1、设备特点

外观：

功能特点：

安全特性：

vFW的默认账号密码：admin

2、安全区域

1）相同安全级别的集合

2）默认的安全域

【1】区域

trust、untrust、local（所有有接口属于local，不能删除）、management、DMZ

【2】特点

默认创建、区域没有接口、缺省的区域不能删除

【3】区域成员

对象：接口和vlan、IP v4/v6子网、服务

优先级：服务>IP>接口和vlan

安全实例：（用于指定安全策略）

[vFW-acl-ipv4-adv-3001]dis this

#

acl advanced 3001

 rule 0 permit ip source 192.168.1.0 0.0.0.255

#

[vFW-zone-pair-security-Trust-Any]dis this

#

zone-pair security source Trust destination Any

 packet-filter 3001

#

①包过滤（配置安全实例→包过滤）

②对象组的对象策略

对象组：用于匹配数据包的特征

查看命令：[vFW]display current-configuration configuration obj-grp

特征：IP地址、MAC地址、协议

对象策略：根据对象的匹配类型，定义各个对象组之间的策略

                 一个对象策略可以存在多条规则

查看命令：[vFW]display current-configuration configuration object-policy-ip

匹配顺序与创建顺序有关

特点：对象策略匹配对象组，如果不存在，则不匹配任何报文

          对象策略不指定对象组，该规则匹配所有报文

配置步骤：

1、放行Trust区域中10.1.1.0/24到其他区域的任意IP流量。

①定义对象组

object-group ip address Inside

 0 network subnet 192.168.1.0 255.255.255.0

②定义对象策略

object-policy ip TRUST-TO-ANY

 rule 0 pass source-ip Inside

③调用策略

[vFW]zone-pair security source trust destination any

[vFW-zone-pair-security-Trust-Any]object-policy apply ip TRUST-TO-ANY

[vFW-zone-pair-security-Trust-Any]qu

2、只放行DMZ区域到Trust区域中10.1.1.1/24的telnet流量。

①定义对象组

object-group ip address DMZ

 0 network subnet 172.16.2.0 255.255.255.0

object-group ip address Inside_PC1

 0 network host address 192.168.1.1

object-group service Service_telnet

 0 service tcp destination eq 23

②定义对象策略

object-policy ip DMZ-TO-TRUST

 rule 0 pass source-ip DMZ destination-ip Inside_PC1 service Service_telnet

③调用策略

[vFW]zone-pair security source DMZ destination trust

[vFW-zone-pair-security-DMZ-Trust]object-policy apply ip DMZ-TO-TRUST

[vFW-zone-pair-security-DMZ-Trust]qu

3、只放行Untrust区域的10.1.4.0/24到DMZ区域中10.1.2.1/24的HTTP和telnet流量。

①定义对象组

object-group ip address DMZ_srv

 0 network host address 172.16.2.1

object-group ip address Outside

 0 network subnet 202.101.12.0 255.255.255.0

object-group service Service_HTTP

 0 service tcp destination eq 80

 10 service tcp destination eq 23

②定义对象策略

object-policy ip UNTRUST_TO_DMZ

 rule 0 pass source-ip Outside destination-ip DMZ_srv service Service_HTTP

③调用策略

[vFW]zone-pair security source untrust destination dmz

[vFW-zone-pair-security-Untrust-DMZ]object-policy apply ip UNTRUST_TO_DMZ

[vFW-zone-pair-security-Untrust-DMZ]qu

③ASPF

同一个区域内的接口间，如果没有安全实例，默认是丢包

3、基本配置

区域添加接口

查看命令：

DHCP：

设置域间策略:

4、安全策略

1）定义

根据报文的属性特征指导报文的转发行为和DPI（深度报文检测）

2）应用：

防火墙转发报文、流量访问防火墙（telnet）

3）发展：

ALC（采用五元组匹配流量，涉及的层次不高）、UTM、NGFW

4）构成：

过滤条件(设置IP、用户、区域、协议等信息；可以设置多种因数)

设置动作：放行、拒绝、DPI

5）顺序

先创建先匹配；限制越严格写前面

6）流程

7）注意事项

非management和非local安全的报文都会被丢弃

当需要访问防火墙时，需要配置源安全区域到local区域的安全策略

限制越严格写前面

8）配置的顺序

1、允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的Web服务：

security-policy ip

 rule 0 name zongcaiban_to_database

 action pass

 source-zone zongcaiban

 destination-zone database

 source-ip-subnet 192.168.1.0 255.255.255.0

destination-ip-subnet 172.16.2.0 255.255.255.0

service http

2、允许财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。

①设置工作时间：

[vFW]time-range Worktime 08:00 to 18:00 working-day

②设置策略：

security-policy ip

 rule 1 name caiwubu_to_database

 action pass

 time-range Worktime

 source-zone caiwubu

 destination-zone database

 source-ip-subnet 202.101.12.0 255.255.255.0

destination-ip-subnet 172.16.2.0 255.255.255.0

service http

5、设备的管理登入

若是要进行非management安全区域主机对设备进行登录，则要记得写安全策略

telnet：

[vFW]telnet server enable －－－开启telnet服务

[vFW]line vty 0 4－－－设置ＶＴＹ远程登入

[vFW-line-vty0-4]authentication-mode scheme  --- AAA认证

[vFW-line-vty0-4]qu

[vFW]local-user LTL class manage －－－创建账号

[vFW-luser-manage-LTL]password simple abc@123456－－－设置密码

[vFW-luser-manage-LTL]service-type telnet－－－开启服务

[vFW-luser-manage-LTL]qu

HTTP：

若是要进行非management安全区域主机对设备进行登录，则要记得写安全策略