9.4-3 防火墙配置示例3在线视频

9.4 防火墙配置示例3

3 USG 6000 NGFW防火墙一体化安全策略配置

华为USG6000 NGFW防火采用的是一体化安全策略，一体化安全策略除了基于传统的五元组信息之外，还可以基于应用、内容、时间、用户、威胁、位置等6个维度来识别实际的业务环境，实现访问控制和安全监测。一体化安全策略有条件、动作和配置文件组成。本示例要求采用一体化安全策略进行配置。

1） 拓扑图及配置要求

采用如图9-13所示网络拓扑图，内部网络通过防火墙（FW2）保护Trust区域网络安全。其中FW2防火墙为USG 6000 NGFW防火墙。假定拓扑图中各设备名称以及设备各接口的IP地址已经配置，设备名称和接口IP地址如图所示。

图9-13 USG 6000 NGFW防火墙功能配置示例

通过USG 6000 NGFW防火墙功能配置，达到以下安全目标。

（1）使PC7和PCt8能够访问DMZ区域服务器Server3中各类服务；

（2）PC7可以访问Untrust区域服务器WWW3的中各类服务，而PC8不能访问；

（3）外部用户可以访问DMZ区域Server3中的Web和ftp服务等。

2） 配置安全区域并将接口加入安全区域

USG6000 NGFW已经默认创建了lcoal、trust、dmz、untrust四个区域，他们的优先级分别是100、85、50、5。这里需要将接口加入相应区域。

[FW2] firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/0

[FW2] firewall zone trust

 set priority 85

 add interface GigabitEthernet1/0/1

[FW2] firewall zone dmz

 set priority 50

 add interface GigabitEthernet1/0/2

3） 配置安全策略

USG 6000默认开启防火墙功能，只需要配置安全策略即可，下面配置一体化安全策略，以满足配置要求。

[FW2] security-policy 

[FW2-policy-security] rule name policy1   ### 允许内部用户访问DMZ区域

[FW2-policy-security-rule-policy1] source-zone trust

[FW2-policy-security-rule-policy1] destination-zone dmz

[FW2-policy-security-rule-policy1] source-address 192.168.2.0 24

[FW2-policy-security-rule-policy1] destination-address 10.1.2.0 24

[FW2-policy-security-rule-policy1] action permit

[FW2-policy-security] rule name policy2   ### 不允许PC8访问外网

[FW2-policy-security-rule-policy2] source-zone trust

[FW2-policy-security-rule-policy2] destination-zone untrust

[FW-policy-security-rule-policy2] source-address 192.168.2.5 32

[FW2-policy-security-rule-policy2] destination-address 200.1.2.0 24

[FW2-policy-security-rule-policy2] action deny

[FW2-policy-security] rule name policy3    ###允许内部用户访问外网

[FW2-policy-security-rule-policy3] source-zone trust

[FW2-policy-security-rule-policy3] destination-zone untrust

[FW2-policy-security-rule-policy3] source-address any

[FW2-policy-security-rule-policy3] action permit

[FW2-policy-security] rule name policy4   ###允许外部用户访问DMZ区域

[FW2-policy-security-rule-policy3] source-zone untrust

[FW2-policy-security-rule-policy4] destination-zone dmz

[FW2-policy-security-rule-policy4] service http ftp   ###允许访问HTTP和ftp服务

[FW2-policy-security-rule-policy4] source-address any

[FW2-policy-security-rule-policy4] action permit

注意：将防火墙缺省安全规则先设置为permit，对业务进行调试，保证业务正常运行。使用dispplay firewall session table查看会话表。然后将安全策略设置为默认值deny，再次对业务进行调整，验证安全策略的正确性。

[FW2] security-policy 

[FW2-policy-security] default action permit    ###配置缺省安全策略为允许通过。

[FW2-policy-security] default action deny      ###配置缺省安全策略为禁止通过。

缺省安全策略的动作配置为permit后，防火墙允许所有报文通过，可能会带来安全风险，因此调测完毕后，务必将缺省安全策略动作恢复为deny。

4）开启应用层ASPF检测

本示例只开启对FTP服务的ASPF检测。配置如下。

[FW2]firewall detect ftp    ###Z在全局视图下，对FTP服务开启ASPF检测

5）防火墙功能配置验证

对于USG6000防火墙功能配置的验证，可以利用拓扑图中PC7机的HTTP客户端和FTP客户端进行验证。

下面说明在eNSP模拟环境下防火墙对HTTP和FTP访问的状态检测的验证。

（1）在服务器WWW3上开启HttpServer和FtpServer。

（2）在PC7中，选择HttpClient进行连接测试。在地址栏出入 http://200.1.2.10/。然后选择获取，测试结果如图所示。

图 防火墙HTTP访问检测

注意：http协议属于单通道应用层协议，AR路由器和防火墙只要配置允许Http协议通过，则防火墙功能通过状态检测，HTTP访问即可成功。

（3）在PC7中，选择FtpClient进行连接测试，在服务器地址栏输入200.1.2.10，然后选择登录，测试结果如图所示。

图 防火墙FTP检测示例

注意：FTP协议属于多通道应用层协议，AR路由器和防火墙如果仅配置允许FTP协议通过，但由于FTP协议会开启另外的数据通道，而简单状态检测，无法保证访问成功，需要开启ASPF检测功能对FTP进行应用层状态检测，才能确保FTP访问成功。