具備應(yīng)用感知能力，并能夠基于應(yīng)用實(shí)施精細(xì)化的安全管控策略和層次化的帶寬管理手段，是NGFW引進(jìn)的最重要的能力。傳統(tǒng)的狀態(tài)檢

測(cè)防火墻工作在二到四層，不會(huì)對(duì)報(bào)文的載荷進(jìn)行檢查。NGFW能對(duì)七層檢測(cè)，可以清楚地呈現(xiàn)網(wǎng)絡(luò)中的具體業(yè)務(wù)，并實(shí)行管控。

• 利用防火墻以外的信息，增強(qiáng)管控能力

防火墻能夠利用其他IT系統(tǒng)提供的用戶信息、位置信息、統(tǒng)，實(shí)現(xiàn)基于用戶的安全策略，以應(yīng)對(duì)移動(dòng)辦公場(chǎng)景下，IP地址變化帶來(lái)的管控難題。漏洞和網(wǎng)絡(luò)資源信息等，幫助改進(jìn)和優(yōu)化安全策略。例如，通過(guò)集成用戶認(rèn)證系

防火墻的策略

• 定義與原理：

防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受”不信任”的網(wǎng)絡(luò)的攻擊，但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。

安全策略是控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略，作用就是對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)，符合安全策略的合法數(shù)據(jù)流才能通過(guò)防火墻。

• 防火墻的基本配置

1、在cloud上進(jìn)行進(jìn)行網(wǎng)卡的綁定

?2、連接cloud和防火墻的0/0/0端口，在防火墻上配置IP，此時(shí)IP和cloud上綁定的網(wǎng)卡為同一網(wǎng)段。注意：在進(jìn)入防火墻首先要進(jìn)行登錄，用戶名為：admin，密碼為 Admin@123，登陸后需要修改密碼

?

?3、配置完成后在瀏覽器中輸入防火墻配置的IP地址即可登錄防火墻的web配置界面，登錄后即可進(jìn)行配置

?

?首先以下圖為例，使用三層協(xié)議進(jìn)行配置

?首先將防火墻的1/0/0端口加入到trust區(qū)域，并配置IP地址，將1/0/1端口加入到untrust區(qū)域，并配置IP地址

?分別在兩臺(tái)PC上配置IP，掩碼和網(wǎng)關(guān)，此時(shí)，兩臺(tái)PC是無(wú)法ping通的，因?yàn)樵诜阑饓ι洗嬖谝粭l安全策略默認(rèn)拒絕所有

?

所以要使得PC1能夠ping通PC2，需要編寫(xiě)一條安全策略放通trust區(qū)域至untrunst區(qū)域的流量

?完成安全策略的編寫(xiě)后，再次使用PC1 ping PC2可以ping通

?再次使用此拓?fù)洌褂枚訁f(xié)議實(shí)現(xiàn)trunst區(qū)域至untrunst區(qū)域的通信

?將防火墻的1/0/0接口和1/0/1接口修改為二層接口并設(shè)置vlan

?分別為PC1和PC2配置IP和掩碼

?

?此時(shí)用PC1 ping PC 2，即使兩臺(tái)PC是同一網(wǎng)段，依舊是無(wú)法ping通，原因也是在防火墻上存在一條安全策略默認(rèn)拒絕所有，所以我們需要編寫(xiě)一條安全策略來(lái)實(shí)現(xiàn)trust區(qū)域與untrust區(qū)域的通信，由于此時(shí)我們使用的是二層協(xié)議，所以我們需要添加VLAN ID

?

?以上就是防火墻的二層、三層基本配置。

實(shí)驗(yàn)練習(xí)

?

?1、在cloud1上綁定網(wǎng)卡，完成配置后與防火墻的0/0/0口相連

?2、啟動(dòng)防火墻，配置0/0/0口的IP，使用瀏覽器登錄防火墻的web界面

?配置untrust區(qū)域
1、首先在路由器上為兩個(gè)接口配置IP地址

2. PC配置IP、掩碼和網(wǎng)關(guān)

?3、在防火墻上配置1/0/3為untrust區(qū)域

?此時(shí)，使用ISP路由器ping防火墻，即使路由器與防火墻為直連，但是依舊是無(wú)法ping通的，原因是在配置防火墻時(shí)，沒(méi)有啟用訪問(wèn)管理，設(shè)置啟動(dòng)訪問(wèn)管理，并選擇放通ping流量即可ping通

?但是，此時(shí)，untrust區(qū)域的PC沒(méi)有至防火墻的路由，所以需要手動(dòng)添加一條靜態(tài)路由

?

配置trust區(qū)域：

在防火墻上將1/0/0接口加入trust區(qū)域，并配置IP地址

?

在trust區(qū)域的交換機(jī)上創(chuàng)建vlan，配置IP地址，結(jié)果如下：

?

在trust區(qū)域的PC上配置IP，掩碼，網(wǎng)關(guān)

?

此時(shí)，PC到防火墻之間缺少路由，所以需要手動(dòng)添加一條靜態(tài)路由

?

靜態(tài)路由配置完成后，trust區(qū)域的PC可以和防火墻完成通信

?

配置DMZ區(qū)域

在防火墻上配置eth-trunk

?在DMZ區(qū)域的交換機(jī)上配置eth-trunk，創(chuàng)建虛擬接口，在服務(wù)器上配置IP地址，掩碼，網(wǎng)關(guān)

?

?

?拓?fù)渲械娜齻€(gè)區(qū)域內(nèi)能夠完成通信，但是區(qū)域間不能完成通信，所以需要按照實(shí)際需求編寫(xiě)安全策略來(lái)實(shí)現(xiàn)區(qū)域間的通信

編寫(xiě)安全策略

trust-untrust區(qū)域的安全策略

?

編寫(xiě)完成后使用trust區(qū)域的PC ping untrust區(qū)域的PC，依舊是無(wú)法ping通，原因是缺少路由，我們需要在trust區(qū)域的交換機(jī)和 untrust區(qū)域路由器上編寫(xiě)路由從而使得路由可達(dá)。

PC可以訪問(wèn)外網(wǎng)，但是外網(wǎng)的PC不能夠訪問(wèn)內(nèi)網(wǎng)

?

trust-DMZ區(qū)域的安全策略

?

untrust-DMZ區(qū)域的安全策略

?

?

到了這里，關(guān)于防火墻安全配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！