检查配置过程。
以上文章由北京艾锑无限科技发展有限公司整理