一.安全区域:
进入防火墙用户名:admin 默认密码:Admin@123(看好了A是大写的),然后提示修改密码,输入就密码,在输入新密码两次。
[USG6000V1]dis zone //查看区域命令
①线配置好防火墙端口IP地址和各个设备的IP地址,配置方法和交换机、防火墙一样。
防火墙和路由器不同,路由器因为是直连接口,有直连路由表,配置好接口IP就能互通,而防火墙不可以。
②将各个端口加入到所属区域内,操作如下:
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/1
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface g1/0/0
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/2
[USG6000V1]dis zone //查看一下端口加入区域情况
注意:所有的接口还是属于local区域,接口下所连接的区域才属于加入的区域。
不同的安全区域不能互访,相同的安全区域可以互访。
可以自己创建一个区域,但是优先级不能和现有区域相同,例如:
[USG6000V1]firewall zone name jionlabs
[USG6000V1-zone-jionlabs]set priority 80
[USG6000V1-zone-jionlabs]dis th
firewall zone name jionlabs id 4
set priority 80
二.安全策略:
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则流量被执行对应的动作。
(注:五元组包括:源目IP地址、源目端口号、协议)
配置trust区域访问dmz区域安全策略:
[USG6000V1]security-policy //创建安全策略
[USG6000V1-policy-security]rule name trust_dmz //规则名称trust_dmz
[USG6000V1-policy-security-rule-trust_dmz]source-address 172.16.2.0 24
[USG6000V1-policy-security-rule-trust_dmz]destination-address 172.16.1.0 24
[USG6000V1-policy-security-rule-trust_dmz]service icmp //协议
[USG6000V1-policy-security-rule-trust_dmz]action permit //动作允许
PC1就可以PING 通server1了
安全策略组成
安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。
安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可以配置反馈报文。
Server1 ping PC1不通,因为我们定义的security-policy是trust_dmz单向的,所以还得配置dmz_trust方向的安全策略。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name dmz_trust
[USG6000V1-policy-security-rule-dmz_trust]source-address 172.16.1.0 24
[USG6000V1-policy-security-rule-dmz_trust]destination-address 172.16.2.0 24
[USG6000V1-policy-security-rule-dmz_trust]service icmp
[USG6000V1-policy-security-rule-dmz_trust]action permit
server1就可以PING 通PC1了
三.会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的的重要依据。
防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP、ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。
实验:
Server1创建一个HTTP 80端口的服务,用client2访问server1的HTTP服务,因为server1没有开启DMZ区域HTTP服务,所以client2访问不了server1。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_dmz
[USG6000V1-policy-security-rule-trust_dmz]service http //开启HTTP服务
[USG6000V1]dis firewall session table //查看防火墙会话表
2025-09-26 06:17:25.130
Current Total Sessions : 1
http VPN: public --> public 172.16.2.2:2050 --> 172.16.1.2:80
//协议HTTP 公共网络到公共网络 源地址 端口到 目的地址 端口号 形成五元组信息
会话表的老化时间与长连接
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如:
·用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。
·用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。此时如果其会话表项被删除,则该业务会中断。长连接(Longlink)机制可以给部分连接设定超长的老化时间,有效解决这个问题。
四.Server-map
多通道协议在防火墙上的问题
如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作,例如FTP。
FTP主动模式传输文件时,首先需要客户端主动向服务器端发起控制连接,然后需要服务器端向客户端发起数据连接。如果设备上配置的安全策略仅允许客户端报文单方向通过,则FTP文件传输不能成功。
同FTP,通信过程中需占用两个或两个以上端口的协议被称为多通道协议。多通道协议都需要考虑此类问题。
ASPF与Server-map
为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口。这需要开启ASPF(Application Specific Packet Filter,针对应用层的包过滤)功能。
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。通过Server-map表生成会话表。
Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。
开启ASPF解决多通道协议问题,是生成Server-map表的一种方式。
在trust_dmz安全策略里开启FTP服务
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_dmz
[USG6000V1-policy-security-rule-trust_dmz]service ftp
在server1建立FTP目录,client2登录并下载文件,迅速查看server-map和session表项。
[USG6000V1]dis firewall server-map
2025-09-26 07:50:32.900
Current Total Server-map : 1
