4.安全与NAT策略-1

1.1 基本概念

下一代防火墙流量处理流程

• 策略匹配规则

  • 从上到下匹配
  • 使用第一个匹配流量的策略规则
  • 后面的策略规则不会匹配

• 三种类型的Policy Rule

  • intraZone：流量在一个zone里面穿梭，默认允许。
  • InterZone：流量在不同的zone之间穿梭，默认拒绝。

  • Universal：policy rule默认的类型，可以是intraZone的，也可以是InterZone的。
    

  • Address Objects
  • 用于表示IP
  • 可用的类型
    IP Netmask:10.0.0.1/24
    IP Range:10.0.0.1-10.0.0.254
    RQDN:www.baidu.com

• Address Groups

  • Static：group中的成员可以是address object，也可以是其他的address group
  • Dynamic:通过Tag来动态添加IP
• External Dynamic Lists(7.0版本叫做 Dynamic Block Lists)
  以指定的频率从指定的位置下载URL/IP block lists，列表中包含的是被阻塞的URL和IP，可以被应用到policy当中。
  
  • URL Category
    根据URL分类实现访问策略
    

1.2 Object配置实例（LAB6）

• 实验目的：掌握PaloAlto Object的配置

• 实验需求：

  • 为Inside-1/Inside-2区域的ip配置object address，并且打上tag
  • 为DMZ中的IP配置object address，并且打上tag
  • 为Outside中的IP配置object adress，并且打上tag
  • 用dynamic/static object group为不同的zone的IP进行分组
• 实验过程：
  • Inside IP 打上TAG(Blue)
    
  • DMZ IP 打上TAG （Green）
    
  • Outside IP 打上TAG (Red)
    

• 创建 Inside主机（动态）、Inside-1主机（静态）Inside-2主机（静态）
  
  

• 动态方式创建DMZ Group、Outside Group
  
  

• 实验结果：

1.3 security policy 配置实例(LAB7)

• 实验目的：掌握PaloAlto Security policy的配置

• 实验需求：
  • 打开intrazone-default和interzone-default的日志功能。
  • 允许所有inside区域访问DMZ区域和outside区域
  • 允许inside1-PC Telnet 访问inside2-PC
  • 允许inside2-PC HTTP 访问inside1-PC
• 实验步骤：
  • 打开日志功能
    
    

• 设置所有inside区域访问DMZ区域和outside区域
  
  
  
  
• 设置允许inside1-PC Telnet 访问inside2-PC
  

• 设置允许inside2-PC HTTP 访问inside1-PC

4.安全与NAT策略-1

原文：http://blog.51cto.com/robingo/2133336