天融信下一代防火墙(NGFW)
参考链接:
天融信NGFW管理手册.pdf
https://netmarket.oss.aliyuncs.com/bf0f64cb-1350-44e0-9e06-db55607821eb.pdf
天融信防火墙手册 - 百度文库
https://wenku.baidu.com/view/c577a0d869dc5022aaea00f0.html?tdsourcetag=s_pctim_aiomsg&qq-pf-to=pcqq.c2c
1、 问答
访问控制策略中包含多个策略组,每个策略组中包含多条访问控制,不同访问控制策略匹配的顺序是什么?策略组之间的匹配顺序是什么?访问原则是什么?
(1)访问控制策略匹配时,按照策略的排列顺序从上到下依次进行匹配,连接匹配访问控制策略的所有条件,则执行相应的策略动作,不再继续进行匹配,否则继续匹配下一条访问控制策略。
(2)访问控制策略匹配时会按照从上之下的顺序依次匹配不同策略组内的访问控制策略,直至成功匹配某一条访问控制策略或者匹配完所有策略组中的访问控制策略。
(3)首次匹配,如果报文匹配一条访问控制策略,防火墙执行相应的策略动作,不再继续匹配剩余的访问控制策略。
2、 典型案例,阐述对应需求需要配置的策略。
实验拓扑
实验需求
1- 内网vlan10 20两个地址段能_上互联网
2- 互联网能通过公网地址TCP80端口访问到server服务器TCP80
3- 内网用户能通过公网IP访问server服务器
4- server服务器允许上互联
5- server服务器不允许访问内网。
6- PC192.168.10.100允许访问SERVER服务器所有端口,其他内网用户只允许访问SERVER服务器TCP80端口.
IP地址规划
设备/区域
端口
IP地址
NGFW
Feth1
10.25.110.206/24 GW:10.25.110.1/24
Feth2
172.16.100.1/24
Feth3
172.16.200.254/24
SW1/内网区域
E0/0
172.16.100.2/24
VLAN10
192.168.10.254/24
VLAN20
192.168.20.254/24
Server/SERVER区域
E0/0
172.16.200.100/24 GW:172.16.200.254/24
PC1/内网区域
E0/0
192.168.10.100/24 GW:192.168.10.254/24
PC2/内网区域
E0/0
192.168.20.100/24 GW:192.168.20.254/24
1- 配置接口IP地址
选择 网络管理 > 接口 > 物理接口。点击接口“操作栏”的修改图标,弹出“编
辑”窗口。
配置接口模式和 IP 地址,模式为“路由”,接口 IP 地址的配置如下表所示。
接口
IP地址
Feth1
10.25.110.206/24
Feth2
172.16.100.1/24
Feth3
172.16.200.254/24
2- 配置路由,配置默认路由使NGFW可以访问互联网,再配置到达内网的静态路由,使NGFW可以和内网的PC进行通信
选择 网络管理 > 路由 > 静态路由。点击操作栏的“添加”图标,弹出“添加”窗口。
静态路由的的配置如下表所示。
目的地址/掩码
下一跳
0.0.0.0/0
10.25.110.1
192.168.10.0/24
172.16.100.2
192.168.20.0/24
172.16.100.2
配置完成后,路由表上可以看到配置的静态路由
3- 配置区域对象
选择资源管理—>区域,创建区域对象,点击操作栏的“添加”图标,弹出“添加”窗口。用以后面的地址转换和访问控制引用
按照下表添加区域对象
端口
区域名称
Feth1
area_feth1_inside
Feth2
area_feth2_outbound
Feth3
area_feth3_server
区域对象添加完成如下图
4- 配置主机和子网对象
选择资源管理—>地址,创建主机对象和子网对象,点击操作栏的“添加”图标,弹出“添加”窗口。用以后面的地址转换和访问控制引用
按照下表添加地址对象
对象名称
地址
外网地址_10.25.110.206
10.25.110.206
Server_172.16.200.100
172.16.200.100
管理主机_192.168.10.100
192.168.10.100
VLAN10_192.168.10.0
