防火墙安全策略

目录

一、防火墙种类

二、防火墙流量控制手段

1、包过滤技术（传统）

2、状态检测技术

（1）、状态检测机制

三、安全实验

1、拓扑

2、需求

3、配置思路

4、关键配置截图

5、验证

---

一、防火墙种类

对于防火墙来说就是针对哪个方向的某些流量禁掉。

防火墙种类：本身还是基于ACL对流量进行分类识别

1、包过滤防火墙

2、代理防火墙

3、状态检测防火墙

二、防火墙流量控制手段

1、包过滤技术（传统）

包过滤技术（传统）：对于转发的数据包，先获取包头信息（网络层【源IP、目的IP】和传输层【源端口、目的端口】头部），然后和设定的规则进行比较（和本地ACL进行比较是否匹配），根据比较的结果对数据包进行转发或丢弃。

ICMP不具备传输层协议，直接封装在网络层上，没有源目端口，但是网络层IP有一个协议字段标识上层使用协议。

一个协议之上，有不同的应用，传统ACL不能精细化上层应用，包过滤的问题：

（1）、不能精细化识别上层应用，只能粗略检测匹配协议。

2、状态检测技术

状态检测技术：除了基础的ACL，还支持多维度的条件精细策略（安全策略），安全策略就是按一定的规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略，规则的本质是包过滤。

ACL是基于五元组（源目IP、源目端口、协议号）

安全策略是基于五元组，匹配流量有：

（1）、条件：源目IP、源目端口、协议号、service服务、流量区域、应用、用户、时间段

（2）、动作：允许、禁止

<USG6000V1>system-view 从用户视图进入系统视图

[USG6000V1]sysname AF 改名

接口配置IP：

[AF]interface GigabitEthernet 0/0/0

[AF-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[AF]interface GigabitEthernet 1/0/0

[AF-GigabitEthernet1/0/0]ip address 192.168.1.254 24

配置区域，接入加入区域：

[AF]firewall zone trust 进入区域

[AF-zone-trust]add interface GigabitEthernet 0/0/0 接入加入区域

[AF]firewall zone untrust

[AF-zone-untrust]add interface GigabitEthernet 1/0/0

这个时间PC1去ping PC2，不通，原因是防火墙默认不同区域间是禁止访问的。

进入安全视图

[AF]security-policy

[AF-policy-security]default action permit 配置默认动作允许通过

放通策略后：

如果出现业务有影响，现网情况允许，放通所有策略来排查是否有策略影响。

配置策略

[AF-policy-security]rule name PC1-to-PC2

[AF-policy-security-rule-PC1-to-PC2]source-zone trust

[AF-policy-security-rule-PC1-to-PC2]destination-zone untrust

[AF-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 mask 255.255.255.0

[AF-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 24

[AF-policy-security-rule-PC1-to-PC2]service icmp

[AF-policy-security-rule-PC1-to-PC2]action deny

拒绝PC1到PC2的icmp协议后，ping失效

（1）、状态检测机制

状态检测机制：流量首包过来有安全策略允许通过，那么防火墙会创建一条会话表项，同时把流量转发，源目IP镜像流量也属于同一条流，五元组相同，五元组不同就会创建不同会话。

ICMP应用进程端口号，和TCP、UDP不太一样。

[AF]display firewall session table 看防火墙会话表项

2023-08-13 00:16:08.350

Current Total Sessions : 5

icmp VPN: public --> public 10.1.1.1:49184 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49952 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:49696 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50464 --> 192.168.1.1:2048

icmp VPN: public --> public 10.1.1.1:50208 --> 192.168.1.1:2048

三、安全实验

1、拓扑

2、需求

（1）、AR2属于ISP1（pri 40）区域

（2）、AR3属于ISP2（pri 45）区域

（3）、AR1可以访问ISP1和ISP2区域所有的主机

（4）、禁止AR1去telnet AR3

3、配置思路

（1）、IP地址（路由->防火墙）

（2）、防火墙接口加区域

（3）、路由器上的网关（默认路由）

（4）、安全策略

4、关键配置截图

这个策略两个条件，相同条件满足其中一个就可以（或的关系），不同条件至少满足其中一个（与的关系）。

security-policy

rule name AR1-to-ISP1

source-zone trust

destination-zone ISP1

destination-zone ISP2

source-address 10.1.1.0 mask 255.255.255.0

destination-address 172.16.1.0 mask 255.255.255.0

destination-address 192.168.1.0 mask 255.255.255.0

action permit

5、验证

AR1可以访问ISP1和ISP2

telnet策略：

没有拦截，安全策略从上往下匹配，命中其中一条，就会执行当前动作，不会往下。

把拒绝策略上移动到放通策略之前：把。。。移到before。。。之前

[FW1-policy-security]rule move AR1-NOto-AR3 before AR1-to-ISP1

无法telnet，拒绝策略匹配成功

除了telnet其他没有问题：