某公司防火墙配置
实验拓扑为:
首先我们把整个西安总部的×××区域划分为trust区,即信任区。然后把红色区域(公司服务器区域)划分为DMZ区域。把蓝色区域(外网区域)划分为untrust区域,即不信任区域。
我们在这里简单的介绍一下防火墙:
华为防火墙的工作模式:
1、路由模式:所有的接口均有IP
2、透明模式:所有的接口均无IP
3、混合模式:部分接口有IP地址,部分接口没有
防火墙的局限性:
1、防外不防内
2、不能防御全部的安全威胁,特别是新产生的危险
3、在提供深度检测功能和处理转发功能,需要做平衡
4、当使用端到端的加密时,防火墙不能对加密的隧道进行处理
5、防火墙本身会存在一些瓶颈,如抗***能力,会话限制等
防火墙的区域:
1、local区域,优先级100 —–在防火墙上的所有接口都属于local区域
2、trust区域,优先级85
3、DMZ区域,优先级50
4、untrust区域,优先级5
这些是防火墙内设的区域优先级和名字都是无法改变的,优先级低的区域不能访问优先级高的区域(思科)。
华为设备还要看对应策略的配置。
我们这次试验的目地为:
1、财务部可以访问技术部,但是技术部不能访问财务部。
2、trust区域可以访问DMZ区域,但是DMZ区域不能访问trust区域。
3、配置防火墙的telnet可以远程配置防火墙
4、安全的发布公司的服务器,使外网可以访问到公司服务器。
防火墙上配置如下:
1.配置防火墙上的各个端口的IP地址并且**端口:
[SRG]interface g0/0/0
[SRG-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[SRG-GigabitEthernet0/0/0]undo shutdown
[SRG]interface g0/0/1
[SRG-GigabitEthernet0/0/1]ip address 10.1.2.254 24
[SRG-GigabitEthernet0/0/1]undo shutdown
[SRG-GigabitEthernet0/0/1]q
[SRG]interface g0/0/2
[SRG-GigabitEthernet0/0/2]ip address 10.1.3.254 24
[SRG-GigabitEthernet0/0/2]undo shutdown
[SRG-GigabitEthernet0/0/2]q
[SRG]interface g0/0/3
[SRG-GigabitEthernet0/0/3]ip address 202.1.1.254 24
[SRG-GigabitEthernet0/0/3]undo shutdown
接着我们建立trust区域、DMZ区域、untrust区域,
分别把g0/0/0、g0/0/1加入trust区域,把g0/0/2加入dmz区域,把g0/0/3加入untrust区域:
[SRG]firewall zone trust
[SRG-zone-trust]add interface g0/0/0
[SRG-zone-trust]add interface g0/0/1
[SRG-zone-trust]q
[SRG]firewall zone dmz
[SRG-zone-dmz]add interface g0/0/2
[SRG-zone-dmz]q
[SRG]firewall zone untrust
[SRG-zone-untrust]add interface g0/0/3
[SRG-zone-untrust]q
现在配置完成后技术部和财务部是可以互相访问的如下:
但是由于财务部是我们每个公司的秘密所在,
现在要实现技术部不能访问财务部也就是PC1不能访问PC2但是财务部可以访问技术部即PC2可以访问PC1
就要用防火墙做一个单方向的隔离操作如下:
<SRG>sys
[SRG]policy zone trust
[SRG-policy-zone-trust]policy 1
[SRG-policy-zone-trust-1]policy source 10.1.1.1 0.0.0.0
[SRG-policy-zone-trust-1]policy destination 10.1.2.1 0.0.0.0
[SRG-policy-zone-trust-1]action deny
[SRG-policy-zone-trust-1]q
[SRG-policy-zone-trust]q
[SRG]
我们用技术部电脑访问财务部的电脑发现果然不通了:
我们用财务部电脑访问技术部电脑发现仍然可以访问:
接着我们来配置路由器的IP和路由:
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 202.1.1.1 24
[Huawei-GigabitEthernet0/0/0]undo shutdown
[Huawei-GigabitEthernet0/0/0]q
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 202.1.2.254 24
[Huawei-GigabitEthernet0/0/1]undo shutdown
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 202.1.1.254
然后再防火墙上也配置一条路由:
[SRG]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1
在有防火墙的网络中:
而且防火墙中不存在两个安全级别相同的区域的,并且防火墙上的同一个接口不能同时属于两个不同的区域!!!
