防火墻安裝調(diào)試方案

1、實(shí)施方案1、項(xiàng)目概況山東分公司所屬河口、壽光、昌邑、羊口、即墨、楮島、海陽(yáng)風(fēng)電場(chǎng)，每個(gè) 風(fēng)場(chǎng)兩臺(tái)，共計(jì)14臺(tái)天氣預(yù)報(bào)防火墻設(shè)備采購(gòu)、運(yùn)輸、安裝、調(diào)試及一年質(zhì)保 工作，用于滿(mǎn)足自動(dòng)化應(yīng)用系統(tǒng)安全需求。2、服務(wù)范圍、服務(wù)內(nèi)容2.1供貨范圍本工程的供貨范圍見(jiàn)表2-1所示表2-1供貨需求一覽表序號(hào)設(shè)備名稱(chēng)單位數(shù)量備注1防火墻設(shè)備套142其他安裝附件2.2工作范圍供貨商的工作范圍包括:a）提供合同內(nèi)所有硬件設(shè)備和軟件，并保證系統(tǒng)完全符合最終技術(shù)規(guī)范的 要求。b）提供所需的系統(tǒng)技術(shù)資料和文件，并對(duì)其正確性負(fù)責(zé)。c）提供所有合同設(shè)備的備品備件和安裝、維護(hù)所需的專(zhuān)門(mén)工具和試驗(yàn)儀器 儀表（包括調(diào)整、測(cè)試和校核）

2、。d）負(fù)責(zé)進(jìn)行工廠驗(yàn)收，將設(shè)備運(yùn)輸（含搬運(yùn)至指定位置）、安裝在現(xiàn)場(chǎng)（設(shè)備機(jī)房）以及現(xiàn)場(chǎng)調(diào)試直至成功地投入運(yùn)行e）負(fù)責(zé)提出設(shè)備對(duì)供電、接地、消防、運(yùn)行環(huán)境及安裝等要求。f）負(fù)責(zé)完成與買(mǎi)方另外購(gòu)買(mǎi)的其它設(shè)備接口連接調(diào)試工作。g）負(fù)責(zé)現(xiàn)場(chǎng)勘察，與風(fēng)場(chǎng)協(xié)調(diào)、確定設(shè)備安裝位置，制定設(shè)備安裝、調(diào)試 計(jì)劃。h）負(fù)責(zé)編制試驗(yàn)、驗(yàn)收的計(jì)劃報(bào)告。i）在兩年保修期內(nèi)提供必要的保修服務(wù)，賣(mài)方應(yīng)保證及時(shí)免費(fèi)維修或更換 任何并非有買(mǎi)方人員非正常操作而導(dǎo)致的缺陷或故障，并應(yīng)提供限時(shí)到達(dá)現(xiàn) 場(chǎng)的維修服務(wù)。j）由我公司進(jìn)行安裝調(diào)試，并提供售后服務(wù)。k）技術(shù)培訓(xùn)。l）按合同要求為買(mǎi)方提供必要其它的服務(wù)。3、服務(wù)依據(jù)、工作目標(biāo);3

3、.1服務(wù)依據(jù)信息技術(shù)設(shè)備的安全GB4943 2001建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-2004環(huán)境電磁衛(wèi)生標(biāo)準(zhǔn)GB5175-88電磁輻射防護(hù)規(guī)定GB8702-88電氣裝置安裝工程施工及驗(yàn)收規(guī)范GB50254-96電氣裝置安裝工程施工及驗(yàn)收規(guī)范GB50255-963.2工作目標(biāo)本工程計(jì)劃工期30日歷天，質(zhì)量執(zhí)行國(guó)家現(xiàn)行驗(yàn)收標(biāo)準(zhǔn)及要求，達(dá)到合格 標(biāo)準(zhǔn)，嚴(yán)格執(zhí)行安全措施，達(dá)到安全零事故。4、服務(wù)機(jī)構(gòu)設(shè)置、崗位職責(zé)4.1服務(wù)機(jī)構(gòu)設(shè)置*設(shè)立兩個(gè)服務(wù)小組，隨時(shí)調(diào)遣工作。機(jī)構(gòu)包括服務(wù)主管、調(diào)度員、市場(chǎng)信息收集員、三包配件管理員、配件鑒定員等。下圖為我公司的服務(wù)機(jī)構(gòu)架構(gòu)圖：占.-.、.1_嚴(yán)服務(wù)主

