HC120119001USG防火墙产品基本功能特性与配置.pptx

USG防火墙产品基本功能特性与配置前 言Page 本胶片介绍了USG系列产品主要的安全技术和安全特性，以及各安全特性在USG产品上的配置。包括如：防火墙区域，防火墙工作模式，ASPF技术，NAT技术以及一些扩展技术。培训目标Page 学完本课程后，您应该能：掌握USG产品的主要安全技术和安全特性掌握各安全特性在USG产品上的配置目 录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能Page目 录Page1. 防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话防火墙的安全区域接口2Local区域100Trust区域85Vzone0 用户自定义区域DMZ区域50UnTrust区域5接口3接口4接口1PagePageoutboundinboundUSGLocal内部网络Eth0/0/0Eth2/0/0外部网络UntrustTrustEth1/0/0inboundoutboundoutboundinboundoutboundinboundServerServerinboundoutboundDMZoutboundinboundVzone接口、网络和安全区域关系PagePage安全区域配置－ 1 创建一个安全区域[USG2100] firewall zone name userzone 设置优先级[USG2100-zone-userzone] set priority 60 给安全区域添加接口[USG2100-zone-userzone] add interface GigabitEthernet 0/0/1Page安全区域配置验证 查看防火墙安全区域配置[USG2100]display zone usernameusername priority is 60 interface of the zone is (1): GigabitEthernet0/0/1Page安全区域配置－2在域间下发ACLUSG2100system-view [USG2100] policy interzone trust untrust outbound [USG2100-policy-interzone-trust-untrust-outbound] policy 1 [USG2100-policy-interzone-trust-untrust-outbound-1] action permitPage目 录Page1. 防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话防火墙的三种工作模式 路由模式 透明模式 混合模式Page路由模式54PCPCPCTrust区Untrust区外部网络USG/24内部网络服务器服务器/24Page/24PCPCPCTrust区Untrust区USG服务器服务器透明模式PageUSG（主）PCPCPCTrust区VRRPUntrust区外部网络内部网络服务器/24服务器/24USG（备）混合模式Page目 录Page1. 防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话会话 会话（Session） USG防火墙是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：条件操作报文的五元组匹配会话表转发该报文报文的五元组不匹配会话表域间规则允许通过转发该报文，并创建会话表表项域间规则不允许通过丢弃该报文Page会话相关命令查看防火墙的Session信息[USG2100] display firewall session table verbose Current Total Sessions : 1 telnet VPN:public -- public TTL: 00:10:00 Left: 00:10:00 Interface: InLoopBack0 NextHop: MAC: 00-00-00-00-00-00 --packets:1269 bytes:66769 --packets:1081 bytes:43715 :2855--00:23重置防火墙的sessionUSG2100 reset firewall session tablePage会话相关命令 查看防火墙的Session aging-time[USG2100] display firewall session aging-timeSequence Pre-defined VPN Timeout(s)1