網絡運維|防火墻基于服務的轉發(fā)策略

2020-05-29 17:16 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，想要學習防火墻必須會配置轉發(fā)策略。簡單網絡安全設備維護，從防火墻學起,一步一步學成網絡安全設備維護大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維護信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維護信息。專業(yè)的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

基于服務的轉發(fā)策略

介紹通過服務（基于端口的協(xié)議）控制訪問權限的舉例。

組網需求

某企業(yè)對外提供Web服務和FTP服務，其中Web服務使用非知名的8080端口，如圖7-18所示。需要限制外網只能訪問服務器所在的區(qū)域（DMZ）中的Web服務器和FTP服務器。

圖  基于協(xié)議的轉發(fā)策略 

項目	數據	說明
（1）	接口號：GigabitEthernet 0/0/2 IP地址：192.168.5.1/24	與內網連接的設備接口。
（2）	接口號：GigabitEthernet 0/0/3 IP地址：1.1.1.1/24	與外網連接的設備接口。
FTP服務器	IP地址：192.168.5.3/24 端口：21	–
Web服務器	IP地址：192.168.5.2/24 端口：8080	–

配置思路

本例需要限制外網只能訪問Web服務器和FTP服務器，也就是需要限制服務（協(xié)議）類型，可以通過在轉發(fā)策略中引用服務的方式配置轉發(fā)策略。服務包括預定義服務、自定義服務和服務組。

1. FTP服務器直接使用知名端口21提供FTP服務。Web服務器由于使用非知名端口8080提供Web服務，需要配置自定義服務實現非知名端口與知名端口的映射，使用戶能夠直接通過知名端口對Web服務器訪問。

自定義服務配置的菜單路徑為：“防火墻 > 服務 > 自定義服務”。

2. 配置外網訪問服務器的轉發(fā)策略，并在其中引用服務集。

轉發(fā)策略配置的菜單路徑為：“防火墻 > 安全策略 > 轉發(fā)策略”。

說明：

· 本例只給出轉發(fā)策略的配置步驟，實際網絡中還需要配置NAT Server使外網通過公網地址訪問服務器，注意轉發(fā)策略的目的IP地址是NAT Server轉換后的服務器實際私網IP地址和提供服務的端口。

· USG上需要在“路由 > 靜態(tài) > 靜態(tài)路由”中配置缺省路由。

· 如果局域網使用二層接口卡的LAN口接入，需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入DMZ域并配置轉發(fā)策略。

操作步驟

1. 配置接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應的。

c. 配置接口GigabitEthernet 0/0/2。

配置參數如下：

· 安全區(qū)域：dmz

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：192.168.5.1

· 子網掩碼：255.255.255.0

d. 單擊“應用”。

e. 重復上述步驟配置接口GigabitEthernet 0/0/3。

配置參數如下：

· 安全區(qū)域：untrust

· 模式：路由

· 連接類型：靜態(tài)IP

· IP地址：1.1.1.1

· 子網掩碼：255.255.255.0

2. 配置名稱為http_8080的自定義服務，指定目的端口為8080。

a. 選擇“防火墻 > 服務 > 自定義服務”。

b. 在“自定義服務列表”中單擊。

http_8080自定義服務的參數配置如圖7-19所示。

圖7-19  配置http_8080自定義服務 


c. 單擊“應用”。

3. 配置允許外網訪問FTP服務器和Web服務器的轉發(fā)策略，并引用服務。

a. 選擇“防火墻 > 安全策略 > 轉發(fā)策略”。

b. 選擇“轉發(fā)策略”頁簽。

c. 在“轉發(fā)策略列表”中單擊。

該轉發(fā)策略的具體參數配置如圖7-20所示。

圖7-20  配置外網允許訪問FTP服務器的轉發(fā)策略 


d. 單擊“應用”。

e. 重復3.a～3.d，配置外網允許訪問Web服務器的轉發(fā)策略。

該轉發(fā)策略的具體參數配置如圖7-21所示。

圖7-21  配置外網允許訪問Web服務器的轉發(fā)策略 



4. （可選）配置Untrust-DMZ域間入方向的缺省包過濾策略為deny。

 說明：

缺省情況下，Untrust-DMZ域間入方向的缺省包過濾策略為deny，如果之前已經配置了permit請注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉發(fā)策略”。

b. 選擇“轉發(fā)策略”頁簽。

c. 在“轉發(fā)策略列表”中單擊“untrust->dmz”下面“默認”對應的。

“untrust->dmz”默認轉發(fā)策略的配置如圖7-22所示。

圖7-22  配置Untrust-DMZ域間入方向的缺省包過濾策略為deny 


d. 單擊“應用”。

5. （可選）配置ASPF。

 說明：

缺省情況下，設備僅開啟ftp、pptp以及rtsp協(xié)議的ASPF功能。如果DMZ安全區(qū)域與Untrust安全區(qū)域的域間FTP協(xié)議ASPF未開啟，請進入命令行視圖執(zhí)行如下操作：

[USG] firewall interzone dmz untrust

[USG-interzone-dmz-untrust] detect ftp

[USG-interzone-dmz-untrust] quit

結果驗證

驗證外網是否只能訪問FTP和Web服務器，如果不能訪問說明配置錯誤，請檢查配置過程。

以上文章由北京艾銻無限科技發(fā)展有限公司整理