防火墙技术

这里是苏同学

于 2024-07-25 07:00:00 发布

阅读量565

点赞数 24

文章标签：网络安全网络华为网络协议

本文链接：https://blog.csdn.net/Limit_23/article/details/140674185

版权

一、实验日期与地址

1、实验日期：2024年xx月xx日

2、实验地址：xxx

二、实验目的

1、理解安全策略原理；

2、理解不同安全区域之间的关系；

3、掌握安全区域的配置方法；

4、掌握域间包过滤策略的配置方法。

三、实验环境

华为eNSP模拟器，实验拓扑如下：

四、实验内容

1、实验规划：

设备	接口	IP地址	安全区域
FW	GE 1/0/0	10.2.0.1/24	trust
FW	GE 1/0/1	1.1.1.1/24	untrust
PC1	Ethernet 0/0/1	2.2.2.10/24	untrust
PC2	Ethernet 0/0/1	10.2.0.10/24	trust
PC3	Ethernet 0/0/1	10.2.0.11/24	trust
Client	Ethernet 0/0/0	10.2.0.100/24	trust
FTP-Server	Ethernet 0/0/0	10.3.0.10/24	DMZ
Web-Server	Ethernet 0/0/0	10.3.0.11/24	DMZ
R1	GE 0/0/0	1.1.1.254/24	untrust
R1	GE 0/0/1	2.2.2.254/24	untrust

2、配置步骤：

步骤 1 配置各个设备及接口的IP地址

# 配置防火墙的接口IP地址

[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.2.0.1 24

[FW-GigabitEthernet1/0/0]q

[FW]interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.0

[FW-GigabitEthernet1/0/1]q

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2]ip address 10.3.0.1 255.255.255.0

