如何通过 CLI 测试安全、NAT 和 PBF 规则

概述

本文档介绍如何通过 CLI 验证会话是否使用测试安全性、地址转换 (NAT) 和基于策略的转发 (PBF) 规则匹配预期策略。

运行测试安全策略、NAT 策略和 PBF 策略时, 始终需要下列参数:

• 源源 IP 地址
• 目标-目标 IP 地址
• 目标端口-指定目标端口号
• 协议-指定数据包在1和255之间的 IP 协议编号 (TCP-6, UDP-17, ICMP-1, ESP-50)

如果上述任何参数的值未知或不像在预期匹配的规则具有 "任意" 字段值的情况下, 则可以输入假或虚值。此外, 还可以指定 "应用程序"、"类别"、"来自" 和 "到" 区域。

注意: 为了匹配所需的安全策略, 当有许多配置了相同的源和目标区域的安全策略时, 建议指定源区域和目的区. 如果未指定区域, 则测试命令将根据源 IP 地址不属于的区域返回规则的结果。

详细

测试安全规则

测试安全-策略匹配

+ 应用程序应用程序名称

+ 类别类别名称

+ 目标目标 IP 地址

+ 目标端口目标端口

+ 从

+ 协议 IP 协议值

+ 显示-所有显示所有潜在的匹配规则

+ 源源 IP 地址

+ 源用户源用户

+ 以

  <Enter>完成输入</Enter>

示例 1: (当所需参数的值已知时)

测试安全-策略-匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标74.125.225.69 目的地-端口80应用 gmail 基地

Trust_Untrust {

        从 L3-Trust;

        源 192.168.52.1;

        源区域任何;

        L3-Untrust;

        目的地 74.125.225.69;

        目的地-区域任何;

        用户任何;

        类别;

        申请/服务 [gmail-base/tcp/any/80 gmail-base/tcp/any/8080 web-browsing/tcp/any/80 web-browsing/tcp/any/8080 gmail-chat/tcp/any/80 gmail-chat/tcp/any/8080 gmail-enterprise/tcp/any/80 gmail-enterprise/tcp/any/8080gmail-call-phone/tcp/any/80 gmail-call-hone/tcp/any/8080 gmail-video-chat/tcp/any/80 gmail-video-chat/tcp/any/8080];       行动允许;

}

示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)

测试安全-策略-匹配协议1从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标4.4.4.4 目标-端口80

信任. 不信任 {

        从 L3-Trust;

        源

        源区域任何;

        L3-Untrust;

        目的地任何;

        目的地-区域任何;

        用户任何;

        类别;

        申请/服务任何/任何/任何/任何/任何;

        操作允许;

}

示例 3: (无规则匹配)

测试安全-策略匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标69.171.242.11 目标-端口80应用程序 facebook-基地

没有匹配的规则

测试 NAT 规则

测试 nat-策略匹配

+ 目标目标 IP 地址

+ 目标端口目标端口

+ 从

+ ha-设备 id ha 主动活动设备 id

+ 协议 IP 协议值

+ 源源 IP 地址

+ 源端口源端口

+ 以

+ 要使用的接口出口接口

  <Enter>完成输入</Enter>

示例 1: (当所需参数的值已知时)

测试 nat 策略-匹配协议 6 从 L3-Trust 到 L3-Untrust 源 192.168.52.1目标171.161.148.173 目标-端口 443

源 NAT: 规则匹配: Src_NAT

192.168.52.1: 0 = 10.30.6. 52:15473 (6),

示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)

测试 nat 策略-匹配协议 17 从 L3-Trust 到 L3-Untrust 源 192.168.52.1目标69.171.242.11 目标-端口 80

源 NAT: 规则匹配: Source_NAT

192.168.52.1: 0 = > 10.30.6. 52:47927 (17),

示例 3: (无规则匹配)

测试 nat 策略-匹配协议6从 L3-Trust 到 L3-Untrust 源192.168.52.1 目标212.58.241.131 目标-端口443

服务器错误:

测试 PBF 规则

测试 pbf-策略匹配

+ 应用程序应用程序名称

+ 目标目标 IP 地址

+ 目标端口目标端口

+ 从区域

+ 接口接口

+ ha-设备 id ha 主动活动设备 id

+ 协议 IP 协议值

+ 源源 IP 地址

+ 源用户源用户

  <Enter>完成输入</Enter>

示例 1: (当所需参数的值已知时)

测试 pbf-策略匹配协议6从 L3-Trust 源192.168.52.1 目标74.125.225.69 目标-端口80应用程序 web 浏览

PBF

        从 L3-Trust;

        源 192.168.52.1;

        目的地 74.125.225.69;

        用户任何;

        申请/服务网页浏览/任何/任何/任何/任何;

        行动向前;

        货运代理-出口-如果/VSYS ethernet1/3;

        下一步跳 0.0.0.0;

}

示例 2: (当所需参数的值未知时, 如规则具有 "任意" 作为字段值的情况下)

测试 pbf-策略匹配协议6从 L3-Trust 源192.168.52.1 目标171.161.148.173 目标-端口80

"PBF 任何" {

        从 L3-Trust;

        源

        目的地任何;

        用户任何;

        申请/服务任何/任何/任何/任何/任何;

        行动向前;

        货运代理-出口-如果/VSYS ethernet1/3;

        下一步跳 0.0.0.0;

}

示例 3: (无规则匹配)

测试 pbf-策略匹配协议17从 L3-Trust 源192.168.52.1 目标69.171.242.11 目标-端口80

服务器错误: 运行策略查找时出错

多 vsys 环境

要在多 vsys 环境中测试上述命令, 请首先使用 <vsys>CLI 上</vsys>的 set 系统设置目标 vsys 命令将上下文更改为该特定 vsys。然后, 运行测试:

admin@PA-5050 vsys2 (被动) >> 测试安全-策略-匹配从 vsys2_trust 到 vsys2_untrust 目标-端口80协议6源1.1.1.1 目标2.2.2。2

临时

        从任何;

        源

        源区无;

        对任何;

        目的地任何;

        目标地区无;

        用户任何;

        类别;

        应用程序/服务/任何/任何/任意;

        操作允许;

        终端是;

}

若要还原为默认设置, 请运行set 系统设置目标 vsys 无命令.

所有者： gchandrasekaran