192.168.10.0
VLAN20_192.168.20.0
192.168.20.0
添加地址对象完成后
5- 配置服务对象
选择资源管理—>服务,先创建服务对象,然后再创建一个服务组,将创建好的服务对象加入到服务组中。点击操作栏的“添加”图标,弹出“添加”窗口。用以后面的访问控制引用
按照下表添加服务端口
服务名称
端口
TCP135-139
TCP135-139
UDP135-139
UDP135-139
TCP445
TCP445
UDP445
UDP445
添加完成后,加入到一个服务组中
6- 配置SNAT,使内网的PC1和PC2和SERVER区域可以访问互联网
依次选择安全策略—>地址转换—>NAT,然后点击操作栏的“添加”按钮。
SNAT的规则配置如下表
模式
源区域
目的区域
转换的地址为
源转换
VLAN10_192.168.10.0
area_feth1_inside
外网地址_10.25.110.206
源转换
VLAN20_192.168.20.0
area_feth1_inside
外网地址_10.25.110.206
源转换
area_feth3_server
area_feth1_inside
外网地址_10.25.110.206
配置完成后如下图
7- 配置DNAT,使互联网中的用户能使用公网地址访问SERVER区域的Web服务器。
依次选择安全策略—>地址转换—>NAT,然后点击操作栏的“添加”按钮。模式选择目的转换。
DNAT的规则配置如下表
模式
源区域
目的地址
目的端口
转换的目的地址
转换的目的端口
目的转换
area_feth1_inside
外网地址_10.25.110.206
80
Server_172.16.200.100
80
配置完成后如下图
8- 配置双向转换,使内网用户可以使用公网IP访问SERVER区域的web服务器的80服务。
依次选择安全策略—>地址转换—>NAT,然后点击操作栏的“添加”按钮。模式选择双向转换。
双向转换的规则配置如下表
模式
源地址
目的地址
目的端口
转换的源地址
转换的目的地址
转换的目的端口
双向
VLAN10_192.168.10.0 VLAN20_192.168.20.0
外网地址_10.25.110.206
80
外网地址_10.25.110.206
Server_172.16.200.100
80
完成配置如下图
9- 配置访问控制策略
实现功能如下:关闭勒索病毒端口;
Server区服务器允许上互联Server区服务器不允许访问内网。
PC192.168.10.100允许访问SERVER服务器所有端口,其他内网用户只允许访问SERVER服务器TCP80端口.
VLAN10的用户可以访问互联网,VLAN20属于临时上网区,需要登录test任何后上网,临时上网区的test用户可以访问互联网。
其他的执行默认拒绝动作
(1)选择 安全策略 > 访问控制。点击“添加”,选择“策略”,弹出“添加”窗口。
访问控制策略规则配置如下表
名称
源地址
源区域
用户
目的地址
目的区域
服务
动作
状态
描述
访问控制日志
策略1
any
/
/
any
/
病毒端口组
拒绝
启用
过滤勒索病毒端口
记录
策略2
/
Area_feth3_server
/
/
Area_feth1_inside
/
允许
启用
允许SERVER区域访问互联网
不记录
策略3
管理主机_192.168.10.100
/
/
Server_172.16.200.100
/
/
允许
启用
只允许管理主机访问server的所有端口
不记录
策略4
VLAN10_192.168.10.0 VLAN20_192.168.20.0
/
/
Server_172.16.200.100
/
HTTP
允许
启用
内网其他用户只能访问server的HTTP服务
不记录
策略5
VLAN10_192.168.10.0
/
/
/
Area_feth1_inside
/
允许
启用
允许VLAN10的内网用户访问互联网
不记录
策略6
/
/
test
/
Area_feth1_inside
/
允许
启用
允许内网VLAN20的临时上网区使用test账户登录认证后访问互联网
记录
策略7
any
/
/
any
/
/
拒绝
启用
拒绝所有
不记录
配置完成后如下图:
10- 所有配置完成后点击Web界面右上角的保存按钮,或者在配置过程中点击保存按钮,以免设备掉电配置丢失。