4、管調(diào)度訂市場(chǎng)信息包配件f配件鑒定技術(shù)員4.2崗位職責(zé)1、服務(wù)主管：a 分管售后服務(wù)全面工作，根據(jù)公司實(shí)際情況完善售后服務(wù)體系及制定售后服務(wù)工作計(jì)劃。b 對(duì)售后服務(wù)人員進(jìn)行監(jiān)督和評(píng)審，確保公司的各類(lèi)規(guī)章制度在所管理 區(qū)域內(nèi)得到落實(shí)。c 解決售后服務(wù)糾紛及突發(fā)事件的處理工作。d 安排銷(xiāo)售部門(mén)或?qū)Ｂ毴藛T做好回訪工作，保證質(zhì)量。e 受理客戶(hù)投訴等客戶(hù)關(guān)系維護(hù)與管理工作。f 分析與整理售后服務(wù)反饋的資料、信息等整理后報(bào)主管領(lǐng)導(dǎo)并通知到 相關(guān)部門(mén)。g 對(duì)員工進(jìn)行售后服務(wù)規(guī)范的培訓(xùn)工作。h 配合銷(xiāo)售部門(mén)做好用戶(hù)售前、售中、售后現(xiàn)場(chǎng)培訓(xùn)工作。1. 完成上級(jí)領(lǐng)導(dǎo)臨時(shí)交辦的工作。2、調(diào)度員:a 制定詳細(xì)服務(wù)方案和

5、配件投放計(jì)劃。b 綜合管理與協(xié)調(diào)服務(wù)調(diào)度、現(xiàn)場(chǎng)督導(dǎo)、三包鑒定、服務(wù)稽查、信息服 務(wù)、三包配件管理與配送、用戶(hù)進(jìn)廠維修等各項(xiàng)工作。b 服務(wù)車(chē)輛農(nóng)忙期間及日常管理，包含服務(wù)區(qū)域、行駛路線、費(fèi)用登記 審核等。d 負(fù)責(zé)外出服務(wù)人員需報(bào)銷(xiāo)費(fèi)用的審核。e 對(duì)服務(wù)站及外派服務(wù)人員服務(wù)效果做綜合評(píng)價(jià)，監(jiān)督并督促提升服務(wù) 質(zhì)量。f調(diào)度各區(qū)域人員、整合車(chē)輛等各種服務(wù)資源進(jìn)行現(xiàn)場(chǎng)搶修服務(wù)。g 對(duì)疑難問(wèn)題、重大問(wèn)題及時(shí)進(jìn)行匯報(bào)；h 服務(wù)人員的服務(wù)效果評(píng)價(jià)和考核、服務(wù)補(bǔ)貼的兌現(xiàn) i服務(wù)站日常管理及服務(wù)費(fèi)的逐個(gè)審核、兌現(xiàn) i.完成上級(jí)領(lǐng)導(dǎo)臨時(shí)交辦的工作。(3) 市場(chǎng)信息收集員：A 根據(jù)用戶(hù)報(bào)修電話記錄對(duì)用戶(hù)進(jìn)行電話回訪，