路由器、交换机支持的功能,防火墙都支持!!
衡量防火墙质量好坏的指标为:
1、吞吐量:防火墙能同时处理的最大数据量
有效吞吐量:除掉因TCP的丢包和超市重发的数据,实际每秒传输的有效速率
2、延时:数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔
用于测量防火墙处理数据的速度的理想指标
3、每秒新建连接数:指的是每秒钟可以通过防火墙建立起来的完整的TCP连接数
4、并发连接数:指防火墙可以同时容纳的最大连接数目,一个连接就是一个TCP/UDP的访问
区域间的规则:display firewall packet-filter default all 查看如下:
所以拥有防火墙的网络中,能否ping通,关键点就是这个表
在表中我们可以看到trust和dmz之间的策略都是deny:
所以这两个区域之间是不能访问的如图:
优先级高的访问优先级低的称之为:outbound
优先级低的访问优先级低的称之为:inbound
想要实现trust区域可以访问dmz区域,而dmz区域不能访问trust区域
属于高优先级访问低优先级所以方向定义为:outbound
所以就需要下面的命令:
[SRG]firewall packet-filter default permit interzone dmz trust direction outbound
之后我们验证一下:
策略放开后trust区域可以访问dmz区域但是inbound的策略没有放开所以不能从dmz区域访问trust区域。
有的人就会问ping包不是来回双向的么?怎么能实现单向通呢?
是因为在trust区域访问dmz区域的时候在防火墙上产生了一个临时会话表,这个会话表的生存周期很短大概是5秒,
有了这个表数据就可以从dmz区回到trust区中:
接着我们来配置远程管理防火墙:
由于华为模拟器中PC机不支持telnet功能,所以接下来我们会在路由器上进行测试。
如果要让internet路由器telnet到我们的防火墙首先是要让internet是可以ping通防火墙的,
所以我们就要放开untrust区域到local区域策略:
[SRG]firewall packet-filter default permit interzone untrust local direction inbound
然后我们查看一下:
[SRG]display firewall packet-filter default all
ping验证:
网络搞通了接着我们来配置防火墙上远程管理,这里我们用高端的aaa认证模式,在aaa模式中,系统会有一个
默认的用户名:admin 密码[email protected],但是我们一般不会把这个 超级用户名和密码告诉别人,
所以我们创建一个用户名:Dawei 密码为:123456
[SRG]user-interface vty 0 4
[SRG-ui-vty0-4]authentication-mode aaa
[SRG-ui-vty0-4]q
[SRG]aaa
[SRG-aaa]local-user Dawei password cipher 123456
我们来远程登录验证一下:
登录成功,但是我们又发现了个问题我们无法进入系统视图:
拥有的权限很少,是因为我们创建的用户级别为0而级别范围为:0-15
0:参观级别 1:监控级别 2:配置级别:3-15:管理级别。
这里我们还需要提升权限才能进行管理:
<SRG>sys
[SRG]aaa
[SRG-aaa]local-user Dawei level 3
如图:
最后我们来让internet上的用户来访问我们的服务器:
由于在现实中,为了防止病毒***,我们不能放行outside区域到dmz区域的流量,
而且我们也不能再internet路由器上进行人为的配置路由(GBP)所以我们就要用到NAT或者×××技术了。
我们会在后续的博客中介绍NAT和×××技术,敬请关注。
转载于:https://blog.51cto.com/13568842/2069094