当前课程知识点:计算机网络工程实践 > 9 防火墙技术 > 9.4 防火墙配置示例 > 9.4-1 防火墙配置实践1
9.4 防火墙配置实践1
华为AR系列路由器的防火墙功能支持基于ACL包过滤,而USG2000/5000系列防火墙支持融合UTM的安全策略,USG6000系列支持一体化安全策略。下面首先介绍AR路由器基于ACL包过滤的防火墙功能配置方法,然后在介绍USG5000系列支持的UTM安全策略防火墙功能配置方法。
1、AR路由器防火墙功能配置
AR路由器防火墙功能配置包括防火墙基本功能配置和包过滤配置。根据需要还可以配置黑名单、白名单、攻击防范等。
1) 拓扑图及配置要求
采用如图所示网络拓扑图,其中路由器开启防火墙功能,保护Trust区域网络安全。假定拓扑图中各设备名称以及设备各接口的IP地址已经配置。
AR路由器防火墙功能配置示例
通过FW(AR)防火墙功能配置,达到以下安全目标。
(1)使PC1和PC2能够访问DMZ区域服务器Server1中各类服务;
(2)PC1可以访问Untrust区域服务器WWW1的中各类服务,而PC2不能访问;
(3)外部用户可以访问DMZ区域Server1中的Web和FTP等服务。
2) 基本功能配置
(1)配置防火墙安全区域
华为AR路由器的防火墙安全区域优先级取值范围与实际防火墙不同,为0-15。其中local区域优先级默认为15,这里配置trust、DMZ、untrust区域优先级分别为13、8和2。
[FW]firewall zone trust
priority 13
[FW]firewall zone untrust
priority 2
[FW]firewall zone dmz
priority 8
[FW]firewall zone Local
priority 15
(2)将接口添加到安全区域
[FW]interface GigabitEthernet0/0/0
zone untrust
[FW]interface GigabitEthernet0/0/1
zone trust
[FW]interface GigabitEthernet0/0/2
Zone dmz
(3)创建安全域间并使能防火墙功能
[FW] firewall interzone trust untrust
firewall enable
[FW] firewall interzone trust dmz
firewall enable
[FW] firewall interzone dmz untrust
firewall enable
3) 包过滤配置
(1)访问控制列表配置
[FW]acl number 3000 ###允许访问DMZ区域服务器
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 10 deny ip
[FW]acl number 3010 ###PC1允许访问Untrust,但PC2不允许
rule 5 deny ip source 192.168.2.5 0 destination 200.1.2.0 0.0.0.255
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 200.1.2.0 0.0.0.255
rule 15 deny ip
[FW]acl number 3020 ###外部用户可以访问DMZ区域服务器
rule 5 permit ip source 200.1.2.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 10 deny ip
(2)开启包过滤以及应用层ASPF状态检测
[FW] firewall interzone trust untrust
firewall enable
packet-filter 3010 outbound
detect aspf all
[FW] firewall interzone trust dmz
firewall enable
packet-filter 3000 outbound
detect aspf all
[FW] firewall interzone dmz untrust
firewall enable
packet-filter 3020 inbound
detect aspf ftp
4)防火墙功能配置验证
对于AR路由器防火墙功能配置验证,可以利用拓扑图中PC1机的HTTP客户端和FTP客户端进行验证。
(1)在服务器WWW上开启HttpServer和FtpServer。
(2)在PC1中,选择HttpClient进行连接测试。在地址栏出入 http://200.1.2.10/。然后选择获取,测试结果如图所示。
注意:http协议属于单通道应用层协议,AR路由器和防火墙只要配置允许Http协议通过,则防火墙功能通过状态检测,HTTP访问即可成功。
(3)在PC1中,选择FtpClient进行连接测试,在服务器地址栏输入200.1.2.10,然后选择登录,测试结果如图所示。
注意:FTP协议属于多通道应用层协议,AR路由器和防火墙如果仅配置允许FTP协议通过,但由于FTP协议会开启另外的数据通道,而简单状态检测,无法保证访问成功,需要开启ASPF检测功能对FTP进行应用层状态检测,才能确保FTP访问成功。
-1.1 计算机网络基础
-1.3 网络路由技术
-1.4 局域网技术
-1.5 ACL技术
-1.6 NAT技术
-第1章作业:计算机网络互联基础
-2.1 高级VLAN技术
-第2章作业:局域网高级技术
-(3.4-3.8) 各类网络互联实践-拓扑图及初始配置
--(3.4-3.8)-1 各类网络互联配置实践-拓扑图构建
--(3.4-3.8)-2 各类网络互联配置实践--初始配置
-3.4 X.25 网络
-3.6 FR网络
-3.7 ATM网络
-3.8 SDH网络
-第3章作业:城域网和广域网技术
-4.4 OSPF 路由协议
-4.5 ISIS路由协议
-第4章作业:内部路由技术
-5.4 BGP路由配置实践
-第5章作业:外部路由协议
-6.6 路由控制实践
-第6章作业:路由控制技术
-7.3 出口选路控制实践
-第7章作业:出口选路控制
-8.3 VRRP技术及其实践
-第8章作业:网络可靠性技术
-9.4 防火墙配置示例
-第9章作业:防火墙技术
-期末考试题01