1.概念
防火牆是一種網路安全裝置,用於隔離不同安全級別的網路,控制網路之間的通訊。總的來說,防火牆的作用是允許流量透過,外網使用者的訪問需經過安全策略過濾,其中非法流量無法透過防火牆被隔斷,內網使用者可以直接透過防火牆對外網進行訪問。
2.區域
防火牆區域劃分可為內網、外網和DMZ三個區域,按照網路安全級別來說,三個區域的級別由高到低為:內網>DMZ>外網。
以華為裝置為例,系統預設已經有四個安全區域
- 受信區域(Trust)
- 非受信區域(Untrust)
- 非軍事化區域(DMZ)
- 本地區域(Local)
另外,網路管理員也可以自定義安全區域,從而實現更加細密的管理控制,自定義的區域安全級別是可以調節的。
3.工作模式
對於一個防火牆裝置而言,若裝置的每個介面都配有獨立的IP地址,則防火牆工作在路由模式;若介面沒有配置IP地址,則工作在透明模式;若部分介面有,部分介面沒有,則工作在混合模式。
4.配置命令
[Huawei]firewall name zone-name \\firewall name命令後跟zone-name安全區域名稱,建立安全區域,並進入安全區域檢視
[Huawei]set priority security-priority \\set priority命令後跟security-priority安全級別,為新建立的安全區域配置安全級別,安全級別一旦設定不可更改
[Huawei]add interface interface-type interface-number \\add interface命令後跟interface-type interface-numberj介面名稱,將相關的介面加入安全區域
劃分內、外網、DMZ區域,並將介面加入其中
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]quit
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 200.10.10.1 30
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]quit
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.200.1 24
[FW1-GigabitEthernet1/0/3]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-zone-dmz]quit
設定安全放行策略
預設情況下,local區域到其他安全區域的包過濾是開放的,域間安全策略指不同區域之間的安全策略。
1、配置Trust區域和Untrust區域的防火牆安全放行策略(內網可訪問外網,外面不能訪問內網)。
[FW1]security-policy
[FW1-policy-security]rule name trust-untrust
[FW1-policy-security-rule-trust-untrust]source-zone trust
[FW1-policy-security-rule-trust-untrust]destination-zone untrust
[FW1-policy-security-rule-trust-untrust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-untrust]action permit
[FW1-policy-security-rule-trust-untrust]quit
[FW1-policy-security]quit
2、配置trust區域到DMZ區域的防火牆安全放行策略(內網可訪問DMZ區域)。
[FW1]security-policy
[FW1-policy-security]rule name trust-dmz
[FW1-policy-security-rule-trust-dmz]source-zone trust
[FW1-policy-security-rule-trust-dmz]destination-zone dmz
[FW1-policy-security-rule-trust-dmz]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-dmz]action permit
[FW1-policy-security-rule-trust-dmz]quit
[FW1-policy-security]quit
3、配置DMZ區域到trust區域的防火牆安全放行策略(DMZ區域可訪問內網)。
```java
[FW1]security-policy
[FW1-policy-security]rule name dmz-to-trust
[FW1-policy-security-rule-dmz-to-trust]source-zone dmz
[FW1-policy-security-rule-dmz-to-trust]destination-zone trust
[FW1-policy-security-rule-dmz-to-trust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-dmz-to-trust]action permit
[FW1-policy-security-rule-dmz-to-trust]quit
[FW1-policy-security]quit
4、配置DMZ區域到local區域的防火牆安全放行策略(DMZ區域可訪問lcoal)。
[FW1-policy-security]rule name dmz-to-local
[FW1-policy-security-rule-dmz-to-local]source-zone dmz
[FW1-policy-security-rule-dmz-to-local]source-zone local
[FW1-policy-security-rule-dmz-to-local]destination-zone dmz
[FW1-policy-security-rule-dmz-to-local]destination-zone local
[FW1-policy-security-rule-dmz-to-local]action permit
[FW1-policy-security-rule-dmz-to-local]quit
[FW1-policy-security]quit
5、進入防火牆的相關介面,透過service-manage all permit命令允許所有的協議透過(例如以上是四個介面分別是g1/0/0、g1/0/1、g1/0/2、g1/0/3)
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]service-manage all permit
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]service-manage all permit
[FW1-GigabitEthernet1/0/2]int g1/0/3
[FW1-GigabitEthernet1/0/3]service-manage all permit
[FW1-GigabitEthernet1/0/3]quit