9.4-1 防火墙配置实践1慕课视频播放-计算机网络工程实践-MOOC慕课视频教程-柠檬大学

9.4 防火墙配置实践1

华为AR系列路由器的防火墙功能支持基于ACL包过滤，而USG2000/5000系列防火墙支持融合UTM的安全策略，USG6000系列支持一体化安全策略。下面首先介绍AR路由器基于ACL包过滤的防火墙功能配置方法，然后在介绍USG5000系列支持的UTM安全策略防火墙功能配置方法。

1、AR路由器防火墙功能配置

AR路由器防火墙功能配置包括防火墙基本功能配置和包过滤配置。根据需要还可以配置黑名单、白名单、攻击防范等。

1） 拓扑图及配置要求

采用如图所示网络拓扑图，其中路由器开启防火墙功能，保护Trust区域网络安全。假定拓扑图中各设备名称以及设备各接口的IP地址已经配置。

图片.png

AR路由器防火墙功能配置示例

通过FW（AR）防火墙功能配置，达到以下安全目标。

（1）使PC1和PC2能够访问DMZ区域服务器Server1中各类服务；

（2）PC1可以访问Untrust区域服务器WWW1的中各类服务，而PC2不能访问；

（3）外部用户可以访问DMZ区域Server1中的Web和FTP等服务。

2） 基本功能配置

（1）配置防火墙安全区域

华为AR路由器的防火墙安全区域优先级取值范围与实际防火墙不同，为0-15。其中local区域优先级默认为15，这里配置trust、DMZ、untrust区域优先级分别为13、8和2。

[FW]firewall zone trust

priority 13

[FW]firewall zone untrust

priority 2

[FW]firewall zone dmz

priority 8

[FW]firewall zone Local

priority 15

（2）将接口添加到安全区域

[FW]interface GigabitEthernet0/0/0

zone untrust

[FW]interface GigabitEthernet0/0/1

zone trust

[FW]interface GigabitEthernet0/0/2

Zone dmz

（3）创建安全域间并使能防火墙功能

[FW] firewall interzone trust untrust

firewall enable

[FW] firewall interzone trust dmz

firewall enable

[FW] firewall interzone dmz untrust

firewall enable

3） 包过滤配置

（1）访问控制列表配置

[FW]acl number 3000 ###允许访问DMZ区域服务器

rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

rule 10 deny ip

[FW]acl number 3010 ###PC1允许访问Untrust，但PC2不允许

rule 5 deny ip source 192.168.2.5 0 destination 200.1.2.0 0.0.0.255

rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 200.1.2.0 0.0.0.255

rule 15 deny ip

[FW]acl number 3020 ###外部用户可以访问DMZ区域服务器

rule 5 permit ip source 200.1.2.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

rule 10 deny ip

（2）开启包过滤以及应用层ASPF状态检测

[FW] firewall interzone trust untrust

firewall enable

packet-filter 3010 outbound

detect aspf all

[FW] firewall interzone trust dmz

firewall enable

packet-filter 3000 outbound

detect aspf all

[FW] firewall interzone dmz untrust

firewall enable

packet-filter 3020 inbound

detect aspf ftp

4）防火墙功能配置验证

对于AR路由器防火墙功能配置验证，可以利用拓扑图中PC1机的HTTP客户端和FTP客户端进行验证。

（1）在服务器WWW上开启HttpServer和FtpServer。

（2）在PC1中，选择HttpClient进行连接测试。在地址栏出入 http://200.1.2.10/。然后选择获取，测试结果如图所示。

图片.png

注意：http协议属于单通道应用层协议，AR路由器和防火墙只要配置允许Http协议通过，则防火墙功能通过状态检测，HTTP访问即可成功。

（3）在PC1中，选择FtpClient进行连接测试，在服务器地址栏输入200.1.2.10，然后选择登录，测试结果如图所示。

图片.png

注意：FTP协议属于多通道应用层协议，AR路由器和防火墙如果仅配置允许FTP协议通过，但由于FTP协议会开启另外的数据通道，而简单状态检测，无法保证访问成功，需要开启ASPF检测功能对FTP进行应用层状态检测，才能确保FTP访问成功。

计算机网络工程实践课程列表：

1 计算机网络互联基础

-1.1 计算机网络基础

-1.3 网络路由技术

-1.4 局域网技术

--1.4-3 VLAN及VLAN间通讯实践

-1.5 ACL技术

-1.6 NAT技术

-第1章作业：计算机网络互联基础

2 局域网高级技术

-2.1 高级VLAN技术

--2.1-1 Vlan-Aggregate技术及实践

--2.1-2 MUX-VLAN技术及实践

--2.1-3 QINQ技术及实践

--2.1-4 高级VLAN技术综合实践

-（2.2-2.4) 局域网高级技术实践初始配置

-第2章作业：局域网高级技术

3 城域网与广域网技术

-3.1 城域网技术

-3.2 接入网技术

-3.3 广域网技术

-(3.4-3.8) 各类网络互联实践-拓扑图及初始配置

--(3.4-3.8)-1 各类网络互联配置实践-拓扑图构建

--(3.4-3.8)-2 各类网络互联配置实践--初始配置

-3.4 X.25 网络

--3.4-1 X.25网络技术

--3.4-2 串口互联X.25配置

-3.5 DDN网络

-3.6 FR网络

--3.6-1 FRAME-RELAY网络

--3.6-2 串口互联FR配置

-3.7 ATM网络

--3.7-1 ATM网络

--3.7-2 G.SHDSL接口ATM配置

-3.8 SDH网络

--3.8-1 SDH网络

--3.8-2 POS接口PPP配置实践

-(3.4-3.8) 各类网络护理配置测试及配置保存

-3.9 常用网络互联接口

-3.10 各类网络在TCPIP协议体系中对应关系

-3.11 各类网络互联配置

-讨论：各类网络互联配置同步实现

-第3章作业：城域网和广域网技术

4 内部路由技术

-4.4 OSPF 路由协议

-4.5 ISIS路由协议

-第4章作业：内部路由技术

5 外部路由技术

-5.1 BGP协议基础

-5.2 BGP工作原理

-5.3 BGP反射器与联盟

-5.4 BGP路由配置实践

--5.4-1 路由器ID配置及对等体配置

--5.4-2 BGP联盟配置及路由反射器配置

--5.4-3 BGP路由引入与BGP路由问题分析

--5.4-4 BGP中Next_Hop属性配置及网络测试

--5.4-5 BGP路由配置实践完整视频

-讨论：BGP路由配置实践同步实现

-第5章作业：外部路由协议

6 路由控制技术

-6.6 路由控制实践

-第6章作业：路由控制技术

7 出口选路技术

-7.3 出口选路控制实践

-第7章作业：出口选路控制

8 网络可靠性技术

-8.3 VRRP技术及其实践

-第8章作业：网络可靠性技术

9 防火墙技术

-9.4 防火墙配置示例

-第9章作业：防火墙技术

10 期末考试

-期末考试题01

9.4-1 防火墙配置实践1在线视频