華爲防火牆學習筆記 四

image.png

 域內流量過濾:

要求:client1無法訪問 client2; 但是client2可以訪問client1

配置命令:

 [FW1]policy zone trust                                //信任區策略配置

 [FW1]policy source 10.1.1.1  0.0.0.0        //源地址策略精確匹配

 [FW1]policy destination 10.1.2.1 0.0.0.0 //目標地址策略精確匹配

 [FW1]action deny                                      //調用策略動作爲禁用

 [FW1]action permit                                  //調用策略動作爲啓用


action ['ækʃ(ə)n]  行動        policy  ['pɒləsɪ】    政策,策略


permit   [pə'mɪt]   允許         deny   [dɪ'naɪ]  否定,禁用


下載離線詞庫以備不時之需 

區域間流量的放行:

image.png

配置命令:

配置防火牆的外網訪問dmz區策略

1.【FW1】firewall packet-filter  default permit interzone untrust dmz      direction  inbound 

// 防火牆放行untrust區到dmz區的訪問                   方向爲入站

   2.寫入外放到防火牆的路由:

R1:ip route- static  0.0.0.0 0.0.0.0 200.1.1.254

【FW1]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1

 

注:該配置在現實中是不可取的,

1.因爲intenet是不可能配置路由的,屬於非法操作----外網用BGP [可以用NAT或***技術解決】

2.防火牆上也不能有路由,不能允許untrust區到dmz區流量全部放行,不然所有的流量都是放行的【包含病毒】,

對內網安全構成威脅  ;所以只放行untrust到dmz中的icmp www ftp服務



放行untrust到dmz中的icmp www ftp服務

第一步:

 創建服務集:

[FW1]ip service-set toserver type object                                    //創建服務集 toserver 類型爲object 【toserver這個單詞不是命令,可以隨便命名】

[FW1-object-service-set-toserver]service 0  protocol icmp     //服務順序 0 協議爲 icmp

[FW1-object-service-set-toserver]service 1  protocol tcp destination-port  80   //服務順序1 協議爲 tcp 目標端口80

[FW1-object-service-set-toserver]service 2 protocol tcp destination-port  21  //服務順序1 協議爲 tcp 目標端口21

第二步:

開啓策略:

[FW1]policy interzone untrust dmz inbound                            //開啓untrust區到dmz區方向的流量,並進入該策略

[FW1-policy-interzone-dmz-untrust-inbound]policy 10         //創建策略10,並進入策略10

[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set  toserver 【標紅的爲上面服務集的名字】

                                                                                                     //應用上面創建的服務集策略

[FW1-policy-interzone-dmz-untrust-inbound-10]policy  destination  10.1.3.2 0.0.0.0   【0.0.0.0  代表精確匹配】

                                                                                                     策略目標地址10.1.3.2  

[FW1-policy-interzone-dmz-untrust-inbound-10]action  permit    // 允許以上策略集

image.png

nat地址轉換,實現內外網的隔離;達到內網web/ft服務器的安全發佈:

  • 配置NAT地址轉換,實現內網的安全:


    先清除之前R1配置的路由:

    [R1]undo ip route-static 10.1.3.0 255.255.255.0 202.1.1.254

    當前內網是通不到外網的;

    配置trust區到untrust區的nat

    [FW1]nat address-group 1 202.1.1.2 202.1.1.2             //創建nat轉換地址池爲202.1.1.2


    [FW1]nat-policy interzone trust untrust outbound     //進入trust區到untrust區的nat策略配置


    [FW1-nat-policy-interzone-trust-untrust-outbound]policy 10


      [FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

                                                                                            //開啓源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.1.0 mask 24


                                                                                           //添加源地址範圍爲 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1

                                                                                          //調用剛纔創建的nat地址池 1


  • 配置trust區到untrust區的nat【也可以用easy-ip 配置,直接nat到接口g0/0/3,節省公網ip】



    [FW1]nat-policy interzone trust untrust outbound     //進入trust區到untrust區的nat策略配置


    [FW1-nat-policy-interzone-trust-untrust-outbound]policy 11


      [FW1-nat-policy-interzone-trust-untrust-outbound-11]action source-nat

                                                                                            //開啓源nat

      

      [FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 10.1.2.0 mask 24


                                                                                           //添加源地址範圍爲 10.1.1.0 24

     

     [FW1-nat-policy-interzone-trust-untrust-outbound-10]easy-ip interface g0/0/3

                                                                                          //直接將內網的10.1.2.0網段轉換到g0/0/3接口上


以上兩種nat技術方法都可以實現內網ip地址轉換的公網地址,保證內網的安全,但是easy技術相對來說可以

節省ip ,不用再買另一個公網ip地址


  • dmz區web/ftp的發佈

    直接用靜態nat實現地址轉換


[FW1]nat server global 202.1.1.3 inside10.1.3.2   //將內部10.1.3.2 轉換到公網地址202.1.1.3上

 結合上面的配置,直接實現dmz區的web /ftp 區不能訪問到別的區域,但是trust和untrust都可以訪問,特別

是untrust只有,ping /http/ftp服務可以訪問內部的服務器,而別的服務無法訪問進到內網!


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章