配置防火牆安全策略之前，在《防火牆基礎——安全區域、安全策略》一文的基礎上，還需要對狀态檢測和會話進行了解。

目前的防火牆多是以狀态檢測技術為基礎的，而狀态檢測技術是包過濾技術的改進（兩者在《包過濾與狀态檢測防火牆的區别淺述》中有過簡單的比較），狀态檢測是基于連接狀态的檢測機制——将屬于通信雙方同一個連接的所有交互報文作為一個數據流看待，對這個數據流進行檢查時會考慮數據報文之間的聯系。

而這個連接狀态則是用會話來體現——如果安全策略允許，狀态檢測防火牆會為通信雙方同一個連接的第一個報文建立一個會話并暫存在會話表中，後繼報文将會直接匹配該會話而進行轉發，不再進行安全策略檢查，示意如圖1。防火牆中的這個會話表就是快速、準确配置防火牆安全策略的關鍵。

圖1

下面通過圖2所示的拓撲進行模拟實驗：

實驗場景是：在某單位的出口防火牆FW2（USG5500）上配置安全策略：僅允許内網的特定計算機Client1（10.1.1.1）可以Ping通和訪問外網中的特定Web服務器（1.1.1.1）。

圖2

一、配置防火牆的接口IP地址

[FW2]interface GigabitEthernet 0/0/0

[FW2-GigabitEthernet0/0/0]ip address 10.1.1.254 24

[FW2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1

[FW2-GigabitEthernet0/0/1]ip address 1.1.1.254 24

[FW2-GigabitEthernet0/0/1]quit

二、将防火牆的接口加入安全區域

将連接内網的G0/0/0口加入trust區域，連接外網的G0/0/1口則加入untrust區域。

[FW2]firewall zone trust

[FW2-zone-trust]add interface GigabitEthernet 0/0/0

[FW2-zone-trust]firewall zone untrust

[FW2-zone-untrust]add interface GigabitEthernet 0/0/1

[FW2-zone-untrust]quit

此時，因為防火牆缺省安全策略是禁止，所以内網的Client1還無法ping通和訪問外網的Web服務器。

三、将防火牆的缺省安全策略從禁止臨時修改為允許

[FW2]firewall packet-filter default permit all

注：

1. 此時防火牆将放行所有數據報文，因此為安全計，建議盡量在測試環境中調試好，再轉移到生産環境中。
2. 此時，内網的Client1可以ping通和訪問外網的Web服務器。

四、查看防火牆會話表

(一) 用内網的Client1訪問外網的Web服務器

操作如圖3

圖3

注：

Web服務器返回的HTTP的狀态是404，這應該是模拟器的原因，不影響實驗效果。

(二) 查看防火牆的會話表

[FW2]display firewall session table

顯示如圖4

圖4

可以看到内網的Client1訪問外網的Web服務器時，防火牆為其建立的會話。其中使用的協議：http；（Client1的）源IP地址：10.1.1.1，源端口：2050；（Web服務器的）目的IP地址：1.1.1.1，目的端口：80，IP地址和端口之間的“-->”代表的是Client1主動訪問Web服務器——數據請求方向從安全區域trust 到 untrust。這幾個就是配置Client1訪問web服務器所需安全策略的要素。

注：

1. 其中源端口是随機的，因此在配置安全策略時需要忽略。
2. 因為會話表中的會話有老化時間，超時後會自動删除，而在eNSP中訪問Web需要傳輸的數據很少所需時間很少，為了能看到會話，可以先将命令輸入後不敲回車鍵，接着用Client1訪問web，然後及時切換回防火牆命令界面按回車鍵。
3. 不同協議/服務的會話默認具有不同的老化時間，可以手動調整這個時間，一般情況下默認就可以正常工作。

(三) 用内網的Client1 ping 外網的Web服務器

操作如圖5

圖5

可以看到ping發了10次測試包，均成功。

(四) 再次查看防火牆的會話表

[FW2]display firewall session table

顯示如圖6

圖6

可以看到Client1 ping Web服務器時，防火牆也為其建立了會話。其中使用的協議：ICMP；（Client1的）源IP地址：10.1.1.1，源端口：256；（Web服務器的）目的IP地址：1.1.1.1，目的端口：2048，IP地址和端口之間的“-->”代表的是Client1 ping Web服務器。這幾個則是配置ping所需安全策略的要素。

注：

1. ICMP工作在傳輸層以下，報頭中并沒有端口字段，因此在會話表中用ICMP報頭中的标識符字段值代表源端口，用固定的值2048代表目的端口，來标識ping的數據流。
2. 其它有些協議也存在報頭中沒有端口字段的情況，處理方式和ICMP類似。
3. 對于TCP連接來說首個報文的标志是SYN，因此對于TCP協議，防火牆隻有收到SYN報文且配置的規則允許通過才會建立會話。由此在路徑不一緻的環境中，如果防火牆沒有收到SYN報文，隻收到SYN ACK的及後繼報文将無法建立會話（使用undo firewall session link-state check命令關閉狀态檢測功能後則可以建立會話，如無必須不建議關閉）。
4. UDP協議是沒有連接狀态的協議，因此隻要防火牆上配置的規則允許UDP報文通過，防火牆就會建立會話。
5. 對于ICMP協議，其中Ping報文，防火牆隻有收到Ping回顯請求報文且配置的規則允許通過，才會建立會話（關閉狀态檢測功能後隻收到Ping回顯應答報文也可以建立會話）；其他類型的ICMP報文，隻要防火牆上配置的規則允許通過，防火牆就會轉發報文，但不建立會話。

五、 配置防火牆的安全策略

[FW2]policy interzone trust untrust outbound

[FW2-policy-interzone-trust-untrust-outbound]policy 1

[FW2-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.1 0

[FW2-policy-interzone-trust-untrust-outbound-1]policy destination 1.1.1.1 0

[FW2-policy-interzone-trust-untrust-outbound-1]policy service service-set http i

cmp

[FW2-policy-interzone-trust-untrust-outbound-1]action permit

[FW2-policy-interzone-trust-untrust-outbound-1]quit

[FW2-policy-interzone-trust-untrust-outbound]quit

注：

1. 安全區域方向從區域trust 到untrust ，源地址僅為10.1.1.1，目的僅為1.1.1.1，服務集則有http icmp分别代表了使用的協議和目的端口，動作為permit——允許。
2. 與包過濾不同，不用再配置Web服務器響應Client1的數據報文方向的策略。
3. 隻能Client1 ping和主動訪問 Web，Web不能 ping通和主動訪問 Client1。
4. 對于多通道協議如FTP，以及QQ之類的協議，僅像上面那樣配置還不行，還需要開啟ASPF功能，以後有機會專門進行實驗。

六、将防火牆的缺省安全策略修改為禁止

[FW2]firewall packet-filter default deny all

七、驗證配置

(一) 用Client1訪問Web服務器

圖7

結果如圖7，訪問成功。

(二) 用Client1 、 Web服務器相互ping

圖8

Client1 ping Web服務器，結果如圖8，可以ping通。

圖8

Web ping Client1服務器，結果如圖8，不能ping通。

綜上，安全策略配置正确。

以上輸入和描述可能有疏漏、錯誤，歡迎大家在下方評論區留言指正！

另以上文字如有幫助，望不吝轉發！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!