6、對(duì)相關(guān)費(fèi)用進(jìn)行核查。b 負(fù)責(zé)服務(wù)信息收集、重點(diǎn)質(zhì)量問(wèn)題統(tǒng)計(jì)。c 實(shí)時(shí)了解市場(chǎng)服務(wù)動(dòng)態(tài)，搜集同行業(yè)產(chǎn)品服務(wù)和質(zhì)量信息，為公司服 務(wù)決策和產(chǎn)品質(zhì)量提供信息支撐。d .負(fù)責(zé)督促各銷(xiāo)售區(qū)域回傳用戶(hù)檔案，并對(duì)建立健全用戶(hù)檔案負(fù)責(zé)。e .完成上級(jí)領(lǐng)導(dǎo)臨時(shí)交辦的工作。(4) 配件管理員職責(zé)：a .負(fù)責(zé)各經(jīng)銷(xiāo)網(wǎng)點(diǎn)、外派服務(wù)隊(duì)、駐點(diǎn)服務(wù)人員往來(lái)帳目的管理，以及 三包配件日常業(yè)務(wù)的辦理。b .負(fù)責(zé)組織經(jīng)公司、部門(mén)領(lǐng)導(dǎo)審批后的三包配件計(jì)劃的發(fā)送。c .負(fù)責(zé)三包配件的回收管理，部件往來(lái)帳目的核對(duì)。d .在農(nóng)忙季節(jié)，協(xié)助服務(wù)主管制定配件需求計(jì)劃。e. 完成本部門(mén)領(lǐng)導(dǎo)臨時(shí)安排的相關(guān)工作任務(wù)。f. 對(duì)所發(fā)三包配件的型號(hào)、數(shù)

7、量、目的地等準(zhǔn)確性負(fù)責(zé)。(5) 維修管理員職責(zé)：a .負(fù)責(zé)售后維修中心場(chǎng)地管理與設(shè)備正常運(yùn)轉(zhuǎn)。b .合理配備維修人員。c .確定維修方案，督促維修進(jìn)度，監(jiān)督維修質(zhì)量。d .完成上級(jí)領(lǐng)導(dǎo)臨時(shí)交辦的工作(6) 鑒定員職責(zé)：a 辦理用戶(hù)、服務(wù)人員、銷(xiāo)售網(wǎng)點(diǎn)返廠三包舊件的鑒定退庫(kù)。b 對(duì)出現(xiàn)的質(zhì)量問(wèn)題進(jìn)行統(tǒng)計(jì)匯總。(7) 技術(shù)員崗位職責(zé)1) 精通計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與開(kāi)發(fā)、熟練網(wǎng)絡(luò)安全技術(shù)、路由器、交換機(jī)等配 置，對(duì)國(guó)家信息建設(shè)有較深認(rèn)識(shí)，熟悉國(guó)家互聯(lián)網(wǎng)法規(guī)及相關(guān)制度、辦 法。2) 有一定的職業(yè)敏銳度，能及時(shí)把握各種軟硬件的市場(chǎng)行情及行業(yè)信息。5、擬投入人員、儀器設(shè)備；5.1擬投入人員我單位將配備技術(shù)力量雄

8、厚的施工團(tuán)隊(duì)為此項(xiàng)目服務(wù)。具體安排如下:序號(hào)職務(wù)數(shù)量1項(xiàng)目經(jīng)理1人2技術(shù)負(fù)責(zé)人1人4技術(shù)員2人5.2擬投入儀器設(shè)備序號(hào)機(jī)械或設(shè)備名稱(chēng)規(guī)格數(shù)量國(guó)別產(chǎn)地制造年份1數(shù)子萬(wàn)用表MS82175中國(guó)20172兆歐表500V1中國(guó)20173剝線器K140-14中國(guó)20174線號(hào)標(biāo)識(shí)機(jī)I.D. PRO1中國(guó)20175/亠 口 4 aP 信號(hào)發(fā)生器541TG1中國(guó)20166示波器ST80011中國(guó)20167直流穩(wěn)壓電源JW-42中國(guó)20168接地電阻測(cè)試器ZC-81中國(guó)20169絕緣電阻測(cè)試器NF2511A1中國(guó)201610無(wú)線對(duì)講機(jī)MOTOROLA2中國(guó)201711工程車(chē)國(guó)產(chǎn)1中國(guó)201612手提電腦SONY

9、1中國(guó)2017注：在合同實(shí)施過(guò)程中，施工機(jī)械投入滿(mǎn)足工程的實(shí)際需要。6、針對(duì)性工作方案6.1拓?fù)鋱DGE 0/0/1 : /24GE 0/0/2 : 6/24GE 0/0/3 : /24WWW 服務(wù)器：/24（DMZ 區(qū)域）FTP服務(wù)器：/24（DMZ 區(qū)域）6.2 Tel net 配置配置VTY的優(yōu)先級(jí)為3,基于密碼驗(yàn)證。#進(jìn)入系統(tǒng)視圖。 system-view#進(jìn)入用戶(hù)界面視圖USG5300 user-i nteface vty 0 4#設(shè)置用戶(hù)界面能夠訪問(wèn)的命令級(jí)別為level 3USG5

