華爲防火牆實現web、ftp的安全發佈綜合實驗

實驗拓撲:


image.png



配置要求:

 

1.client2與clien3都屬於trust區,但是無法互通;

2.trust區能訪問dmz區但是dmz訪問不了trust區;

3.將dmz區nat到公網地址,以便訪問該web ftp服務;

4.開啓防火牆,實現telnet外部遠程管理 ;


配置思路與步驟:

思路:

  1. 配置各區域接口的ip地址,規劃公司設備佈局,劃分區域,:

  2. 添加防火牆策略,

  3. 開啓telnet服務,達到遠程管理華爲的防火牆。

  4. 配置nat區域的地址池,以便安全發佈web 服務器;


步驟:

    1.配置公司防火牆FW1各區域接口的ip地址,

image.png


image.png

規劃公司防火牆FW1的trust區域:

image.png


規劃公司防火牆FW1的untrust區域:

image.png

規劃公司防火牆FW1的dmz區:

image.png

2.當前同屬於trust區域的,是互相可以訪問的,爲實現它們之間的不互通,則需要創建防火牆策略實現;

策略如下:

創建策略1 ,並應用策略:

image.png


注意:上面的命令策略僅能實現財務訪問不了技術部【即source 10.1.1.1到destnation 10.1.2.1 的訪問】,

          但是技術部依然可以訪問財務部,不能達到互訪的目的;

所以,爲實現兩者都不能互訪的目的,應該再創建技術部到財務的策略:

image.png

3.創建trust區到dmz區的防火牆策略,允許trust區的用戶可以訪問dmz區域的web服務器,但dmz區不能訪問trust區

image.png

注:firewall packet-filter default permit interzone trust dmz【trust dmz , 兩者的順序可以隨便,如寫成dmz trust 也可以】

       direction outbound            // 允許trust區的用戶訪問dmz區           從級別高的到低的訪問,用outbound,反之用inbound


 爲dmz區的安全考慮,不允許dmz區訪問trust區和untrust ,所以FW1默認是拒絕dmz區訪問別的區域的。如下圖:

image.png

注:display firewall packet-filter default all   //查看防火牆所有數據流量默認策略


4.配置防火牆,實現外網訪問dmz區域【爲安全考慮,只允許icmp www  ftp 服務】


默認情況下:untrust區用戶是禁止訪問dmz區!

開啓untrust區到dmz區的訪問,

命令:firewall packet-filter  default permit interzone untrust dmz      direction  inbound 

 添加防火牆和R1路由間的路由:


R1:ip route- static  0.0.0.0 0.0.0.0 202.1.1.254

【FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1

 現在外網就可以訪問dmz區的web ftp 服務器

注:該配置在現實中是不可取的,

1).因爲intenet是不可能配置路由的,屬於非法操作----外網用BGP [可以用NAT或***技術解決】

2).防火牆上也不能有路由,不能允許untrust區到dmz區流量全部放行,不然病毒也是放行的,對內網安全構成威脅


  • 只放行untrust到dmz中的icmp www ftp服務

關閉剛纔的配置服務:firewall packet-filter  default deny interzone untrust dmz      direction  inbound 

現在,外網是訪問不了dmz區的!

配置icmp www ftp 放行服務:【只放行icmp www ftp】

第一步:

 創建服務集:

[FW1]ip service-set toserver type object                                    //創建服務集 toserver 類型爲object 【toserver這個單詞不是命令,可以隨便命名】

[FW1-object-service-set-toserver]service 0  protocol icmp     //服務順序 0 協議爲 icmp

[FW1-object-service-set-toserver]service 1  protocol tcp destination-port  80   //服務順序1 協議爲 tcp 目標端口80

[FW1-object-service-set-toserver]service 2 protocol tcp destination-port  21  //服務順序1 協議爲 tcp 目標端口21


第二步:

開啓策略:

[FW1]policy interzone untrust dmz inbound                            //開啓untrust區到dmz區方向的流量,並進入該策略

[FW1-policy-interzone-dmz-untrust-inbound]policy 10         //創建策略10,並進入策略10

[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set  toserver 【標紅的爲上面服務集的名字】

                                                                                                     //應用上面創建的服務集策略

[FW1-policy-interzone-dmz-untrust-inbound-10]policy  destination  10.1.3.2 0.0.0.0   【0.0.0.0  代表精確匹配】

                                                                                                     策略目標地址10.1.3.2  

[FW1-policy-interzone-dmz-untrust-inbound-10]action  permit    // 允許以上策略集


現在,即可實現外網icmp www ftp到dmz,別的服務到不了dmz,但是驗證時你會發現icmp www沒問題,而ftp訪問不了;


因爲FTP是有一個雙通道的概念,而防火牆默認是不支持雙通道的;

image.png

現在外網纔可以訪問ftp服務:

而防火牆策略中的untrust到dmz依然是關閉的,說明只放行icmp www ftp服務

如下圖:

image.png


  • 配置NAT地址轉換,實現內網的安全:


    先清除之前R1配置的路由:

    [R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254

    當前內網是通不到外網的;

    配置trust區到untrust區的nat

    [FW1]nat address-group 1 202.1.1.2 202.1.1.2             //創建nat轉換地址池爲202.1.1.2


    [FW1]nat-policy interzone trust untrust outbound     //進入trust區到untrust區的nat策略配置


    [FW1-nat-policy-interzone-trust-untrust-outbound]policy 10


      [FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

                                                                                            //開啓源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24


                                                                                           //添加源地址範圍爲 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1

                                                                                          //調用剛纔創建的nat地址池 1


  • 配置trust區到untrust區的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,節省公網ip】



    [FW1]nat-policy interzone trust untrust outbound     //進入trust區到untrust區的nat策略配置


    [FW1-nat-policy-interzone-trust-untrust-outbound]policy 11


      [FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat

                                                                                            //開啓源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24


                                                                                           //添加源地址範圍爲 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3

                                                                                          //直接將內網的10.1.2.0網段轉換到g0/0/3接口上


以上兩種nat技術方法都可以實現內網ip地址轉換的公網地址,保證內網的安全,但是easy技術相對來說可以

節省ip ,不用再買另一個公網ip地址


  • dmz區web/ftp的發佈

    直接用靜態nat實現地址轉換


[FW1]nat server global 202.1.1.3 inside10.1.3.2   //將內部10.1.3.2 轉換到公網地址202.1.1.3上

 結合上面的配置,直接實現dmz區的web /ftp 區不能訪問到別的區域,但是trust和untrust都可以訪問,特別

是untrust只有,ping /http/ftp服務可以訪問內部的服務器,而別的服務無法訪問進到內網!


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章