HCNA第三章防火墙安全策略V2.0资料.ppt

修订记录;第三章 防火墙安全策略;目标;目录;包过滤技术;;定义 安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。 规则的本质是包过滤。 主要应用 对跨防火墙的网络互访进行控制 对设备本身的访问进行控制;入数据流;安全策略分类;目录;防火墙域间转发;;状态检测机制;会话表项;USG display firewall session table verbose Current total sessions: 1 icmp VPN: public -- public Zone: trust -- untrust Slot: 8 CPU: 0 TTL: 00:00:20 Left: 00:00:19 Interface: GigabitEthernet6/0/0 Nexthop: 107.255.255.10 --packets: 134 bytes: 8040 --packets: 134 bytes: 8040 107.229.15.100:1280 -- 107.228.10.100:2048 ;会话在转发流程中的位置;多通道协议技术;ASPF概述;ASPF对多通道协议的支持;Server Map的产生;端口识别对多通道协议的支持;端口识别对多通道协议的支持;;为什么需要长连接？ 防火墙会话表老??机制 会话老化机制给特殊业务带来的问题;目录;域间安全策略的匹配原则;;配置转发策略流程;配置转发策略（1）;配置转发策略（1）;如何使用反掩码;配置转发策略（2）;配置转发策略（3）;时间段配置;;配置本地策略（命令行）;配置本地策略（Web方式）;;配置域间缺省包过滤（Web方式）;配置域内安全策略;配置接口包过滤;配置接口包过滤;组网需求 在某企业中允许192.168.5.0/24网段的员工访问Internet，但是在此网段中192.168.5.2、192.168.5.3和192.168.5.6的这几台PC对安全性要求较高，不允许上网。;创建拒绝特殊的几个IP地址访问Internet的转发策略 [USG] policy interzone trust untrust outbound [USG-policy-interzone-trust-untrust-outbound] policy 0 [USG-policy-interzone-trust-untrust-outbound-0] policy source address-set ip_deny [USG-policy-interzone-trust-untrust-outbound-0] action deny 创建允许192.168.5.0/24这个网段访问Internet的转发策略 [USG-policy-interzone-trust-untrust-outbound] policy 1 [USG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.5.0 mask 24 [USG-policy-interzone-trust-untrust-outbound-1] action permit;关键配置1（Web）;关键配置2（Web）;关键配置3（Web）;总结;思考题