网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

感谢您的支持，网络之路博客提供Cisco、华为、H3C、防火墙、VPN等网络知识点分享与应用，想了解更多企业技术应用与组网案例。更多精彩，欢迎免费关注。（有更新，直接推送，第一时间收到，博客地址 ），记得不错帮忙转发下，非常感谢您的举手之劳~~

长按二维码，识别后即可关注

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。

 2  防火墙篇之安全策略部署          

分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全，进行检测，怎么检测的呢，防火墙分区域的，当Trust区域（高级别）访问Untrust（低级别，也就是ISP网络）的时候，可以全部访问，而防火墙动态创建状态化信息，数据包从外边返回的时候，根据状态化信息来放行，而ISP的网络想主动访问内部则不行，因为低级别访问高级级别inbound的流量都是被拒绝的，除非做策略开放，所以我们第一个要做的就是策略。 想要访问internt，而内网都是私网地址，需要访问ISP的话，则必须把私网地址访问成公网地址，所以必须部署NAT技术，另外有对外提供服务【比如WeB，fTP等】需要做NAT Server技术。在有多ISP的情况下，我们希望能够实现负载分担或者是备份功能，那么我们必须部署策略路由、静态路由、浮动路由、NQA或者IP-lInk技术，来动态的检测链路的状态，从而动态的切换。 另外分部与出差的员工需要访问公司内网，所以还需要部署VPN技术。 总结就是： 1、部署Policy 2、部署Nat 3、部署双ISP出口路由与自动切换技术。 4、部署VPN

 3  Policy部署           

说明：不同USG型号的防火墙策略默认出厂不太一样，比如用的USG 5500则默认需要配置策略放行，否则流量都不通过，只有Local到Trust一些流量默认是放行的，而USG 2200系列的话，就默认全是Permit的，不需要放行流量，如果不确定的话，可以通过命令 display firewall packet-filter default all 查看。

可以看到只有少数的是Permit的，其余默认都是deny的，在部署之前首先要明白方向性，只有明白了方向性的才好进行部署。

 4  什么是inbound与Outbound流量。         

首先要明白，inbound与Outbound是针对优先级来说的，从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量，比如Trust到Untrust的流量，也就是内网访问外网的流量。而低级别到高级别的流量成为inbound，也就是Untrust的流量到Trust，外网主动访问内网的流量。

1、假设我们需要访问外网，而默认情况下Trust到ISP的Zone是deny的，那么我们需要放行Trust到ISP的Outbound的流量，这样就可以正常访问外网了（假设已经部署了Nat）2、假设我们映射了一台WeB服务给外网访问，那么则是ISP的流量抵达Trust或者dMZ，这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。

 5  部署需要考虑到的因素         

1、是否需要进行时间控制，比如只允许员工在规定的时间段内访问外网或者特定的资源
2、是否需要排除某些IP不能访问外网
3、是否需要日志记录或者流量统计等。

 6 具体实现配置【访问Internet的策略】