域內流量過濾:
要求:client1無法訪問 client2; 但是client2可以訪問client1
配置命令:
[FW1]policy zone trust //信任區策略配置
[FW1]policy source 10.1.1.1 0.0.0.0 //源地址策略精確匹配
[FW1]policy destination 10.1.2.1 0.0.0.0 //目標地址策略精確匹配
[FW1]action deny //調用策略動作爲禁用
[FW1]action permit //調用策略動作爲啓用
action ['ækʃ(ə)n] 行動 policy ['pɒləsɪ】 政策,策略
permit [pə'mɪt] 允許 deny [dɪ'naɪ] 否定,禁用
下載離線詞庫以備不時之需
區域間流量的放行:
配置命令:
配置防火牆的外網訪問dmz區策略
1.【FW1】firewall packet-filter default permit interzone untrust dmz direction inbound
// 防火牆放行untrust區到dmz區的訪問 方向爲入站
2.寫入外放到防火牆的路由:
R1:ip route- static 0.0.0.0 0.0.0.0 200.1.1.254
【FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
注:該配置在現實中是不可取的,
1.因爲intenet是不可能配置路由的,屬於非法操作----外網用BGP [可以用NAT或***技術解決】
2.防火牆上也不能有路由,不能允許untrust區到dmz區流量全部放行,不然所有的流量都是放行的【包含病毒】,
對內網安全構成威脅 ;所以只放行untrust到dmz中的icmp www ftp服務
放行untrust到dmz中的icmp www ftp服務
第一步:
創建服務集:
[FW1]ip service-set toserver type object //創建服務集 toserver 類型爲object 【toserver這個單詞不是命令,可以隨便命名】
[FW1-object-service-set-toserver]service 0 protocol icmp //服務順序 0 協議爲 icmp
[FW1-object-service-set-toserver]service 1 protocol tcp destination-port 80 //服務順序1 協議爲 tcp 目標端口80
[FW1-object-service-set-toserver]service 2 protocol tcp destination-port 21 //服務順序1 協議爲 tcp 目標端口21
第二步:
開啓策略:
[FW1]policy interzone untrust dmz inbound //開啓untrust區到dmz區方向的流量,並進入該策略
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //創建策略10,並進入策略10
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver 【標紅的爲上面服務集的名字】
//應用上面創建的服務集策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.2 0.0.0.0 【0.0.0.0 代表精確匹配】
策略目標地址10.1.3.2
[FW1-policy-interzone-dmz-untrust-inbound-10]action permit // 允許以上策略集
nat地址轉換,實現內外網的隔離;達到內網web/ft服務器的安全發佈:
配置NAT地址轉換,實現內網的安全:
先清除之前R1配置的路由:
[R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254
當前內網是通不到外網的;
配置trust區到untrust區的nat
[FW1]nat address-group 1 202.1.1.2 202.1.1.2 //創建nat轉換地址池爲202.1.1.2
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10
[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1
//調用剛纔創建的nat地址池 1
配置trust區到untrust區的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,節省公網ip】
[FW1]nat-policy interzone trust untrust outbound //進入trust區到untrust區的nat策略配置
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 11
[FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat
//開啓源nat
[FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24
//添加源地址範圍爲 10.1.1.0 24
[FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3
//直接將內網的10.1.2.0網段轉換到g0/0/3接口上
以上兩種nat技術方法都可以實現內網ip地址轉換的公網地址,保證內網的安全,但是easy技術相對來說可以
節省ip ,不用再買另一個公網ip地址
dmz區web/ftp的發佈
直接用靜態nat實現地址轉換
[FW1]nat server global 202.1.1.3 inside10.1.3.2 //將內部10.1.3.2 轉換到公網地址202.1.1.3上
結合上面的配置,直接實現dmz區的web /ftp 區不能訪問到別的區域,但是trust和untrust都可以訪問,特別
是untrust只有,ping /http/ftp服務可以訪問內部的服務器,而別的服務無法訪問進到內網!