本文由 千趣源码 – qianqu 发布，转载请注明出处，如有问题请联系我们！深信服防火墙配置详细步骤-防火墙的基本配置方法

1.服务器防火墙USG 5000 6000 9000的商品主5201;为中低端.中档和高档商品。

2.四个地区:(local100，trust85，untrust5，DMZ50)。

3.安全设置：高安全级别地区到低安全级别地区是outbound，相反inbound，可是在配备安全设置方位情况下，dmz不可以浏览UNtrust.UNtrust不可以浏览trust3.安全设置:从高安全等级到低风险等级的地区是出1449;的，相反则是入站的。可是，在配备安全设置方位时，dmz不可以浏览不能信，不能信也不可以浏览信赖。

信赖-不信任

interface GigabitEThernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0 service-manage ping permit //在插口下打开ping作用#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1 //插口添加相对应的地区#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#security-policy //安全设置 rule name policy_sec_1 //名字 source-zone trust //源地区 destination-zone untrust //目地地区 source-address 10.1.1.0 24 //服务器ip action permit

检测实验

对话表

USG6000登陆密码为Admin @ 123；Service-manage ping permit // ping在服务器防火墙插口下运行，在默认设置信赖地区下的插口ping不成功，因此g1/0/1 g1/0/2做为新组员参加该地区。服务器防火墙实行默认设置对策，即回绝全部总流量，因而必须安全设置来特定要根据的总流量。

在上面的试验中，只配备了一个安全设置。终端设备ping网络服务器为何能完成？

由于安全设置建立后，终端设备推送要求的数据文件，服务器防火墙接到后，建立一个五元组的对话表，即源IP地址.源端口.目地IP地址.目地端口和协议书。汇报服务器防火墙后，会查验对话表并根据。可是，对话表有衰老時间。不一样的协议书衰老時间不一样。可以安装对话表的数量也是网络防火墙的特性之一。

传统式的UTM检验分成三个流程:入侵防御系统.防病毒软件和网站地址过虑；下一代服务器防火墙:集成化检验，加速安全巡检，即全部安全性作用一次安全巡检解决就可以进行；NGFW安全设置的构成:标准.姿势和环境变量；配备逻辑性，按序配对。

多路协议书:比如，FTPserver有两个端口号21和20。假如必须独立与手机客户端联接，必须多种渠道。当碰到应用任意端口号商议的协议书时，不能用简易的包过虑方式界定数据流分析。多路协议书，以ftp服务器为例子。21是操纵端口号。TCP联接创建后，传输数据是端口号20。这时，手机客户端将推送一条端口号指令信息，告知网络服务器应用端口号20传送数据，并将在硬件防火墙上建立一个网络服务器投射表。当服务器连接到手机客户端时，服务器防火墙将接受回到的信息内容。将建立有关端口号20的对话表，而有关端口号21的对话表有根据以前配备的安全设置建立的。ASPF等同于动态性安全设置，全自动获得有关信息，建立相对应的对话表内容，确保这种使用的一切正常通讯。这称之为ASPF，建立的对话表内容称之为网络服务器投射(外界互联网非信赖浏览dmz地区)。

源nat的二种变换方法:nat no-pat，只变换IP地址，不变换端口号，一对一，消耗公网地址，不常见。

1.缓冲区2的配备。安全设置的配备3。默认路由，表明路由器取得成功抵达Internet 4，路由器超级黑洞公网地址组中下一项为null 0；5.外网地址静态路由(不用考虑到)。

Napt与此同时变换IP地址和端口号，节约了公网地址。

1.安全性地区 2.安全设置 3.公网地址池 4.nat对策 5.缺省路由 6.超级黑洞路由器1.缓冲区2。安全性现行政策3。公共性IP地址池4。nat对策5。默认设置线路6。超级黑洞线路。

napt

interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0ip route-static 1.1.1.11 255.255.255.255 NULL0//避免路由器超级黑洞，由于配备了默认路由，因此当有回包时目地详细地址的下一跳又返回了1.1.1.254//因此必须配备这两个公网地址的下一跳为 null0nat address-group address-group1 0 mode pat section 0 1.1.1.10 1.1.1.11//对策.对策名.地区.IP地址.运用security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit//对策.对策名.地区.IP地址.运用nat-policy //nat 对策 rule name policy_nat_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group address-group1#

检测实验

对话表

nat网络服务器(外界互联网浏览內部dmz地区的网络服务器)。

1.安全性地区 2.安全设置 3.配备server投射 4.配备默认路由 5.配备超级黑洞路由器1.缓冲区2。安全性现行政策3。配备网络服务器投射4。配备默认路由5。配备超级黑洞路由器。

nat网络服务器

interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage ping permit#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0#security-policy rule name policy_sec_1 source-zone untrust destination-zone dmz destination-address 10.2.0.0 24 action permit#nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse//配备no-reverse是单边的，要是没有配备默认设置是双重的

server-map网络服务器地形图

检测实验

网络服务器浏览后转化成的对话表。

//配备了nat server的指令后会自动生成server-map表项，随后直到server对手机客户端开展意见反馈后//最先查找server-map表项随后将报文格式的目标详细地址和端口号变换为10.2.0.7 8080，由此分辨报文格式流动性方位//根据域间安全设置查验后呢，创建session对话表，将报文格式分享到私网