注:
- ICMP工作在传输层以下,报头中并没有端口字段,因此在会话表中用ICMP报头中的标识符字段值代表源端口,用固定的值2048代表目的端口,来标识ping的数据流 。
- 其它有些协议也存在报头中没有端口字段的情况,处理方式和ICMP类似 。
- 对于TCP连接来说首个报文的标志是SYN,因此对于TCP协议,防火墙只有收到SYN报文且配置的规则允许通过才会建立会话 。由此在路径不一致的环境中,如果防火墙没有收到SYN报文,只收到SYN+ACK的及后继报文将无法建立会话(使用undo firewall session link-state check命令关闭状态检测功能后则可以建立会话,如无必须不建议关闭) 。
- UDP协议是没有连接状态的协议,因此只要防火墙上配置的规则允许UDP报文通过,防火墙就会建立会话 。
- 对于ICMP协议,其中Ping报文,防火墙只有收到Ping回显请求报文且配置的规则允许通过,才会建立会话(关闭状态检测功能后只收到Ping回显应答报文也可以建立会话);其他类型的ICMP报文,只要防火墙上配置的规则允许通过,防火墙就会转发报文,但不建立会话 。
[FW2]policy interzone trust untrust outbound
[FW2-policy-interzone-trust-untrust-outbound]policy 1
[FW2-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.1 0
[FW2-policy-interzone-trust-untrust-outbound-1]policy destination 1.1.1.1 0
[FW2-policy-interzone-trust-untrust-outbound-1]policy service service-set http i
cmp
[FW2-policy-interzone-trust-untrust-outbound-1]action permit
[FW2-policy-interzone-trust-untrust-outbound-1]quit
[FW2-policy-interzone-trust-untrust-outbound]quit
注:
- 安全区域方向从区域trust 到untrust ,源地址仅为10.1.1.1,目的仅为1.1.1.1,服务集则有http icmp分别代表了使用的协议和目的端口,动作为permit——允许 。
- 与包过滤不同,不用再配置Web服务器响应Client1的数据报文方向的策略 。
- 只能Client1 ping和主动访问 Web,Web不能 ping通和主动访问 Client1 。
- 对于多通道协议如FTP,以及QQ之类的协议,仅像上面那样配置还不行,还需要开启ASPF功能,以后有机会专门进行实验 。
[FW2]firewall packet-filter default deny all
七、验证配置
(一) 用Client1访问Web服务器
文章插图
图7
结果如图7,访问成功 。
(二) 用Client1 、 Web服务器相互ping
文章插图
图8
Client1 ping Web服务器,结果如图8,可以ping通 。
文章插图
图8
Web ping Client1服务器,结果如图8,不能ping通 。
综上,安全策略配置正确 。
以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!
另以上文字如有帮助,望不吝转发!
【如何快速、准确的配置防火墙安全策略?】
推荐阅读
- 广东红糖马拉糕的做法,红糖马拉糕的做法 怎么做 如何做窍门-
- Javascript 代码简化常用写法
- WPF的MVVM特点、WPF的MVVM理解
- 如何解决 Windows 检测到 IP 地址冲突错误提示
- bind、call、apply 区别?如何实现一个bind?
- 如何让Crontab每秒钟执行一次任务?
- 最全的Word、Excel、PS、Windows、PPT常用快捷键,快收藏
- 什么编程语言性能最好?C语言无悬念第一、Python垫底
- 如何开始使用CS10无线网关
- 立冬如何养生-立冬怎么养生-立冬养生小常识