10、300-ui-vty0-4 user privilege level 3配置Password驗(yàn)證#配置驗(yàn)證方式為Password驗(yàn)證USG5300-ui-vty0-4 authentication-mode password#配置驗(yàn)證密碼為Ian tianIan tia ncipherUSG5300-ui-vty0-4 set authenticationpassword simple# 最新版本的 命令是 authe nticati on-m odepasswordhuawei123配置空閑斷開(kāi)連接時(shí)間#設(shè)置超時(shí)為30分鐘USG5300-ui-vty0-4 idle-timeout 30US

11、G5300 firewall packet-filter default permit interzone untrust local direction in bou nd /不加這個(gè)從公網(wǎng)不能tel net防火墻。基于用戶(hù)名和密碼驗(yàn)證user- in terface vty 0 4authe nticati on-m ode aaaaaalocal-user admin password ciphe門(mén)MQ;4B+4Z,YWX*NZ55OA!local-user adm in service-type telnetlocal-user adm in level 3firewall packe

12、t-filter default permit in terz one un trust local direct ion inbound如果不開(kāi)放trust域到local域的缺省包過(guò)濾，那么從內(nèi)網(wǎng)也不能tel net的防火墻，但是默認(rèn)情況下已經(jīng)開(kāi)放了trust域到local域的缺省包過(guò)濾。6.3地址配置內(nèi)網(wǎng)：進(jìn)入 GigabitEthernet 0/0/1視圖USG5300 in terface GigabitEthernet 0/0/1配置 GigabitEthernet 0/0/1的 IP 地址USG5300-GigabitEthernet0/0/1 ip address 10.10.1

13、0.1 配置 GigabitEthernet 0/0/1加入 Trust 區(qū)域USG5300 firewall zone trustUSG5300-zo ne-u ntrustadd in terface GigabitEthernet 0/0/1USG5300-zo ne-u ntrustquit外網(wǎng)：進(jìn)入 GigabitEthernet 0/0/2視圖USG5300 in terface GigabitEthernet 0/0/2配置 GigabitEthernet 0/0/2的 IP 地址USG5300-GigabitEthernet0/0/2ip addres

14、s 6配置 GigabitEthernet 0/0/2 加入 Un trust 區(qū)域USG5300 firewall zone untrustUSG5300-zo ne-u ntrust add in terface GigabitEthernet 0/0/2USG5300-zo ne-u ntrust quitDMZ:進(jìn)入 GigabitEthernet 0/0/3視圖USG5300 in terface GigabitEthernet 0/0/3配置 GigabitEthernet 0/0/3的 IP 地址。USG5300-GigabitEt

15、hernet0/0/3ip address USG5300 firewall zone dmzUSG5300-zo ne-u ntrust add in terface GigabitEthernet 0/0/3USG5300-zo ne-u ntrust quit6.4防火墻策略本地策略是指與Local安全區(qū)域有關(guān)的域間安全策略，用于控制外界與設(shè)備本身的互訪。域間安全策略就是指不同的區(qū)域之間的安全策略域內(nèi)安全策略就是指同一個(gè)安全區(qū)域之間的策略，缺省情況下，同一安全區(qū) 域內(nèi)的數(shù)據(jù)流都允許通過(guò)，域內(nèi)安全策略沒(méi)有 Inbound和Outbound 方向

16、的 區(qū)分。策略?xún)?nèi)按照policy的順序進(jìn)行匹配，如果policy 0匹配了，就不會(huì)檢測(cè) policy 1 了，和policy的ID大小沒(méi)有關(guān)系，誰(shuí)在前就先匹配誰(shuí)。缺省情況下開(kāi)放local域到其他任意安全區(qū)域的缺省包過(guò)濾，方便設(shè)備自身的對(duì)外訪問(wèn)。其他接口都沒(méi)有加安全區(qū)域，并且其他域間的缺省包過(guò)濾關(guān)閉。 要 想設(shè)備轉(zhuǎn)發(fā)流量必須將接口加入安全區(qū)域，并配置域間安全策略或開(kāi)放缺省包過(guò)濾。安全策略的匹配順序:域河某個(gè)方向的笊略視國(guó) policy interzone trust untrust ( inbound | outbound PoliCyO； policy SOuWpolicy destinati