[FW-GigabitEthernet1/0/2]q

# 配置路由器的接口IP地址

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 1.1.1.254 255.255.255.0

[R1-GigabitEthernet0/0/0]q

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 2.2.2.254 255.255.255.0

[R1-GigabitEthernet0/0/1]q

# 配置PC、STA和Server的网络参数，如下图

步骤 2 将防火墙的接口加入相应的安全区域

[FW]firewall zone trust

[FW-zone-trust]add interface GigabitEthernet 1/0/0

[FW-zone-trust]q

[FW]firewall zone untrust

[FW-zone-untrust]add interface GigabitEthernet1/0/1

[FW-zone-untrust]q

[FW]firewall zone dmz

[FW-zone-dmz]add interface GigabitEthernet1/0/2

[FW-zone-dmz]q

步骤 3 在防火墙上配置IP地址池

# 将不允许的访问外网的IP地址加入trust_ip_deny地址池

[FW]ip address-set trust_ip_deny type object

[FW-object-address-set- trust_ip_deny]address 10.2.0.11 mask 32

[FW-object-address-set- trust_ip_deny]address 10.2.0.10 mask 32

[FW-object-address-set- trust_ip_deny]q

# 将其他10.2.0.0/24网段的IP地址加入trust_ip_permit地址池

[FW]ip address-set trust_ip_permit type object

[FW-object-address-set-trust_ip_permit]address 10.2.0.0 mask 24

[FW-object-address-set-trust_ip_permit]q

步骤 4 创建不允许通过防火墙IP地址的转发策略

# 配置一条安全策略，禁止trust_ip_deny中的主机地址访问Internet

[FW]security-policy

[FW-policy-security]rule name trust_deny

[FW-policy-security-rule-trust_deny]source-zone trust

[FW-policy-security-rule-trust_deny]source-address address-set trust_ip_deny

[FW-policy-security-rule-trust_deny]destination-zone untrust

[FW-policy-security-rule-trust_deny]action deny

[FW-policy-security-rule-trust_deny]q

步骤 5 创建允许其他属于10.2.0.10/24这个网段的IP地址通过防火墙的转发策略

[FW-policy-security]rule name trust_permit

[FW-policy-security-rule-trust_permit]source-address address-set trust_ip_permit

[FW-policy-security-rule-trust_permit]destination-zone untrust

[FW-policy-security-rule-trust_permit]action permit

[FW-policy-security-rule-trust_permit]q

步骤 6 配置允许访问DMZ区域的安全策略

[FW-policy-security]rule name trust_to_dmz

[FW-policy-security-rule-trust_to_dmz]source-zone trust

[FW-policy-security-rule-trust_to_dmz]source-address 10.2.0.0 24

[FW-policy-security-rule-trust_to_dmz]destination-zone dmz

[FW-policy-security-rule-trust_to_dmz]destination-address 10.3.0.0 24

[FW-policy-security-rule-trust_to_dmz]service http ftp

[FW-policy-security-rule-trust_to_dmz]action permit

[FW-policy-security-rule-trust_to_dmz]q

[FW-policy-security]q

步骤 7 在防火墙上启用ASPF

# 在Trust区域和DMZ区域中开启ASPF，实现FTP报文的正常转发

[FW]firewall interzone trust dmz

[FW-interzone-trust-dmz]detect ftp

[FW-interzone-trust-dmz]q

步骤 8 配置其他网络参数

# 配置防火墙默认路由

[FW]ip route-static 0.0.0.0 0 1.1.1.254

# 配置路由器静态路由

[R1]ip route-static 10.2.0.0 24 1.1.1.1

步骤 9 测试不同IP地址通过防火墙的情况

# PC2的IP地址为10.2.0.10/24，ping PC1，如下图

# 把client1的IP地址设为10.2.0.12/24，pingPC1，如下图

# 创建文件夹并启动服务器，Client1分别访问FTP-Server和Web-Server，如下图

步骤 10 查看防火墙会话表以及安全策略

综上，实验成功！

五、实验总结

本次实验旨在通过在华为的ENSP模拟器上配置防火墙安全策略，实现理解安全策略原理、不同安全区域之间的关系、安全区域的配置方法以及域间包过滤策略的配置方法。实验步骤包括配置各个接口的IP地址并加入相应的安全区域，配置地址集和转发策略，以及测试不同IP地址通过防火墙的情况。

实验结果显示，通过配置安全策略和地址集，成功实现了对指定IP地址的访问控制，并确保了网络通信的安全性和可靠性。测试结果表明，各设备间通信符合预期结果，达到了实验目标。

然而，在实验过程中也遇到了一些问题。其中包括：

配置错误导致网络通信失败：在初次配置中，存在部分配置错误导致部分设备间通信失败。
地址集和转发策略的关联不清：在设置地址集和转发策略时，未清晰地定义它们之间的关联，导致部分策略无法按预期生效。

针对以上问题，我采取了以下解决方案：

仔细检查配置：对于配置错误的部分，进行了仔细检查和修正，确保配置的准确性和完整性。
加强对策略关联的理解：加强对地址集和转发策略之间关联的理解，确保它们之间的配合和协调。

通过以上解决方案的实施，最终成功解决了实验过程中遇到的问题，并取得了预期的实验结果。

这里是苏同学

关注

24
点赞
踩
19

收藏

觉得还不错? 一键收藏
打赏
0
评论
防火墙技术

本次实验旨在通过在华为的ENSP模拟器上配置防火墙安全策略，实现理解安全策略原理、不同安全区域之间的关系、安全区域的配置方法以及域间包过滤策略的配置方法。实验步骤包括配置各个接口的IP地址并加入相应的安全区域，配置地址集和转发策略，以及测试不同IP地址通过防火墙的情况。实验结果显示，通过配置安全策略和地址集，成功实现了对指定IP地址的访问控制，并确保了网络通信的安全性和可靠性。通过以上解决方案的实施，最终成功解决了实验过程中遇到的问题，并取得了预期的实验结果。创建不允许通过防火墙IP地址的转发策略。
复制链接

扫一扫