1. 防火墙产品USG 5000 6000 9000分别为低端、中端和高端产品。

2. 四个区域：local100、trust85、untrust5、DMZ50

3.安全策略：从安全级别高的区域到安全级别低的区域的流量为出方向，从安全级别低的区域到安全级别低的区域的流量为入方向。配置安全策略方向时，dmz区域不能访问UNtrust区域，UNtrust区域不能访问trust区域

trust-untrust

interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0 service-manage ping permit //开启接口的ping功能。#firewall zone trust set priority 85 add Interface GigabitEthernet0/0/0 add Interface gigabitethernet0 /0/1 add Interface gigabitethernet0 /0/1 //将接口加入相应的安全区域#firewall zone untrust set priority 5 add Interface GigabitEthernet1/0/2#security-policy //安全策略规则名称policy_sec_1 //名称source-zone trust //源安全区域目的安全区域untrust //目的安全区域source-address 10.1.1.0 24 //源地址动作允许试验

会话表

USG6000的密码为Admin@123。service-manage ping permit //如果防火墙接口开启了ping功能，则通过缺省的trust域接口ping不通。因此，使用g1/0/1 g1/0/2向zone中添加新成员。防火墙采用默认策略，即拒绝所有成员。因此，需要通过安全策略指定流量通过

在上述实验中，只配置了一个安全策略。为什么可以通过终端ping服务器？

传统的UTM检查分为步骤：入侵检测、反病毒、URL过滤；下一代防火墙：一体化检测，检测速度加快，即一次检查处理即可完成所有安全功能；NGFW安全策略由条件、动作和配置文件组成。配置逻辑，按顺序匹配

多通道协议：例如ftpserver有两个端口21和20。如果FTPServer需要单独连接客户端，则需要多个通道。当使用随机端口进行协议协商时，单纯的包过滤无法定义数据流。对于多通道协议，以ftp-server为例，控制端口为21。TCP连接建立后，使用端口20进行数据传输。此时，客户端发送port命令包通知服务器使用20号端口进行数据传输，并在防火墙上创建server-map表。当服务器与客户端建立连接时，防火墙接收到端口为20的会话表。配置安全策略，创建端口21的会话表。ASPF是一种动态的安全策略，它自动获取相关信息并创建相应的会话表项，以保证这些应用程序的正常通信。这称为ASPF，创建的会话表项称为server-map (UNtrust access dmz)。

源nat有两种转换方式：nat no-pat:只转换IP地址，不转换端口。一对一的NAT不太常用，会浪费公共地址

安全区域配置。安全策略配置。3.缺省路由：表示路由到达Internet成功。5. 公网静态路由(不需要)

napt可以同时转换IP地址和端口，节省公网IP地址。

1. 安全区域2。3.安全策略。4号公共地址池。5.单击“确定”。缺省路由6

napt

interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0ip route-static 1.1.1.11 255.255.255.255 NULL0//由于配置了缺省路由，避免出现路由黑洞。因此，目的地址的下一跳应该回到1.1.1.254//。因此，需要将两个公网地址的下一跳配置为null0nat Address -group Address -group1 0 mode pat section 0 1.1.1.10 1.1.1.11//策略、策略名称、地区、IP地址、应用安全策略规则名称policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit//策略、策略名称、地区、IP地址、application nat-policy //nat策略规则名称policy_nat_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group address-group1#测试

会话表

NAT server(外部网络访问内部dmz的服务器)

安全区域2安全策略3配置服务器映射4配置默认路由5配置黑洞路由

nat-server

interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage ping permit#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0#安全策略规则名称policy_sec_1 source-zone untrustdestination-zone dmz destination-address 10.2.0.0 24 action permit#nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse//配置no-reverse为单向。如果没有配置no-reverse，缺省情况下server - map是双向的

测试

访问服务器后产生的会话表

0