天融信下一代防火牆（NGFW）

參考鏈接：
天融信NGFW管理手冊.pdf
https://netmarket.oss.aliyuncs.com/bf0f64cb-1350-44e0-9e06-db55607821eb.pdf
天融信防火牆手冊 - 百度文庫
https://wenku.baidu.com/view/c577a0d869dc5022aaea00f0.html?tdsourcetag=s_pctim_aiomsg&qq-pf-to=pcqq.c2c

1、 問答
訪問控制策略中包含多個策略組，每個策略組中包含多條訪問控制，不同訪問控制策略匹配的順序是什么？策略組之間的匹配順序是什么？訪問原則是什么？

（1）訪問控制策略匹配時，按照策略的排列順序從上到下依次進行匹配，連接匹配訪問控制策略的所有條件，則執行相應的策略動作，不再繼續進行匹配，否則繼續匹配下一條訪問控制策略。
（2）訪問控制策略匹配時會按照從上之下的順序依次匹配不同策略組內的訪問控制策略，直至成功匹配某一條訪問控制策略或者匹配完所有策略組中的訪問控制策略。
（3）首次匹配，如果報文匹配一條訪問控制策略，防火牆執行相應的策略動作，不再繼續匹配剩余的訪問控制策略。

2、 典型案例，闡述對應需求需要配置的策略。
實驗拓撲

實驗需求
1- 內網vlan10 20兩個地址段能_上互聯網
2- 互聯網能通過公網地址TCP80端口訪問到server服務器TCP80
3- 內網用戶能通過公網IP訪問server服務器
4- server服務器允許上互聯
5- server服務器不允許訪問內網。
6- PC192.168.10.100允許訪問SERVER服務器所有端口，其他內網用戶只允許訪問SERVER服務器TCP80端口.

IP地址規划

設備/區域	端口	IP地址
NGFW	Feth1	10.25.110.206/24 GW:10.25.110.1/24
	Feth2	172.16.100.1/24
	Feth3	172.16.200.254/24
SW1/內網區域	E0/0	172.16.100.2/24
	VLAN10	192.168.10.254/24
	VLAN20	192.168.20.254/24
Server/SERVER區域	E0/0	172.16.200.100/24 GW:172.16.200.254/24
PC1/內網區域	E0/0	192.168.10.100/24 GW：192.168.10.254/24
PC2/內網區域	E0/0	192.168.20.100/24 GW：192.168.20.254/24

1- 配置接口IP地址
選擇 網絡管理 > 接口 > 物理接口。點擊接口“操作欄”的修改圖標，彈出“編
輯”窗口。

配置接口模式和 IP 地址，模式為“路由”，接口 IP 地址的配置如下表所示。

接口	IP地址
Feth1	10.25.110.206/24
Feth2	172.16.100.1/24
Feth3	172.16.200.254/24

2- 配置路由，配置默認路由使NGFW可以訪問互聯網，再配置到達內網的靜態路由，使NGFW可以和內網的PC進行通信
選擇 網絡管理 > 路由 > 靜態路由。點擊操作欄的“添加”圖標，彈出“添加”窗口。

靜態路由的的配置如下表所示。

目的地址/掩碼	下一跳
0.0.0.0/0	10.25.110.1
192.168.10.0/24	172.16.100.2
192.168.20.0/24	172.16.100.2

配置完成后，路由表上可以看到配置的靜態路由

3- 配置區域對象
選擇資源管理—>區域，創建區域對象，點擊操作欄的“添加”圖標，彈出“添加”窗口。用以后面的地址轉換和訪問控制引用

按照下表添加區域對象

端口	區域名稱
Feth1	area_feth1_inside
Feth2	area_feth2_outbound
Feth3	area_feth3_server

區域對象添加完成如下圖

4- 配置主機和子網對象
選擇資源管理—>地址，創建主機對象和子網對象，點擊操作欄的“添加”圖標，彈出“添加”窗口。用以后面的地址轉換和訪問控制引用

按照下表添加地址對象

對象名稱	地址
外網地址_10.25.110.206	10.25.110.206
Server_172.16.200.100	172.16.200.100
管理主機_192.168.10.100	192.168.10.100
VLAN10_192.168.10.0	192.168.10.0
VLAN20_192.168.20.0	192.168.20.0

