防火牆需要有如下幾個步驟:
1、配置接口IP,并劃到對應的安全域zone。
2、配置路由。
3、配置防火牆控制政策(這個一定要配置),如
policy from "l2-untrust" to "l2-trust"
rule id 2
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
4、配置防火牆NAT(如果不通路外網,可以不配置),如
snatrule id 1 from "Any" to "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport
5、配置端口映射(如果沒有端口需要映射,可以不配置)。這裡有3個步驟,
5.1、添加服務簿,如
service "TCP_8088"
description "TCP_8088"
tcp dst-port 8088 src-port 0 65535 timeout 1800
5.2、添加位址簿,如
address "ShuiLi_server"
reference-zone "trust"
description "ShuiLi_Server"
ip 10.45.163.67/32
5.3、防火牆NAT中的目的NAT
dnatrule id 1 from "Any" to "ipv4.ethernet0/4" service "TCP_8088" trans-to "ShuiLi_server" port 8088
注意細節:
1)防火牆控制政策:原則就是區域A要主動通路區域B隻需要單向放行就OK了(即政策放行區域A的源IP通路區域B的目标IP),這就是防火牆功能強大的地方。例如隻是讓trust(内部區域網路)通路untrust外網,即trust為源IP而untrust為目标IP,那麼隻需要單向的把trust指向untrust的源IP段放行通路任意目标IP就行,這樣就可以正常上網了,而外網(untrust)即使有可達内網(trust)的路由也不能通路到内網trust的。如果要讓untrust作為源ip主動通路trust為目标IP,那麼也隻單向untrust到trust放行就可以(與trust有沒有放行到untrust無關),這untrusrt向trust放行在端口映射時很重要。
2)做端口映射時“添加服務簿”:這個服務簿其實是網絡或者軟體協定而已,這此協定一般都有源端口和目标端口,(這個服務簿可以說明是防火牆規則最嚴密表現)。既然有源端口與目标端口,那麼配置時一定要小心了。一般遠端主機通路伺服器時,其(遠端主機)的端口(即源端口)是随機的,而目标端口就是伺服器中軟體要映射的端口了,是以配置時一定要将源端口為任意,目标端口為指定。假如将源端口與目标端口都配置成一樣(如8088),那麼除非将遠端主機強制用8088通路,否則遠端主機不可能通路到伺服器的。
錯誤“添加服務簿”如下進而無法映射成功:
正确添加服務簿最後才映射成功。
