實驗拓撲:
配置要求:
1.client2與clien3都屬於trust區,但是無法互通;
2.trust區能訪問dmz區但是dmz訪問不了trust區;
3.將dmz區nat到公網地址,以便訪問該web ftp服務;
4.開啓防火牆,實現telnet外部遠程管理 ;
配置思路與步驟:
思路:
配置各區域接口的ip地址,規劃公司設備佈局,劃分區域,:
添加防火牆策略,
開啓telnet服務,達到遠程管理華爲的防火牆。
配置nat區域的地址池,以便安全發佈web 服務器;
步驟:
1.配置公司防火牆FW1各區域接口的ip地址,
規劃公司防火牆FW1的trust區域:
規劃公司防火牆FW1的untrust區域:
規劃公司防火牆FW1的dmz區:
2.當前同屬於trust區域的,是互相可以訪問的,爲實現它們之間的不互通,則需要創建防火牆策略實現;
策略如下:
創建策略1 ,並應用策略:
注意:上面的命令策略僅能實現財務訪問不了技術部【即source 10.1.1.1到destnation 10.1.2.1 的訪問】,
但是技術部依然可以訪問財務部,不能達到互訪的目的;
所以,爲實現兩者都不能互訪的目的,應該再創建技術部到財務的策略:
3.創建trust區到dmz區的防火牆策略,允許trust區的用戶可以訪問dmz區域的web服務器,但dmz區不能訪問trust區
注:firewall packet-filter default permit interzone trust dmz【trust dmz , 兩者的順序可以隨便,如寫成dmz trust 也可以】
direction outbound // 允許trust區的用戶訪問dmz區 從級別高的到低的訪問,用outbound,反之用inbound
爲dmz區的安全考慮,不允許dmz區訪問trust區和untrust ,所以FW1默認是拒絕dmz區訪問別的區域的。如下圖:
注:display firewall packet-filter default all //查看防火牆所有數據流量默認策略
4.配置防火牆,實現外網訪問dmz區域【爲安全考慮,只允許icmp www ftp 服務】
默認情況下:untrust區用戶是禁止訪問dmz區!
開啓untrust區到dmz區的訪問,
命令:firewall packet-filter default permit interzone untrust dmz direction inbound
添加防火牆和R1路由間的路由:
R1:ip route- static 0.0.0.0 0.0.0.0 202.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1
現在外網就可以訪問dmz區的web ftp 服務器
注:該配置在現實中是不可取的,
1).因爲intenet是不可能配置路由的,屬於非法操作----外網用BGP [可以用NAT或***技術解決】
2).防火牆上也不能有路由,不能允許untrust區到dmz區流量全部放行,不然病毒也是放行的,對內網安全構成威脅
只放行untrust到dmz中的icmp www ftp服務
關閉剛纔的配置服務:firewall packet-filter default deny interzone untrust dmz direction inbound
現在,外網是訪問不了dmz區的!
配置icmp www ftp 放行服務:【只放行icmp www ftp】
第一步:
創建服務集:
[FW1]ip service-set toserver type object //創建服務集 toserver 類型爲object 【toserver這個單詞不是命令,可以隨便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服務順序 0 協議爲 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服務順序1 協議爲 tcp 目標端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服務順序1 協議爲 tcp 目標端口21
第二步:
開啓策略:
[FW1]policy interzone untrust dmz inbound //開啓untrust區到dmz區方向的流量,並進入該策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //創建策略10,並進入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【標紅的爲上面服務集的名字】
//應用上面創建的服務集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 代表精確匹配】
策略目標地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 允許以上策略集
現在,即可實現外網icmp www ftp到dmz,別的服務到不了dmz,但是驗證時你會發現icmp www沒問題,而ftp訪問不了;
因爲FTP是有一個雙通道的概念,而防火牆默認是不支持雙通道的;
現在外網纔可以訪問ftp服務:
而防火牆策略中的untrust到dmz依然是關閉的,說明只放行icmp www ftp服務
如下圖:
配置NAT地址轉換,實現內網的安全:
先清除之前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
當前內網是通不到外網的;
配置trust區到untrust區的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //創建nat轉換地址池爲202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//調用剛纔創建的nat地址池 1
配置trust區到untrust區的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,節省公網ip】
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接將內網的10.1.2.0網段轉換到g0/0/3接口上
以上兩種nat技術方法都可以實現內網ip地址轉換的公網地址,保證內網的安全,但是easy技術相對來說可以
節省ip ,不用再買另一個公網ip地址
dmz區web/ftp的發佈
直接用靜態nat實現地址轉換
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //將內部10.1.3.2 轉換到公網地址202.1.1.3上
結合上面的配置,直接實現dmz區的web /ftp 區不能訪問到別的區域,但是trust和untrust都可以訪問,特別
是untrust只有,ping /http/ftp服務可以訪問內部的服務器,而別的服務無法訪問進到內網!