如何通过 CLI 测试安全、NAT 和 PBF 规则
Resolution
概述
本文档介绍如何通过 CLI 验证会话是否使用测试安全性、地址转换 (NAT) 和基于策略的转发 (PBF) 规则匹配预期策略。
运行测试安全策略、NAT 策略和 PBF 策略时, 始终需要下列参数:
- 源源 IP 地址
- 目标-目标 IP 地址
- 目标端口-指定目标端口号
- 协议-指定数据包在1和255之间的 IP 协议编号 (TCP-6, UDP-17, ICMP-1, ESP-50)
如果上述任何参数的值未知或不像在预期匹配的规则具有 "任意" 字段值的情况下, 则可以输入假或虚值。此外, 还可以指定 "应用程序"、"类别"、"来自" 和 "到" 区域。
注意: 为了匹配所需的安全策略, 当有许多配置了相同的源和目标区域的安全策略时, 建议指定源区域和目的区. 如果未指定区域, 则测试命令将根据源 IP 地址不属于的区域返回规则的结果。
详细
测试安全规则
测试安全-策略匹配
+ 应用程序应用程序名称
+ 类别类别名称
+ 目标目标 IP 地址
+ 目标端口目标端口
+ 从
+ 协议 IP 协议值
+ 显示-所有显示所有潜在的匹配规则
+ 源源 IP 地址
+ 源用户源用户
+ 以
<Enter>完成输入</Enter>
示例 1: (当所需参数的值已知时)
测试安全-策略-匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标74.125.225.69 目的地-端口80应用 gmail 基地
Trust_Untrust {
从 L3-Trust;
源 192.168.52.1;
源区域任何;
L3-Untrust;
目的地 74.125.225.69;
目的地-区域任何;
用户任何;
类别;
申请/服务 [gmail-base/tcp/any/80 gmail-base/tcp/any/8080 web-browsing/tcp/any/80 web-browsing/tcp/any/8080 gmail-chat/tcp/any/80 gmail-chat/tcp/any/8080 gmail-enterprise/tcp/any/80 gmail-enterprise/tcp/any/8080gmail-call-phone/tcp/any/80 gmail-call-hone/tcp/any/8080 gmail-video-chat/tcp/any/80 gmail-video-chat/tcp/any/8080]; 行动允许;
}
示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)
测试安全-策略-匹配协议1从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标4.4.4.4 目标-端口80
信任. 不信任 {
从 L3-Trust;
源
源区域任何;
L3-Untrust;
目的地任何;
目的地-区域任何;
用户任何;
类别;
申请/服务任何/任何/任何/任何/任何;
操作允许;
}
示例 3: (无规则匹配)
测试安全-策略匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标69.171.242.11 目标-端口80应用程序 facebook-基地
没有匹配的规则
测试 NAT 规则
测试 nat-策略匹配
+ 目标目标 IP 地址
+ 目标端口目标端口
+ 从
+ ha-设备 id ha 主动活动设备 id
+ 协议 IP 协议值
+ 源源 IP 地址
+ 源端口源端口
+ 以
+ 要使用的接口出口接口
<Enter>完成输入</Enter>
示例 1: (当所需参数的值已知时)
测试 nat 策略-匹配协议 6 从 L3-Trust 到 L3-Untrust 源 192.168.52.1目标171.161.148.173 目标-端口 443
源 NAT: 规则匹配: Src_NAT
192.168.52.1: 0 = 10.30.6. 52:15473 (6),
示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)
测试 nat 策略-匹配协议 17 从 L3-Trust 到 L3-Untrust 源 192.168.52.1目标69.171.242.11 目标-端口 80
源 NAT: 规则匹配: Source_NAT
192.168.52.1: 0 = > 10.30.6. 52:47927 (17),
示例 3: (无规则匹配)
测试 nat 策略-匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标212.58.241.131 目标-端口443
服务器错误:
测试 PBF 规则
测试 pbf-策略匹配
+ 应用程序应用程序名称
+ 目标目标 IP 地址
+ 目标端口目标端口
+ 从区域
+ 接口接口
+ ha-设备 id ha 主动活动设备 id
+ 协议 IP 协议值
+ 源源 IP 地址
+ 源用户源用户
<Enter>完成输入</Enter>
示例 1: (当所需参数的值已知时)
测试 pbf-策略匹配协议6从 L3-Trust 源192.168.52.1 目标74.125.225.69 目标-端口80应用程序 web 浏览
PBF
从 L3-Trust;
源 192.168.52.1;
目的地 74.125.225.69;
用户任何;
申请/服务网页浏览/任何/任何/任何/任何;
行动向前;
货运代理-出口-如果/VSYS ethernet1/3;
下一步跳 0.0.0.0;
}
示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)
测试 pbf-策略匹配协议6从 L3-Trust 源192.168.52.1 目标171.161.148.173 目标-端口80
"PBF 任何" {
从 L3-Trust;
源
目的地任何;
用户任何;
申请/服务任何/任何/任何/任何/任何;
行动向前;
货运代理-出口-如果/VSYS ethernet1/3;
下一步跳 0.0.0.0;
}
示例 3: (无规则匹配)
测试 pbf-策略匹配协议17从 L3-Trust 源192.168.52.1 目标69.171.242.11 目标-端口80
服务器错误: 运行策略查找时出错
多 vsys 环境
要在多 vsys 环境中测试上述命令, 请首先使用 <vsys>CLI 上</vsys>的 set 系统设置目标 vsys 命令将上下文更改为该特定 vsys。然后, 运行测试:
admin@PA-5050 vsys2 (被动) >> 测试安全-策略-匹配从 vsys2_trust 到 vsys2_untrust 目标-端口80协议6源1.1.1.1 目标2.2.2。2
临时
从任何;
源
源区无;
对任何;
目的地任何;
目标地区无;
用户任何;
类别;
应用程序/服务/任何/任何/任意;
操作允许;
终端是;
}
若要还原为默认设置, 请运行set 系统设置目标 vsys 无命令.
所有者: gchandrasekaran