防火墙
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
安全区域
防火墙基础配置案例
实验拓扑:
1. 实验要求:
1.将防火墙的密码修改为Huawei@123 2.按照题目要求配置ip,并且将防火墙接口的ping功能打开再R1上ping 10.1.14.4 验证能否ping通 3.按照题目要求设备安全区域,其中ZHYx为自定义区域,优先级为30,并将相应的防火墙接口划分进对应区域 4.全网运行ospf,确保Pc可以ping通对应区域的防火墙接口,如Pc3需要ping通防火墙的G1/日/1接口,PC2需要ping防火墙的 G1/0/0接口 5、部署安全策略,要求实现PC2可以ping通PC3、PC2可以ping通Pc4(默认可通)、PC4可以ping通Pc1,其他均不可通
(1)先进行基础配置,按照题目的要求配置接口的IP地址,开启防火墙的ping服务(默认是关闭的)。
配置案例: [FW4] # interface GigabitEthernet1/0/2 undo shutdown ip address 10.1.14.4 255.255.255.0 service-manage ping permit #开启开启防火墙接口的ping服务(默认是关闭的) # return interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.34.4 255.255.255.0 service-manage ping permit # return 实验现象:实现PC2 ping 通FW4 PC>ping 10.1.24.4 Ping 10.1.24.4: 32 data bytes, Press Ctrl_C to break From 10.1.24.4: bytes=32 seq=1 ttl=254 time=16 ms From 10.1.24.4: bytes=32 seq=2 ttl=254 time<1 ms From 10.1.24.4: bytes=32 seq=3 ttl=254 time=15 ms From 10.1.24.4: bytes=32 seq=4 ttl=254 time<1 ms From 10.1.24.4: bytes=32 seq=5 ttl=254 time=16 ms --- 10.1.24.4 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 0/9/16 ms (2)将端口划分到对应的安全区域,以及另外创建自定义区域。
1,将接口划分带到对应的安全区域 [FW4] # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet1/0/0 # return firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # return 2,创建自定义区域,并将对应区域的端口划分到该接口中。 [FW4]firewall zone name ZGYD firewall zone name ZGYD id 4 set priority 30 add interface GigabitEthernet1/0/2 (3)创建NAT策略实现内外网互通
原理:需要将发往外网的数据包在园区网出口处将私网地址转换成公网地址,同时解决公网设备回包问题
注意:防火墙配置安全策略时,无需考虑回包的问题;
原因:防火墙在发送数据时会自动生成一个会话表,用来记录发送流量的sip(源ip)、dip(目的ip)、入接口、出接口、源区域、目的区域;
如果收到会话表有记录的反向流量,可以不用匹配安全策略,直接根据路由表转发;
[FW1]nat-policy [FW1-policy-nat]dis this # nat-policy rule name ttou source-zone trust destination-zone untrust source-address 192.168.2.0 mask 255.255.255.0 action source-nat easy-ip # return (4)在防火墙上配置安全策略,实现不同区域的互通
默认情况下,各区域是互相隔离的,需要配置对应的安全策略,来放行各区域的流量,以实现不同区域的互访。
[FW1]security-policy [FW1-policy-security]dis this # security-policy rule name ttou #实现trust区域可以访问untrust区域的安全策略 source-zone trust destination-zone untrust source-address 192.168.2.0 mask 255.255.255.0 destination-address 10.1.34.3 mask 255.255.255.255 destination-address 192.168.3.0 mask 255.255.255.0 action permit rule name ttoZG source-zone trust destination-zone ZGYD #实现trust区域可以访问ZGYD区域 source-address 192.168.4.0 mask 255.255.255.0 destination-address 10.1.14.0 mask 255.255.255.0 destination-address 192.168.1.0 mask 255.255.255.0 action permit # return (5)最后:在出口的三层设备中配置默认路由,并宣布到OSPF中,让内部主机可以找到网络的出口处,来与外网互通。
#在防火墙上配置默认路由 ip route-static 0.0.0.0 0.0.0.0 10.1.34.3 #将该默认路由宣告到OSPF区域中 [FW1-ospf-1]display this ospf 1 default-route-advertise area 0.0.0.0 network 10.1.14.0 0.0.0.255 network 10.1.24.0 0.0.0.255 # return 实现PC2可以ping通PC3、PC2可以ping通PC4(默认可通)、PC4可以ping通PC1,其他均不可通
实验现象:
网络小白第一次写博客,希望在以后的求学过程中,通过写博客记录自己的生活学习和工作的分享。本人(一个计算机专业的学生党)觉得写博客自己既是对自己的学习总结,也是一种分享,还可以帮到其他人,何乐而不为?希望路过的大佬可以对文章有误或者不足的地方提出宝贵的建议。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/218132.html原文链接:https://javaforall.net
