HCNA Security认证（社会培训）冗余资源 HCNA Security认证（社会培训）冗余资源 防火墙部署流程.docx

防火墙部署流程 防火墙基本配置流程 配置网络，使网络互联互通。 配置对象，管理被所有策略共用的元素 配置策略，进行网络安全防护和流量管理 在USG中，支持以下两种接口卡： 二层接口卡：所有接口均为二层以太网接口，不支持切换为三层接口。 三层接口卡：所有接口缺省为三层以太网接口，可以通过命令portswitch切换为二层以太网接口。 创建自定义安全区域。 1)步骤1 执行命令system-view，进入系统视图。 2)步骤2 执行命令firewall zone [name] zone-name，创建安全区域，并进入相应安全区域视图。 3)执行firewall zone命令时，存在如下两种情况： 4)安全区域已经存在：不必配置关键字name，直接进入安全区域视图。 5)安全区域不存在：需要配置关键字name，进入安全区域视图。 6)系统预定义了Local、Trust、DMZ、Untrust 共4个安全区域。在路由模式下，4个安全区域无需创建，也不能删除。防火墙最多支持32个安全区域 7)步骤3 执行命令set priority security-priority，配置安全区域的安全级别。 配置安全区域的安全级别时，需要遵循如下原则： 1) 只能为自定义的安全区域设定安全级别。 2) 安全级别一旦设定，不允许更改。 3) 同一系统中，两个安全区域不允许配置相同的安全级别。 4) 新建的安全区域，未设定其安全级别前，系统规定其安全级别为0。 在一个安全策略视图下可以为不同的流量创建不同的规则。缺省情况下，越先配置的策略，优先级越高，越先匹配报文。一旦匹配到一条规则，就直接按照该规则的定义处理报文，不再继续往下匹配。 安全策略规则的动作 permit: 表示允许该规则的流量通过 deny: 表示禁止匹配该规则的流量通过 缺省情况下，在防火墙所有安全区域间的所有方向都禁止报文通过。 通过静态路由的配置可建立一个互通的网络，但这种配置问题在于：当一个网络故障发生后，静态路由不会自动发生改变，必须有管理员的介入。 缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络0.0.0.0（掩码为0.0.0.0）的路由形式出现。如果报文的目的地址不能与路由表的任何入口项相匹配，那么该报文将选取缺省路由。如果没有缺省路由且报文的目的地不在路由表中，那么该报文被丢弃的同时，将向源端返回一个ICMP 报文报告该目的地址或网络不可达。 防火墙安全策略配置 通过Web界面配置安全策略的步骤 1)选择“策略 安全策略 安全策略” 2)单击“新建” 3)配置安全策略规则的名称和描述 4)配置安全策略规则的匹配条件 5)配置安全策略规则的动作 6)配置安全策略引用内容安全的配置文件 7)单击“确定”