实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
防火墙篇之安全策略部署
9.1 Policy部署
说明:不同USG型号的防火墙策略默认出厂不太一样,比如用的USG 5500则默认需要配置策略放行,否则流量都不通过,只有Local到Trust一些流量默认是放行的,而USG 2200系列的话,就默认全是Permit的,不需要放行流量,如果不确定的话,可以通过命令 display firewall packet-filter default all 查看。
可以看到只有少数的是Permit的,其余默认都是deny的,在部署之前首先要明白方向性,只有明白了方向性的才好进行部署。
什么是inbound与Outbound流量。
首先要明白,inbound与Outbound是针对优先级来说的,从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量,比如Trust到Untrust的流量,也就是内网访问外网的流量。而低级别到高级别的流量成为inbound,也就是Untrust的流量到Trust,外网主动访问内网的流量。
2、假设我们映射了一台WeB服务给外网访问,那么则是ISP的流量抵达Trust或者dMZ,这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。
部署需要考虑到的因素
1、是否需要进行时间控制,比如只允许员工在规定的时间段内访问外网或者特定的资源
2、是否需要排除某些IP不能访问外网
3、是否需要日志记录或者流量统计等。
9.1.1具体实现配置【访问Internet的策略】
为什么需要Ntp呢,主要是因为要部署时间控制的话,则必须用到准确的时间,有时候设备的电池没电了的话,那么时间是不会保存的,那么会导致时间不正确,在不正确的情况下,基于时间的策略则变得毫无意义。
至于NTP服务器可以百度一下,国内有几个公用的服务器的,也可以内网假设一台服务器。
[USG-GW]ntp-service unicast-server 192.168.88.251
在一定的时间内,USG会与时间服务器进行同步,当然如果有验证之类的 则还需要启用验证功能,一般公用的都没有认证。
2、定义时间策略
我们希望除了Boss以外的部门都是在下班时间可以访问公网,而Boss的话则没任何限制。【需求可以根据实际情况来决定。】
[USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day
[USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day
说明:总共定义了4条,在工作日的时候,除了中午休息时间,与下班时间可以对于Internet的访问,而上班时间则不可以,但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。
3、定制策略
说明:这次的部署中有2个ISP,而且之前是自定义的Zone,所以这里不在是Untrust了,而是ISP_dx ,ISP_lT
内网到电信ISP的策略
[USG-GW]policy interzone trust isp_dx outbound
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit
说明:这里定义了一个Trust去往ISP-dx的Outbound的流量,也就是高优先级到低优先级的流量,定了2个Policy,一个是当匹配源为192.168.20.0的时候,直接放行【该网段为BOSS网段】,另外下面一个则是直接匹配了内网所有网段然后调用了时间策略,在放行,这样做的效果就是,BOSS的是永远不受时间限制的,因为策略是从上往下依次匹配,当匹配成功了一个后,则不继续往下匹配,所以这里BOSS的流量直接从POlicy 1出去了,而不会受到Policy 2的影响。
验证策略
说明:这里还没部署Nat,所以不能实际操作,但是可以通过查看来看策略是否生效
可以看到有2个策略,现在没任何匹配。
可以看到现在是inactive的,也就是不生效的。
因为现在是星期四的早上10点,不在策略的范围内。
内网到联通ISP的策略【这里只给出配置,跟上面一致】
学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~[/v_act]