17、on destination-address policy service service-set service policy time-range trme-name t t nirt 匹配條fIN action permit | dery IPS. AVJTMSffi (action A permit) ISJK* 序1Policy! s potey的N個(gè)嘰配*件 action permit | denyIPS. AVUTM :嶷略(action jpermil J v PolicyN： polcy的NCB；配St件action permit | denyIPS. AVUTMW (act

18、ion A permit)域間缺書(shū)包過(guò)速規(guī)則(firewall packetf1lterdefault)每條安全策略中包括匹配條件、控制動(dòng)作和 UTM等高級(jí)安全策略。匹配條件安全策略可以指定多種匹配條件，報(bào)文必須同時(shí)滿(mǎn)足所有條件才會(huì)匹配上策 略。比如如下策略policy 1policy service service-set dnspolicy dest in ation 2212219.123 0policy source 在這里policy service 的端口 53就是指的是23的53號(hào)端口， 可以說(shuō)是目的地址的53號(hào)端口。域間可以應(yīng)用多條

19、安全策略，按照策略列表的順序從上到下匹配。只要匹配 到一條策略就不再繼續(xù)匹配剩下的策略。如果安全策略不是以自動(dòng)排序方式配置 的，策略的優(yōu)先級(jí)按照配置順序進(jìn)行排列，越先配置的策略，優(yōu)先級(jí)越高，越先 匹配報(bào)文。但是也可以手工調(diào)整策略之間的優(yōu)先級(jí)。缺省情況下，安全策略就不是以自動(dòng)排序方式。如果安全策略是以自動(dòng)排序方式配置的，策略的優(yōu)先級(jí)按照策略ID的大小進(jìn)行排列，策略ID越小，優(yōu)先級(jí)越高，越先匹配報(bào)文。此時(shí)，策 略之間的優(yōu)先級(jí)關(guān)系不可調(diào)整。policy create-mode auto-sort en able命令用來(lái)開(kāi)啟安全策略自動(dòng)排序功能，默認(rèn)是關(guān)閉的。如果沒(méi)有匹配到安全策略，將按缺省包過(guò)濾的動(dòng)

20、作進(jìn)行處理，所以在配置具體安全策略時(shí)要注意與缺省包過(guò)濾的關(guān)系。例如安全策略中只允許某些報(bào)文通過(guò) 但是沒(méi)有關(guān)閉缺省包過(guò)濾，將造成那些沒(méi)有匹配到安全策略的流量也會(huì)通過(guò)，就失去配置安全策略的意義了同樣，如果安全策略中只配置了需要拒絕的流量，其他流量都是允許通過(guò)的，這時(shí)需要開(kāi)放缺省包過(guò)濾才能實(shí)現(xiàn)需求，否則會(huì)造成所有流量都不能通過(guò)。執(zhí)行命令display this查看當(dāng)前已有的安全策略，策略顯示的順序就是策略 的匹配順序，越前邊的優(yōu)先級(jí)越高執(zhí)行命令 policy move policy-idl before | after policy-id2，調(diào)整策 略?xún)?yōu)先級(jí)。UTM策略安全策略中除了基本的包過(guò)濾功能

21、， 還可以引用IPS AV、應(yīng)用控制等UTM 策略進(jìn)行進(jìn)一步的應(yīng)用層檢測(cè)。但前提是匹配到控制動(dòng)作為 permit的流量才能 進(jìn)行UTM處理，如果匹配到deny直接丟棄報(bào)文。安全策略的應(yīng)用方向域間的Inbound 和Outbound 方向上都可以應(yīng)用安全策略，需要根據(jù)會(huì) 話的方向合理應(yīng)用。因?yàn)?USG是基于會(huì)話的安全策略，只對(duì)同一會(huì)話的首包檢 測(cè)，后續(xù)包直接按照首包的動(dòng)作進(jìn)行處理。所以對(duì)同一條會(huì)話來(lái)說(shuō)只需要在首包 的發(fā)起方向上，也就是訪問(wèn)發(fā)起的方向上應(yīng)用安全策略。Outbourdpolicy source 10JJ J 0亠 +TrustUnvuslPC訪何戲起力向（會(huì)話力向如上圖所示，Trus

