4.安全與NAT策略-1
阿新 • • 發佈:2018-06-27
inside 設置 def oal sha bject 3D fda mas 1.安全策略配置
1.1 基本概念
下一代防火墻流量處理流程
-
策略匹配規則
- 從上到下匹配
- 使用第一個匹配流量的策略規則
- 後面的策略規則不會匹配
-
三種類型的Policy Rule
- intraZone:流量在一個zone裏面穿梭,默認允許。
- InterZone:流量在不同的zone之間穿梭,默認拒絕。
-
Universal:policy rule默認的類型,可以是intraZone的,也可以是InterZone的。
- Address Objects
- 用於表示IP
- 可用的類型
IP Netmask:10.0.0.1/24
IP Range:10.0.0.1-10.0.0.254
RQDN:www.baidu.com
-
Address Groups
- Static:group中的成員可以是address object,也可以是其他的address group
- Dynamic:通過Tag來動態添加IP
- External Dynamic Lists(7.0版本叫做 Dynamic Block Lists)
以指定的頻率從指定的位置下載URL/IP block lists,列表中包含的是被阻塞的URL和IP,可以被應用到policy當中。
- URL Category
根據URL分類實現訪問策略
- URL Category
1.2 Object配置實例(LAB6)
-
實驗目的:掌握PaloAlto Object的配置
-
實驗需求:
- 為Inside-1/Inside-2區域的ip配置object address,並且打上tag
- 為DMZ中的IP配置object address,並且打上tag
- 為Outside中的IP配置object adress,並且打上tag
- 用dynamic/static object group為不同的zone的IP進行分組
- 實驗過程:
- Inside IP 打上TAG(Blue)
- DMZ IP 打上TAG (Green)
- Outside IP 打上TAG (Red)
- Inside IP 打上TAG(Blue)
- 創建 Inside主機(動態)、Inside-1主機(靜態)Inside-2主機(靜態)
-
動態方式創建DMZ Group、Outside Group
- 實驗結果:
1.3 security policy 配置實例(LAB7)
-
實驗目的:掌握PaloAlto Security policy的配置
- 實驗需求:
- 打開intrazone-default和interzone-default的日誌功能。
- 允許所有inside區域訪問DMZ區域和outside區域
- 允許inside1-PC Telnet 訪問inside2-PC
- 允許inside2-PC HTTP 訪問inside1-PC
- 實驗步驟:
- 打開日誌功能
- 打開日誌功能
- 設置所有inside區域訪問DMZ區域和outside區域
- 設置允許inside1-PC Telnet 訪問inside2-PC
- 設置允許inside2-PC HTTP 訪問inside1-PC
4.安全與NAT策略-1