深信服防火墙配置管理地址，深信服防火墙用户手册-东辰安华生活网

　　 1.防火墙USG 5000 6000 9000的产品分别是低端、中端和高端产品。

　　 2.四个区域：(本地100、信任85、不信任5、DMZ50)

　　 3.安全策略：高安全级别区域到低安全级别区域为出站，否则为入站。但是，在配置安全策略方向时，dmz不能访问UNtrust，UNtrust也不能访问trust。

　　信任-不信任

　　接口千兆以太网1/0/1撤销关机ip地址10 . 1 . 1 . 1 255 . 255 . 0服务-管理ping许可//打开接口下的ping功能#接口千兆以太网1/0/2撤销关机IP地址1.1.1.1 255 . 255 . 255 . 0 #防火墙区域信任设置优先级85添加接口千兆以太网0/0/0添加接口千兆以太网1/0/1//接口加入相应的区域#防火墙区域不信任设置优先级5添加接口千兆以太网1/0

　　试验

　　会话表

　　 USG6000密码是Admin @ 123；服务管理ping permit //ping在防火墙接口下开启，默认信任区域下接口ping失败，于是g1/0/1 g1/0/2作为新成员加入该区域。防火墙实施默认策略，即拒绝所有流量，因此需要安全策略来指定流量。

　　在上面的实验中，只配置了一个安全策略。为什么可以实现终端ping服务器？

　　因为安全策略创建后，终端发送请求的数据包，防火墙接收后创建会话表，会话表包含五个元组，即源IP地址、源端口号、目的IP地址、目的端口号、协议。向防火墙报告后，它将检查会话表并通过。但是会话表是有老化时间的，不同的协议老化时间不一样。承载会话表的能力也是防火墙的性能之一。

　　传统的UTM检查分为几个步骤：入侵检测、反病毒、URL过滤；下一代防火墙：集成检测，检查速度加快，即一次检查处理即可完成所有安全功能；NGFW安全策略由条件、动作和配置文件组成；配置，按顺序匹配

　　多通道协议：例如，ftpserver有两个端口21 20。如果需要单独与客户端连接，则需要多通道。当遇到使用随机端口协商的协议时，简单的包过滤方法无法定义数据流；多通道协议，以ftp-server为例，21是控制端口。TCP连接建立后，传输的数据是端口20。此时，客户端会发送端口命令消息，告知服务器使用端口20传输数据，防火墙上会创建一个服务器映射表。当服务器连接到客户端时，防火墙将接收信息，将为端口20创建会话表，并且之前已经配置了端口21的会话表。ASPF相当于一个动态的安全策略，自动获取相关信息并创建相应的会话条目，保证这些应用的正常通信。这称为ASPF，创建的会话条目称为server-map(外部网络不信任访问dmz区域)。

　　源nat的两种转换方法：nat no-pat，只转换IP地址，不转换端口，一对一，浪费公网地址，不常用。

　　 1.安全区域2的配置。安全策略3的配置。默认路由是指路由成功到达互联网4，黑洞公网的下一个地址组为null 0；5.公网静态路由(无需考虑)

　　 Napt，同时对IP地址和端口进行转换，保存公网地址。

　　 1.安全区域2、安全策略3、公共网络地址池4、nat策略5、默认路由6和黑洞路由。

　　网络地址端口转换

　　接口千兆以太网1/0/1撤销关闭ip地址10 . 1 . 1 . 1 255 . 255 . 0 #接口千兆以太网1/0/2撤销关闭ip地址1.1.1.1 255 . 255 . 255 . 0服务管理ping许可#防火墙区域信任设置优先级85添加接口千兆以太网0/0/0添加接口千兆以太网1/0/1 #防火墙区域不信任设置优先级5添加接口千兆以太网1/0/2#ip路由-静态0.0

　　.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0ip route-static 1.1.1.11 255.255.255.255 NULL0//防止路由黑洞，因为配置了默认路由，所以当有回包时目的地址的下一跳又回到了1.1.1.254//所以需要配置这两个公网地址的下一跳为 null0nat address-group address-group1 0 mode pat section 0 1.1.1.10 1.1.1.11//策略、策略名、区域、IP地址、应用security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit//策略、策略名、区域、IP地址、应用nat-policy //nat 策略 rule name policy_nat_1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group address-group1#

　　测试

　　session表

　　nat server （外部网络访问内部的dmz区域的server）

　　1、安全区域 2、安全策略 3、配置server映射 4、配置默认路由 5、配置黑洞路由

　　nat-server

　　interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0 service-manage ping permit#interface GigabitEthernet1/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage ping permit#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet1/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254ip route-static 1.1.1.10 255.255.255.255 NULL0#security-policy rule name policy_sec_1 source-zone untrust destination-zone dmz destination-address 10.2.0.0 24 action permit#nat server policy_nat_web 0 protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse//配置no-reverse是单向的，如果没有配置默认是双向的

　　server-map

　　测试

　　server访问后生成的session表

　　//配置了nat server的命令后会自动生成server-map表项，然后等到server对客户端进行反馈后//首先查找server-map表项然后将报文的目的地址和端口转换为10.2.0.7 8080，据此判断报文流动方向//通过域间安全策略检查后呢，建立session会话表，将报文转发到私网