防火墙配置基础

防火墙需要有如下几个步骤:

1、配置接口IP,并划到对应的安全域zone。

2、配置路由。

3、配置防火墙控制策略(这个一定要配置),如

     policy from "l2-untrust" to "l2-trust"
         rule id 2
         action permit
         src-addr "Any"
        dst-addr "Any"
        service "Any"

4、配置防火墙NAT(如果不访问外网,可以不配置),如

     snatrule id 1 from "Any" to "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport 

5、配置端口映射(如果没有端口需要映射,可以不配置)。这里有3个步骤,

       5.1、添加服务簿,如

                service "TCP_8088"
                     description "TCP_8088"
                     tcp dst-port 8088 src-port 0 65535 timeout 1800

         5.2、添加地址簿,如

               address "ShuiLi_server"
                      reference-zone "trust"
                      description "ShuiLi_Server"
                      ip 10.45.163.67/32

        5.3、防火墙NAT中的目的NAT

               dnatrule id 1 from "Any" to "ipv4.ethernet0/4" service "TCP_8088" trans-to "ShuiLi_server" port 8088 




注意细节:

1)防火墙控制策略:原则就是区域A要主动访问区域B只需要单向放行就OK了(即策略放行区域A的源IP访问区域B的目标IP),这就是防火墙功能强大的地方。例如只是让trust(内部局域网)访问untrust外网,即trust为源IP而untrust为目标IP,那么只需要单向的把trust指向untrust的源IP段放行访问任意目标IP就行,这样就可以正常上网了,而外网(untrust)即使有可达内网(trust)的路由也不能访问到内网trust的。如果要让untrust作为源ip主动访问trust为目标IP,那么也只单向untrust到trust放行就可以(与trust有没有放行到untrust无关),这untrusrt向trust放行在端口映射时很重要。  



2)做端口映射时“添加服务簿”:这个服务簿其实是网络或者软件协议而已,这此协议一般都有源端口和目标端口,(这个服务簿可以说明是防火墙规则最严密表现)。既然有源端口与目标端口,那么配置时一定要小心了。一般远程主机访问服务器时,其(远程主机)的端口(即源端口)是随机的,而目标端口就是服务器中软件要映射的端口了,所以配置时一定要将源端口为任意,目标端口为指定。假如将源端口与目标端口都配置成一样(如8088),那么除非将远程主机强制用8088访问,否则远程主机不可能访问到服务器的。

错误“添加服务簿”如下从而无法映射成功:

防火墙配置基础_第1张图片


正确添加服务簿最后才映射成功。

防火墙配置基础_第2张图片






你可能感兴趣的:(路由器/交换机)