Type: ASPF, 172.16.2.2 -> 172.16.1.2:2051, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13
Vpn: public -> public
[USG6000V1]dis firewall session table
2025-09-26 07:50:57.630
Current Total Sessions : 1
ftp VPN: public --> public 172.16.2.2:2051 +-> 172.16.1.2:21
五.防火墙的基本配置
配置Cloud1
1.双击cloud1先点增加
2.然后再绑定信息里选择一个虚拟网卡VMvare Network Adapter VMnet1-ip:192.168.198.1在点增加。
3.在端口映射设置-出端口编号-下拉选2,勾选双向通道,再点增加。
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.198.2 24
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit //可以放行HTTP服务
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //也可以方形所有服务
4.访问防火墙web页面一定要在浏览器输入https://192.168.198.2:8443,https和8443是重点。
配置一下防火墙G1/0/1接口IP
[USG6000V1-GigabitEthernet1/0/1]ip add 200.1.1.1 24
配置一下ISP路由器接口IP
[ISP-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[ISP-GigabitEthernet0/0/1]ip add 100.1.1.1 24
配置一下防火墙默认出口路由
[USG6000V1]ip route-static 0.0.0.0 0 200.1.1.2
配置防火墙NAT
[USG6000V1]nat-policy //NAT策略
[USG6000V1-policy-nat]rule name trust_untrust
[USG6000V1-policy-nat-rule-trust_untrust]source-zone trust
[USG6000V1-policy-nat-rule-trust_untrust]destination-zone untrust
[USG6000V1-policy-nat-rule-trust_untrust]source-address 172.16.2.0 24
[USG6000V1-policy-nat-rule-trust_untrust]action source-nat easy-ip
配置安全策略
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-trust_untrust]source-address 172.16.2.0 24
[USG6000V1-policy-security-rule-trust_untrust]action permit
Client2 ping 100.1.1.1 通,NAT转换成功!
配置nat server Client1访问server1
[USG6000V1]nat server ftp protocol tcp global interface g1/0/1 ftp inside 172.16
.1.2 ftp
//nat server名称ftp,协议tcp,全局出口g1/0/1端口ftp,内部IP172.16.1.2端口ftp
(配置完NAT必须得配置相应的安全策略)
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name untrust_dmz
[USG6000V1-policy-security-rule-untrust_dmz]source-zone untrust
[USG6000V1-policy-security-rule-untrust_dmz]destination-zone dmz
[USG6000V1-policy-security-rule-untrust_dmz]destination-address 172.16.1.2 32
[USG6000V1-policy-security-rule-untrust_dmz]service ftp
[USG6000V1-policy-security-rule-untrust_dmz]action permit
这样Client1就可以用公网IP:200.1.1.1访问server1的FTP服务了!
六.三层交换机与防火墙对接上网
1.PC1:IP-10.0.10.1 网关-10.0.10.254 掩码255.255.255.0
2.PC2:IP-10.0.20.1 网关-10.0.20.254 掩码255.255.255.0
3.配置核心交换机:
[LSW1]vlan batch 10 20 100
[LSW1]int vlan 10
[LSW1-Vlanif10]ip add 10.0.10.254 24
[LSW1-Vlanif10]int vlan 20
[LSW1-Vlanif20]ip add 10.0.20.254 24
[LSW1-Vlanif20]int vlan 100
[LSW1-Vlanif100]ip address 10.0.100.2 24
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 10
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 100
[LSW1]ip route-static 0.0.0.0 0 10.0.100.1
4.配置防火墙
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.198.2 24//配置和Cloud1虚拟网卡同一网段IP地址
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit//开启管理接口服务
https://192.168.198.2:8443 进入防火墙WEB管理界面
网络--接口--G1/0/1--安全区域trust--IP地址10.0.100.1/24--启用访问管理HTTP、HTTPS、Ping、SSH、Telnet、SNMP--确定
网络--接口--G1/0/1--安全区域untrust--IP地址200.1.1.2/24--确定
网络--路由--静态路由--目的地址/掩码0.0.0.0/0.0.0.0--下一跳200.1.1.1--确定
网络--路由--静态路由--目的地址/掩码0.0.0.0/0.0.0.0--下一跳200.1.1.1--确定
网络--路由--静态路由--目的地址/掩码10.0.0.0/16--下一跳10.0.100.2--确定
策略--安全策略--新建安全策略--名称trust_untrust--源安全区域trust--目的安全区域untrust--源地址/地区10.0.10.0/24 10.0.20.0/24--动作允许--确定
策略--NAT策略--新建--名称Internet--NAT类型NAT--源安全区域trust--目的类型,目的安全区域untrust--源地址10.0.10.0/24 10.0.20.0/24--转换后的数据包,出接口地址--确定
配置ISP
[ISP-GigabitEthernet0/0/0]ip add 200.1.1.1 24
[ISP-LoopBack0]ip add 3.3.3.3 32
