1、设备特点
外观:
功能特点:
安全特性:
vFW的默认账号密码:admin
2、安全区域
1)相同安全级别的集合
2)默认的安全域
【1】区域
trust、untrust、local(所有有接口属于local,不能删除)、management、DMZ
【2】特点
默认创建、区域没有接口、缺省的区域不能删除
【3】区域成员
对象:接口和vlan、IP v4/v6子网、服务
优先级:服务>IP>接口和vlan
安全实例:(用于指定安全策略)
[vFW-acl-ipv4-adv-3001]dis this
#
acl advanced 3001
rule 0 permit ip source 192.168.1.0 0.0.0.255
#
[vFW-zone-pair-security-Trust-Any]dis this
#
zone-pair security source Trust destination Any
packet-filter 3001
#
①包过滤(配置安全实例→包过滤)
②对象组的对象策略
对象组:用于匹配数据包的特征
查看命令:[vFW]display current-configuration configuration obj-grp
特征:IP地址、MAC地址、协议
对象策略:根据对象的匹配类型,定义各个对象组之间的策略
一个对象策略可以存在多条规则
查看命令:[vFW]display current-configuration configuration object-policy-ip
匹配顺序与创建顺序有关
特点:对象策略匹配对象组,如果不存在,则不匹配任何报文
对象策略不指定对象组,该规则匹配所有报文
配置步骤:
1、放行Trust区域中10.1.1.0/24到其他区域的任意IP流量。
①定义对象组
object-group ip address Inside
0 network subnet 192.168.1.0 255.255.255.0
②定义对象策略
object-policy ip TRUST-TO-ANY
rule 0 pass source-ip Inside
③调用策略
[vFW]zone-pair security source trust destination any
[vFW-zone-pair-security-Trust-Any]object-policy apply ip TRUST-TO-ANY
[vFW-zone-pair-security-Trust-Any]qu
2、只放行DMZ区域到Trust区域中10.1.1.1/24的telnet流量。
①定义对象组
object-group ip address DMZ
0 network subnet 172.16.2.0 255.255.255.0
object-group ip address Inside_PC1
0 network host address 192.168.1.1
object-group service Service_telnet
0 service tcp destination eq 23
②定义对象策略
object-policy ip DMZ-TO-TRUST
rule 0 pass source-ip DMZ destination-ip Inside_PC1 service Service_telnet
③调用策略
[vFW]zone-pair security source DMZ destination trust
[vFW-zone-pair-security-DMZ-Trust]object-policy apply ip DMZ-TO-TRUST
[vFW-zone-pair-security-DMZ-Trust]qu
3、只放行Untrust区域的10.1.4.0/24到DMZ区域中10.1.2.1/24的HTTP和telnet流量。
①定义对象组
object-group ip address DMZ_srv
0 network host address 172.16.2.1
object-group ip address Outside
0 network subnet 202.101.12.0 255.255.255.0
object-group service Service_HTTP
0 service tcp destination eq 80
10 service tcp destination eq 23
②定义对象策略
object-policy ip UNTRUST_TO_DMZ
rule 0 pass source-ip Outside destination-ip DMZ_srv service Service_HTTP
③调用策略
[vFW]zone-pair security source untrust destination dmz
[vFW-zone-pair-security-Untrust-DMZ]object-policy apply ip UNTRUST_TO_DMZ
[vFW-zone-pair-security-Untrust-DMZ]qu
③ASPF
同一个区域内的接口间,如果没有安全实例,默认是丢包
3、基本配置
区域添加接口
查看命令:
DHCP:
设置域间策略:
4、安全策略
1)定义
根据报文的属性特征指导报文的转发行为和DPI(深度报文检测)
2)应用:
防火墙转发报文、流量访问防火墙(telnet)
3)发展:
ALC(采用五元组匹配流量,涉及的层次不高)、UTM、NGFW
4)构成:
过滤条件(设置IP、用户、区域、协议等信息;可以设置多种因数)
设置动作:放行、拒绝、DPI
5)顺序
先创建先匹配;限制越严格写前面
6)流程
7)注意事项
非management和非local安全的报文都会被丢弃
当需要访问防火墙时,需要配置源安全区域到local区域的安全策略
限制越严格写前面
8)配置的顺序
1、允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的Web服务:
security-policy ip
rule 0 name zongcaiban_to_database
action pass
source-zone zongcaiban
destination-zone database
source-ip-subnet 192.168.1.0 255.255.255.0
destination-ip-subnet 172.16.2.0 255.255.255.0
service http
2、允许财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。
①设置工作时间:
[vFW]time-range Worktime 08:00 to 18:00 working-day
②设置策略:
security-policy ip
rule 1 name caiwubu_to_database
action pass
time-range Worktime
source-zone caiwubu
destination-zone database
source-ip-subnet 202.101.12.0 255.255.255.0
destination-ip-subnet 172.16.2.0 255.255.255.0
service http
5、设备的管理登入
若是要进行非management安全区域主机对设备进行登录,则要记得写安全策略
telnet:
[vFW]telnet server enable ---开启telnet服务
[vFW]line vty 0 4---设置VTY远程登入
[vFW-line-vty0-4]authentication-mode scheme --- AAA认证
[vFW-line-vty0-4]qu
[vFW]local-user LTL class manage ---创建账号
[vFW-luser-manage-LTL]password simple abc@123456---设置密码
[vFW-luser-manage-LTL]service-type telnet---开启服务
[vFW-luser-manage-LTL]qu
HTTP:
若是要进行非management安全区域主机对设备进行登录,则要记得写安全策略
![[蓝桥杯 2019 国 C] 数正方形](https://img-blog.csdnimg.cn/img_convert/37e64622fce05b654377046d21e33559.jpeg)
