拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
防火墙篇之安全策略部署
分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全,进行检测,怎么检测的呢,防火墙分区域的,当Trust区域(高级别)访问Untrust(低级别,也就是ISP网络)的时候,可以全部访问,而防火墙动态创建状态化信息,数据包从外边返回的时候,根据状态化信息来放行,而ISP的网络想主动访问内部则不行,因为低级别访问高级级别inbound的流量都是被拒绝的,除非做策略开放,所以我们第一个要做的就是策略。 想要访问internt,而内网都是私网地址,需要访问ISP的话,则必须把私网地址访问成公网地址,所以必须部署NAT技术,另外有对外提供服务【比如WeB,fTP等】需要做NAT Server技术。在有多ISP的情况下,我们希望能够实现负载分担或者是备份功能,那么我们必须部署策略路由、静态路由、浮动路由、NQA或者IP-lInk技术,来动态的检测链路的状态,从而动态的切换。 另外分部与出差的员工需要访问公司内网,所以还需要部署***技术。 总结就是: 1、部署Policy 2、部署Nat 3、部署双ISP出口路由与自动切换技术。 4、部署***
9.1 Policy部署
说明:不同USG型号的防火墙策略默认出厂不太一样,比如用的USG 5500则默认需要配置策略放行,否则流量都不通过,只有Local到Trust一些流量默认是放行的,而USG 2200系列的话,就默认全是Permit的,不需要放行流量,如果不确定的话,可以通过命令 display firewall packet-filter default all 查看。
可以看到只有少数的是Permit的,其余默认都是deny的,在部署之前首先要明白方向性,只有明白了方向性的才好进行部署。
什么是inbound与Outbound流量。
首先要明白,inbound与Outbound是针对优先级来说的,从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量,比如Trust到Untrust的流量,也就是内网访问外网的流量。而低级别到高级别的流量成为inbound,也就是Untrust的流量到Trust,外网主动访问内网的流量。
1、假设我们需要访问外网,而默认情况下Trust到ISP的Zone是deny的,那么我们需要放行Trust到ISP的Outbound的流量,这样就可以正常访问外网了(假设已经部署了Nat)
2、假设我们映射了一台WeB服务给外网访问,那么则是ISP的流量抵达Trust或者dMZ,这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。
部署需要考虑到的因素
1、是否需要进行时间控制,比如只允许员工在规定的时间段内访问外网或者特定的资源
2、是否需要排除某些IP不能访问外网
3、是否需要日志记录或者流量统计等。
9.1.1具体实现配置【访问Internet的策略】
1、部署NTP
为什么需要Ntp呢,主要是因为要部署时间控制的话,则必须用到准确的时间,有时候设备的电池没电了的话,那么时间是不会保存的,那么会导致时间不正确,在不正确的情况下,基于时间的策略则变得毫无意义。
至于NTP服务器可以百度一下,国内有几个公用的服务器的,也可以内网假设一台服务器。
[USG-GW]ntp-service unicast-server 192.168.88.251
在一定的时间内,USG会与时间服务器进行同步,当然如果有验证之类的 则还需要启用验证功能,一般公用的都没有认证。
2、定义时间策略
我们希望除了Boss以外的部门都是在下班时间可以访问公网,而Boss的话则没任何限制。【需求可以根据实际情况来决定。】
[USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day
[USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day
说明:总共定义了4条,在工作日的时候,除了中午休息时间,与下班时间可以对于Internet的访问,而上班时间则不可以,但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。
3、定制策略
说明:这次的部署中有2个ISP,而且之前是自定义的Zone,所以这里不在是Untrust了,而是ISP_dx ,ISP_lT
内网到电信ISP的策略
[USG-GW]policy interzone trust isp_dx outbound
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit
说明:这里定义了一个Trust去往ISP-dx的Outbound的流量,也就是高优先级到低优先级的流量,定了2个Policy,一个是当匹配源为192.168.20.0的时候,直接放行【该网段为BOSS网段】,另外下面一个则是直接匹配了内网所有网段然后调用了时间策略,在放行,这样做的效果就是,BOSS的是永远不受时间限制的,因为策略是从上往下依次匹配,当匹配成功了一个后,则不继续往下匹配,所以这里BOSS的流量直接从POlicy 1出去了,而不会受到Policy 2的影响。
验证策略
说明:这里还没部署Nat,所以不能实际操作,但是可以通过查看来看策略是否生效
可以看到有2个策略,现在没任何匹配。
可以看到现在是inactive的,也就是不生效的。
因为现在是星期四的早上10点,不在策略的范围内。