添加地址對象完成后

5- 配置服務對象
選擇資源管理—>服務，先創建服務對象，然后再創建一個服務組，將創建好的服務對象加入到服務組中。點擊操作欄的“添加”圖標，彈出“添加”窗口。用以后面的訪問控制引用

按照下表添加服務端口

服務名稱	端口
TCP135-139	TCP135-139
UDP135-139	UDP135-139
TCP445	TCP445
UDP445	UDP445

添加完成后，加入到一個服務組中

6- 配置SNAT，使內網的PC1和PC2和SERVER區域可以訪問互聯網
依次選擇安全策略—>地址轉換—>NAT，然后點擊操作欄的“添加”按鈕。

SNAT的規則配置如下表

模式	源區域	目的區域	轉換的地址為
源轉換	VLAN10_192.168.10.0	area_feth1_inside	外網地址_10.25.110.206
源轉換	VLAN20_192.168.20.0	area_feth1_inside	外網地址_10.25.110.206
源轉換	area_feth3_server	area_feth1_inside	外網地址_10.25.110.206

配置完成后如下圖

7- 配置DNAT，使互聯網中的用戶能使用公網地址訪問SERVER區域的Web服務器。
依次選擇安全策略—>地址轉換—>NAT，然后點擊操作欄的“添加”按鈕。模式選擇目的轉換。

DNAT的規則配置如下表

模式	源區域	目的地址	目的端口	轉換的目的地址	轉換的目的端口
目的轉換	area_feth1_inside	外網地址_10.25.110.206	80	Server_172.16.200.100	80

配置完成后如下圖

8- 配置雙向轉換，使內網用戶可以使用公網IP訪問SERVER區域的web服務器的80服務。
依次選擇安全策略—>地址轉換—>NAT，然后點擊操作欄的“添加”按鈕。模式選擇雙向轉換。

雙向轉換的規則配置如下表

模式	源地址	目的地址	目的端口	轉換的源地址	轉換的目的地址	轉換的目的端口
雙向	VLAN10_192.168.10.0 VLAN20_192.168.20.0	外網地址_10.25.110.206	80	外網地址_10.25.110.206	Server_172.16.200.100	80

完成配置如下圖

9- 配置訪問控制策略
實現功能如下：關閉勒索病毒端口；
Server區服務器允許上互聯Server區服務器不允許訪問內網。
PC192.168.10.100允許訪問SERVER服務器所有端口，其他內網用戶只允許訪問SERVER服務器TCP80端口.
VLAN10的用戶可以訪問互聯網，VLAN20屬於臨時上網區，需要登錄test任何后上網，臨時上網區的test用戶可以訪問互聯網。
其他的執行默認拒絕動作

（1）選擇 安全策略 > 訪問控制。點擊“添加”，選擇“策略”，彈出“添加”窗口。

訪問控制策略規則配置如下表

名稱	源地址	源區域	用戶	目的地址	目的區域	服務	動作	狀態	描述	訪問控制日志
策略1	any	/	/	any	/	病毒端口組	拒絕	啟用	過濾勒索病毒端口	記錄
策略2	/	Area_feth3_server	/	/	Area_feth1_inside	/	允許	啟用	允許SERVER區域訪問互聯網	不記錄
策略3	管理主機_192.168.10.100	/	/	Server_172.16.200.100	/	/	允許	啟用	只允許管理主機訪問server的所有端口	不記錄
策略4	VLAN10_192.168.10.0 VLAN20_192.168.20.0	/	/	Server_172.16.200.100	/	HTTP	允許	啟用	內網其他用戶只能訪問server的HTTP服務	不記錄
策略5	VLAN10_192.168.10.0	/	/	/	Area_feth1_inside	/	允許	啟用	允許VLAN10的內網用戶訪問互聯網	不記錄
策略6	/	/	test	/	Area_feth1_inside	/	允許	啟用	允許內網VLAN20的臨時上網區使用test賬戶登錄認證后訪問互聯網	記錄
策略7	any	/	/	any	/	/	拒絕	啟用	拒絕所有	不記錄

配置完成后如下圖：

10- 所有配置完成后點擊Web界面右上角的保存按鈕，或者在配置過程中點擊保存按鈕，以免設備掉電配置丟失。