13.防火墙篇之安全策略部署

http://ccieh3c.com/?p=1630

拓扑

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。（拖动到新窗口打开即可）

防火墙篇之安全策略部署

分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全，进行检测，怎么检测的呢，防火墙分区域的，当Trust区域（高级别）访问Untrust（低级别，也就是ISP网络）的时候，可以全部访问，而防火墙动态创建状态化信息，数据包从外边返回的时候，根据状态化信息来放行，而ISP的网络想主动访问内部则不行，因为低级别访问高级级别inbound的流量都是被拒绝的，除非做策略开放，所以我们第一个要做的就是策略。 想要访问internt，而内网都是私网地址，需要访问ISP的话，则必须把私网地址访问成公网地址，所以必须部署NAT技术，另外有对外提供服务【比如WeB，fTP等】需要做NAT Server技术。在有多ISP的情况下，我们希望能够实现负载分担或者是备份功能，那么我们必须部署策略路由、静态路由、浮动路由、NQA或者IP-lInk技术，来动态的检测链路的状态，从而动态的切换。 另外分部与出差的员工需要访问公司内网，所以还需要部署VPN技术。 总结就是： 1、部署Policy 2、部署Nat 3、部署双ISP出口路由与自动切换技术。 4、部署VPN

9.1 Policy部署

说明：不同USG型号的防火墙策略默认出厂不太一样，比如用的USG 5500则默认需要配置策略放行，否则流量都不通过，只有Local到Trust一些流量默认是放行的，而USG 2200系列的话，就默认全是Permit的，不需要放行流量，如果不确定的话，可以通过命令 display firewall packet-filter default all 查看。

可以看到只有少数的是Permit的，其余默认都是deny的，在部署之前首先要明白方向性，只有明白了方向性的才好进行部署。

什么是inbound与Outbound流量。

首先要明白，inbound与Outbound是针对优先级来说的，从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量，比如Trust到Untrust的流量，也就是内网访问外网的流量。而低级别到高级别的流量成为inbound，也就是Untrust的流量到Trust，外网主动访问内网的流量。

1、假设我们需要访问外网，而默认情况下Trust到ISP的Zone是deny的，那么我们需要放行Trust到ISP的Outbound的流量，这样就可以正常访问外网了（假设已经部署了Nat）
2、假设我们映射了一台WeB服务给外网访问，那么则是ISP的流量抵达Trust或者dMZ，这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。

 

部署需要考虑到的因素

1、是否需要进行时间控制，比如只允许员工在规定的时间段内访问外网或者特定的资源
2、是否需要排除某些IP不能访问外网
3、是否需要日志记录或者流量统计等。

9.1.1具体实现配置【访问Internet的策略】

1、部署NTP
为什么需要Ntp呢，主要是因为要部署时间控制的话，则必须用到准确的时间，有时候设备的电池没电了的话，那么时间是不会保存的，那么会导致时间不正确，在不正确的情况下，基于时间的策略则变得毫无意义。
至于NTP服务器可以百度一下，国内有几个公用的服务器的，也可以内网假设一台服务器。
[USG-GW]ntp-service unicast-server 192.168.88.251
在一定的时间内，USG会与时间服务器进行同步，当然如果有验证之类的 则还需要启用验证功能，一般公用的都没有认证。

 

2、定义时间策略
我们希望除了Boss以外的部门都是在下班时间可以访问公网，而Boss的话则没任何限制。【需求可以根据实际情况来决定。】
[USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day
[USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day
说明：总共定义了4条，在工作日的时候，除了中午休息时间，与下班时间可以对于Internet的访问，而上班时间则不可以，但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。

3、定制策略
说明：这次的部署中有2个ISP，而且之前是自定义的Zone，所以这里不在是Untrust了，而是ISP_dx ，ISP_lT
内网到电信ISP的策略
[USG-GW]policy interzone trust isp_dx outbound
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit
说明：这里定义了一个Trust去往ISP-dx的Outbound的流量，也就是高优先级到低优先级的流量，定了2个Policy，一个是当匹配源为192.168.20.0的时候，直接放行【该网段为BOSS网段】，另外下面一个则是直接匹配了内网所有网段然后调用了时间策略，在放行，这样做的效果就是，BOSS的是永远不受时间限制的，因为策略是从上往下依次匹配，当匹配成功了一个后，则不继续往下匹配，所以这里BOSS的流量直接从POlicy 1出去了，而不会受到Policy 2的影响。

验证策略

说明：这里还没部署Nat，所以不能实际操作，但是可以通过查看来看策略是否生效

可以看到有2个策略，现在没任何匹配。

可以看到现在是inactive的，也就是不生效的。

因为现在是星期四的早上10点，不在策略的范围内。

内网到联通ISP的策略【这里只给出配置，跟上面一致】