22、t域的PC訪問(wèn)Un trust域的Server，只需要在Trust到Un trust的Outbou nd方向上應(yīng)用安全策略允許 PC訪問(wèn)Server即可，對(duì)于Server回應(yīng)PC的應(yīng)答報(bào)文會(huì)命中首包建立的會(huì)話而允許通過(guò)。641 Trust和Un trust域間：允許內(nèi)網(wǎng)用戶(hù)訪問(wèn)公網(wǎng)策略一般都是優(yōu)先級(jí)高的在前，優(yōu)先級(jí)低的在后。policy 1 :允許源地址為/24的網(wǎng)段的報(bào)文通過(guò)配置Trust和Un trust域間出方向的防火墻策略。/如果不加policysource 就是指 any，如果不力卩policy destination目的地址就是指 any。USG5300 pol

23、icy interzone trust untrust outboundUSG5300-policy-i nterz on e-trust-u ntrust-outbo undpolicy 1USG5300-policy-i nterzo ne-trust-u ntrust-outbou nd-1policy source 55USG5300-policy-i nterzo ne-trust-u ntrust-outbou nd-1acti on permitUSG5300-policy-i nterzo ne-trust-u ntrust-outbou nd

24、-1quit如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：USG2100firewall packet-filter default permit interzone trust untrustdirectionoutbound/必須添加這條命令，或者firewall packet-filterdefault permit all，但是這樣不安全。否則內(nèi)網(wǎng)不能訪問(wèn)公網(wǎng)注意：由優(yōu)先級(jí)咼訪冋優(yōu)先級(jí)低的區(qū)域用 outbou nd，比如 policyinterzone trust untrust outbound 。這時(shí)候 policy source ip 地址，就是指的 優(yōu)先級(jí)高的地址，即trust

25、地址，destination 地址就是指的untrust地址。只要 是 outbound ，即使配置成 policy interzone untrust trust outbound也會(huì)變成policy in terz one trust un trust outbo und。由優(yōu)先級(jí)低的區(qū)域訪問(wèn)優(yōu)先級(jí)高的區(qū)域用inbound ,比如是policyin terz one un trust trust in bou nd，為了保持優(yōu)先級(jí)高的區(qū)域在前，優(yōu)先級(jí)低的區(qū)域在后，命令會(huì)自動(dòng)變成 policy interzone trust untrust inbound，這時(shí)候policy source

26、ip地址，就是指的優(yōu)先級(jí)低的地址，即untrust地址，destination 地址就是指的優(yōu)先級(jí)高的地址，即trust地址。總結(jié)：outbount 時(shí)，source地址為優(yōu)先級(jí)高的地址，destination 地址為優(yōu)先級(jí)低的地址。inbount時(shí)，source地址為優(yōu)先級(jí)低的地址，destination地址為優(yōu)先級(jí)高的地址配置完成后可以使用 display policy interzone trust untrust來(lái)查看策略。642 DMZ和Un trust域間：從公網(wǎng)訪問(wèn)內(nèi)部服務(wù)器policy 2 :允許目的地址為，目的端口為21的報(bào)文通過(guò)policy 3 :允許目

27、的地址為，目的端口為8080的報(bào)文通過(guò)配置Un trust到DMZ域間入方向的防火墻策略，即從公網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)器 只需要允許訪問(wèn)內(nèi)網(wǎng)ip地址即可，不需要配置訪問(wèn)公網(wǎng)的ip地址。注意：在域間策略里匹配的順序和policy的數(shù)字沒(méi)有關(guān)系，他是從前往后 檢查，如果前一個(gè)匹配就不檢查下一條了，假如先寫(xiě)的policy 3后寫(xiě)的policy 2 ， 那么就先執(zhí)行policy 3里的語(yǔ)句，如果policy 3里和policy 2里有相同的地址， 只要上一個(gè)匹配了就不執(zhí)行下一個(gè)一樣的地址了。舉例說(shuō)明：policy 2 里允許 通過(guò)，policy 3 里拒絕 192.

