防火牆

带我去看海棠花發表於2024-11-01

1.概念

防火牆是一種網路安全裝置,用於隔離不同安全級別的網路,控制網路之間的通訊。總的來說,防火牆的作用是允許流量透過,外網使用者的訪問需經過安全策略過濾,其中非法流量無法透過防火牆被隔斷,內網使用者可以直接透過防火牆對外網進行訪問。

2.區域

防火牆區域劃分可為內網、外網和DMZ三個區域,按照網路安全級別來說,三個區域的級別由高到低為:內網>DMZ>外網。
以華為裝置為例,系統預設已經有四個安全區域

  • 受信區域(Trust)
  • 非受信區域(Untrust)
  • 非軍事化區域(DMZ)
  • 本地區域(Local)
    另外,網路管理員也可以自定義安全區域,從而實現更加細密的管理控制,自定義的區域安全級別是可以調節的。

3.工作模式

對於一個防火牆裝置而言,若裝置的每個介面都配有獨立的IP地址,則防火牆工作在路由模式;若介面沒有配置IP地址,則工作在透明模式;若部分介面有,部分介面沒有,則工作在混合模式。

4.配置命令

[Huawei]firewall name zone-name \\firewall name命令後跟zone-name安全區域名稱,建立安全區域,並進入安全區域檢視
[Huawei]set priority security-priority \\set priority命令後跟security-priority安全級別,為新建立的安全區域配置安全級別,安全級別一旦設定不可更改
[Huawei]add interface interface-type interface-number \\add interface命令後跟interface-type interface-numberj介面名稱,將相關的介面加入安全區域

劃分內、外網、DMZ區域,並將介面加入其中

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]quit
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 200.10.10.1 30
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]quit
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.200.1 24
[FW1-GigabitEthernet1/0/3]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-zone-dmz]quit

設定安全放行策略
預設情況下,local區域到其他安全區域的包過濾是開放的,域間安全策略指不同區域之間的安全策略。
1、配置Trust區域和Untrust區域的防火牆安全放行策略(內網可訪問外網,外面不能訪問內網)。

[FW1]security-policy
[FW1-policy-security]rule name trust-untrust
[FW1-policy-security-rule-trust-untrust]source-zone trust 
[FW1-policy-security-rule-trust-untrust]destination-zone untrust 
[FW1-policy-security-rule-trust-untrust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-untrust]action permit 
[FW1-policy-security-rule-trust-untrust]quit
[FW1-policy-security]quit

2、配置trust區域到DMZ區域的防火牆安全放行策略(內網可訪問DMZ區域)。

[FW1]security-policy
[FW1-policy-security]rule name trust-dmz
[FW1-policy-security-rule-trust-dmz]source-zone trust 
[FW1-policy-security-rule-trust-dmz]destination-zone dmz
[FW1-policy-security-rule-trust-dmz]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-dmz]action permit
[FW1-policy-security-rule-trust-dmz]quit
[FW1-policy-security]quit
3、配置DMZ區域到trust區域的防火牆安全放行策略(DMZ區域可訪問內網)。
```java
[FW1]security-policy
[FW1-policy-security]rule name dmz-to-trust
[FW1-policy-security-rule-dmz-to-trust]source-zone dmz
[FW1-policy-security-rule-dmz-to-trust]destination-zone trust 
[FW1-policy-security-rule-dmz-to-trust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-dmz-to-trust]action permit 
[FW1-policy-security-rule-dmz-to-trust]quit	
[FW1-policy-security]quit

4、配置DMZ區域到local區域的防火牆安全放行策略(DMZ區域可訪問lcoal)。

[FW1-policy-security]rule name dmz-to-local
[FW1-policy-security-rule-dmz-to-local]source-zone dmz
[FW1-policy-security-rule-dmz-to-local]source-zone local
[FW1-policy-security-rule-dmz-to-local]destination-zone dmz
[FW1-policy-security-rule-dmz-to-local]destination-zone local
[FW1-policy-security-rule-dmz-to-local]action permit 
[FW1-policy-security-rule-dmz-to-local]quit
[FW1-policy-security]quit

5、進入防火牆的相關介面,透過service-manage all permit命令允許所有的協議透過(例如以上是四個介面分別是g1/0/0、g1/0/1、g1/0/2、g1/0/3)

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage all permit 
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]service-manage all permit 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]service-manage all permit 
[FW1-GigabitEthernet1/0/2]int g1/0/3
[FW1-GigabitEthernet1/0/3]service-manage all permit 
[FW1-GigabitEthernet1/0/3]quit

相關文章