網絡運維|防火墻基于服務的轉發策略

2020-05-29 17:16 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，想要學習防火墻必須會配置轉發策略。簡單網絡安全設備維護，從防火墻學起,一步一步學成網絡安全設備維護大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維護信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維護信息。專業的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

基于服務的轉發策略

介紹通過服務（基于端口的協議）控制訪問權限的舉例。

組網需求

某企業對外提供Web服務和FTP服務，其中Web服務使用非知名的8080端口，如圖7-18所示。需要限制外網只能訪問服務器所在的區域（DMZ）中的Web服務器和FTP服務器。

圖  基于協議的轉發策略 

項目	數據	說明
（1）	接口號：GigabitEthernet 0/0/2 IP地址：192.168.5.1/24	與內網連接的設備接口。
（2）	接口號：GigabitEthernet 0/0/3 IP地址：1.1.1.1/24	與外網連接的設備接口。
FTP服務器	IP地址：192.168.5.3/24 端口：21	–
Web服務器	IP地址：192.168.5.2/24 端口：8080	–

配置思路

本例需要限制外網只能訪問Web服務器和FTP服務器，也就是需要限制服務（協議）類型，可以通過在轉發策略中引用服務的方式配置轉發策略。服務包括預定義服務、自定義服務和服務組。

1. FTP服務器直接使用知名端口21提供FTP服務。Web服務器由于使用非知名端口8080提供Web服務，需要配置自定義服務實現非知名端口與知名端口的映射，使用戶能夠直接通過知名端口對Web服務器訪問。

自定義服務配置的菜單路徑為：“防火墻 > 服務 > 自定義服務”。

2. 配置外網訪問服務器的轉發策略，并在其中引用服務集。

轉發策略配置的菜單路徑為：“防火墻 > 安全策略 > 轉發策略”。

說明：

· 本例只給出轉發策略的配置步驟，實際網絡中還需要配置NAT Server使外網通過公網地址訪問服務器，注意轉發策略的目的IP地址是NAT Server轉換后的服務器實際私網IP地址和提供服務的端口。

· USG上需要在“路由 > 靜態 > 靜態路由”中配置缺省路由。

· 如果局域網使用二層接口卡的LAN口接入，需要將物理口加入VLAN并配置Vlanif。此時需要將Vlanif接口加入DMZ域并配置轉發策略。

操作步驟

1. 配置接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應的。

c. 配置接口GigabitEthernet 0/0/2。

配置參數如下：

· 安全區域：dmz

· 模式：路由

· 連接類型：靜態IP

· IP地址：192.168.5.1

· 子網掩碼：255.255.255.0

d. 單擊“應用”。

e. 重復上述步驟配置接口GigabitEthernet 0/0/3。

配置參數如下：

· 安全區域：untrust

· 模式：路由

· 連接類型：靜態IP

· IP地址：1.1.1.1

· 子網掩碼：255.255.255.0

2. 配置名稱為http_8080的自定義服務，指定目的端口為8080。

a. 選擇“防火墻 > 服務 > 自定義服務”。

b. 在“自定義服務列表”中單擊。

http_8080自定義服務的參數配置如圖7-19所示。

圖7-19  配置http_8080自定義服務 


c. 單擊“應用”。

3. 配置允許外網訪問FTP服務器和Web服務器的轉發策略，并引用服務。

a. 選擇“防火墻 > 安全策略 > 轉發策略”。

b. 選擇“轉發策略”頁簽。

c. 在“轉發策略列表”中單擊。

該轉發策略的具體參數配置如圖7-20所示。

圖7-20  配置外網允許訪問FTP服務器的轉發策略 


d. 單擊“應用”。

e. 重復3.a～3.d，配置外網允許訪問Web服務器的轉發策略。

該轉發策略的具體參數配置如圖7-21所示。

圖7-21  配置外網允許訪問Web服務器的轉發策略 



4. （可選）配置Untrust-DMZ域間入方向的缺省包過濾策略為deny。

 說明：

缺省情況下，Untrust-DMZ域間入方向的缺省包過濾策略為deny，如果之前已經配置了permit請注意配置此步驟。

a. 選擇“防火墻 > 安全策略 > 轉發策略”。

b. 選擇“轉發策略”頁簽。

c. 在“轉發策略列表”中單擊“untrust->dmz”下面“默認”對應的。

“untrust->dmz”默認轉發策略的配置如圖7-22所示。

圖7-22  配置Untrust-DMZ域間入方向的缺省包過濾策略為deny 


d. 單擊“應用”。

5. （可選）配置ASPF。

 說明：

缺省情況下，設備僅開啟ftp、pptp以及rtsp協議的ASPF功能。如果DMZ安全區域與Untrust安全區域的域間FTP協議ASPF未開啟，請進入命令行視圖執行如下操作：

[USG] firewall interzone dmz untrust

[USG-interzone-dmz-untrust] detect ftp

[USG-interzone-dmz-untrust] quit

結果驗證

驗證外網是否只能訪問FTP和Web服務器，如果不能訪問說明配置錯誤，請檢查配置過程。

以上文章由北京艾銻無限科技發展有限公司整理