28、168.0.1 通過(guò)，哪個(gè)policy先寫(xiě)的就執(zhí)行哪個(gè)。USG5300 policy in terz one un trust dmz inboundUSG5300-policy-i nterz on e-dmz-un trust-i nboundpolicy 2USG5300-policy-i nterz on e-dmz-un trust-i nboun d-2policydestination 0USG5300-policy-i nterz on e-dmz-un trust-i nboun d-2policy serviceservice-set ftpUSG53

29、00-policy-i nterz on e-dmz-un trust-i nboun d-2action permitUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-2quitUSG5300-policy-i nterz on e-dmz-un trust-i nboundpolicy 3USG5300-policy-i nterz on e-dmz-un trust-i nboun d-3policydesti natio n 0USG5300-policy-i nterz on e-dmz-un trust-i

30、nboun d-3policy serviceservice-set httpUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-3action permitUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-3quitUSG5300-policy-i nterz on e-dmz-un trust-i nboundquit應(yīng)用FTP的NAT ALG功能USG5300 firewall interzone dmz untrust#優(yōu)先級(jí)高的區(qū)域在前USG5300-i nterzo ne-dmz-

31、u ntrustdetect ftpUSG5300-i nterz on e-dmz-u ntrustquit在 USG5300 支持 FTP HTTP H.323、HWCC、ICQ、MSN、PPTP QQ、RTSPSIP、MGCP、SQL.NET、NETBIOS MMS等協(xié)議的會(huì)話時(shí)，需要在域間啟動(dòng)ALG功能配置NAT ALG功能與配置應(yīng)用層包過(guò)濾（ASPF）功能使用的是同一條命令。 所以如果已經(jīng)在域間配置過(guò) ASPF功能的話，可以不需要再重復(fù)配置NAT ALG功能。兩者的區(qū)別在于：ASPF功能的目的是識(shí)別多通道協(xié)議，并自動(dòng)為其開(kāi)放相應(yīng)的包過(guò)濾 策略。NAT ALG功能的目的是識(shí)別多通道協(xié)議

32、，并自動(dòng)轉(zhuǎn)換報(bào)文載荷中的IP地址和端口信息。在域間執(zhí)行detect命令，將同時(shí)開(kāi)啟兩個(gè)功能。配置內(nèi)部服務(wù)器： system-viewUSG5300 n at server protocol tcp global 6 8080 in side wwwUSG5300 nat server protocol tcp global 7 ftp in side ftp6.4.3 NAT 策略Trust 和 Un trust 域間：如果是同一個(gè)區(qū)域，比如trust到trust就是域內(nèi)。基于源IP地址轉(zhuǎn)換方向Outbou n

33、d 方向：數(shù)據(jù)包從高安全級(jí)別流向低安全級(jí)別In bou nd方向：數(shù)據(jù)包從低安全級(jí)別流向高安全級(jí)別高優(yōu)先級(jí)與低優(yōu)先級(jí)是相對(duì)的根據(jù)基于源IP地址端口是否轉(zhuǎn)換分為no-pat方式和napt方式。No-PAT方式：用于一對(duì)一 IP地址轉(zhuǎn)換，不涉及端口轉(zhuǎn)換NAPT方式：用于多對(duì)一或多對(duì)多IP地址轉(zhuǎn)換，涉及端口轉(zhuǎn)換1、通過(guò)地址池的方式policy 1 :允許網(wǎng)段為/24的內(nèi)網(wǎng)用戶(hù)訪問(wèn)In ternet時(shí)進(jìn)行源地址轉(zhuǎn)換,采用公網(wǎng)地址池的形式。配置地址池USG5300 nat address-group 1 6 0 配置Trust和Un trust域間出方向的策略USG5300 nat-policy interzone trust untrust outboundpolicy 1USG5300-