Firewall简单知识 1、安全区域(trust安全级别:85 untrust安全级别:5 DMZ安全级别:50 local安全级别为:100 默认区域级别不能改) firewall zone trust (untrust dmz local ) \ 进入trust区域 add interface Vlanif 20 \ 将VLAN 20加入trust区域或者 接口
firewall zone name lin \ 重新起区域为lin Set pr xx add interface xx 注意:建立区域以及配置安全级别之后要在全局模式下把整个区删掉,配置优先级别XX才能加入相应上午接口或者vlan if 2、默认高的安全级别访问低的安全及级别(例如local区域随便访问untrust trunst Dmz;而其它区域之间是不能访问的)
3、Firewall 对数据的deny permit监控(包过滤防火请(AR2200等系列)、状态检测防火墙、代理性防火墙) 如下默认的策略: [FW1]dis firewall packet-filter default all 10:37:15 2015/08/28 Firewall default packet-filter action is:
packet-filter in public:
local -> trust :
inbound : default: permit; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
local -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
local -> dmz :
inbound : default: deny; || IPv6-acl: null
outbound : default: permit; || IPv6-acl: null
trust -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
trust -> dmz :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
dmz -> untrust :
inbound : default: deny; || IPv6-acl: null
outbound : default: deny; || IPv6-acl: null
packet-filter between VFW:
[FW1]
firewall的模式
1、路由模式 2、透明模式 3、混合模式
路由模式:三层口,配置地址
透明模式:二层,配置access、trunk、hybrid
混合模式:其中有的接口配置三层口,有的接口配置二层口
Firewall进出规则
Firewall zone trust 基于区域内的控制
5、Firewall区域之间实现互通必须改以上配置(比如trust -> untrust;注意理解数据包的进出方向!!其它区域也一样设置)
firewall packet-filter default permit interzone trust untrust direction inbound (untrust主动发起的Ping包;trust不能访问untrust区域)
firewall packet-filter default permit interzone trust untrust direction outbound (trust主动发起的Ping包;untrust不能访问trust不区域)
例如:注意【trust -> untrust】主要以trust为主去理解Inside Ouside (理解Inside Ouside像进出家门理解即可)
firewall packet-filter default permit interzone trust dmz direction outbound (trust主动访问dmz;dmz不能访问trust区域)
firewall packet-filter default permit interzone trust dmz direction inbound (dmz主动访问trust;trust不能访问trust区域)
display firewa sessinon teble 看会话表的状态
display firewa sessinon aging-time 看协议会话表超时
6、做策略以实现“对外访问”或者“区域与区域”之间需求("重点还在方向理解Inside Ouside")
例如:实现外网访问内网icmp、telnet服务
policy interzone trust untrust inbound trust -> untrust进来的方向做的策略(主动权在untrust)
policy 1 匹配序号
action permit 规则行为deny permit
policy service service-set telnet 对应的服务型
policy source 200.0.0.0 0.0.0.255 源IP地址
policy destination 10.10.20.0 0.0.0.255 目的IP地址
policy 2
action permit
policy service service-set icmp
policy source 200.0.0.100 0 该协议仅对对一台主机
policy destination 10.10.20.10 0
policy interzone trust untrust outbound trust -> untrust进来的方向做的策略(主动权在trust)
policy 3
action permit
policy service service-set icmp
policy service service-set telnet
policy source 10.10.20.10 0
policy source 10.10.20.20 0
policy interzone local untrust inbound
policy 1
action permit
policy service service-set tcp
policy service service-set icmp
policy source 172.16.10.0 0.0.0.255
policy source 100.100.200.10 0
Firewall基于接口放行策略
inter g0/0/3
service-manage enable
service-manage telnet permit 放行telnet流行
Firewall命令集分析
1、 查看Firewall掉包的会话
[SRU5500]display firewall statistic system discard
21:50:35 2016/05/21
Packets discarded statistic
Total packets discarded: 16
ARP miss packets discarded: 6
Default deny packets discarded: 5
Policy filter deny packets discarded: 5
[SRU5500]
2、 查看会话表(如有不知道目的端口号是多少可全部放行后,用这命令是查看后做策略)
<SRU5500>display firewall session table verbose
21:58:39 2016/05/21
Current Total Sessions : 5
icmp ×××:public --> public(协议icmp)
Zone: trust--> untrust TTL: 00:00:20 Left: 00:00:05(1)
Interface: GigabitEthernet0/0/1 NextHop: 192.168.100.100 MAC: 54-89-98-b9-7d-76 (2)
<--packets:1 bytes:60 -->packets:1 bytes:60(3)
192.168.10.10:42345-->192.168.100.100:2048 (4)
(1)zone trunst-------> untrust-----的会话 TTL---老化时间 Left –还有5s结束会话
(2)包从g0/0/1出去下一跳192.168.100.100
(3)<-- 表示untrust向trunst发数据 -->表示trunst向untrust发数据
(4)192.168.10.10端口42345向192.168.100.100端口 2048发数据
3、改变协议默认的会话时间
[SRU5500]firewall session aging-time service-set dns 10 (ftp、udp、tcp)
4、策略2调到1面前去
[SRG-policy-interzone-trust-untrust-outbound]policy move 2 before 1
