一、实验日期与地址
1、实验日期:2024年xx月xx日
2、实验地址:xxx
二、实验目的
1、理解安全策略原理;
2、理解不同安全区域之间的关系;
3、掌握安全区域的配置方法;
4、掌握域间包过滤策略的配置方法。
三、实验环境
华为eNSP模拟器,实验拓扑如下:
四、实验内容
1、实验规划:
设备 | 接口 | IP地址 | 安全区域 |
FW | GE 1/0/0 | 10.2.0.1/24 | trust |
GE 1/0/1 | 1.1.1.1/24 | untrust | |
PC1 | Ethernet 0/0/1 | 2.2.2.10/24 | untrust |
PC2 | Ethernet 0/0/1 | 10.2.0.10/24 | trust |
PC3 | Ethernet 0/0/1 | 10.2.0.11/24 | trust |
Client | Ethernet 0/0/0 | 10.2.0.100/24 | trust |
FTP-Server | Ethernet 0/0/0 | 10.3.0.10/24 | DMZ |
Web-Server | Ethernet 0/0/0 | 10.3.0.11/24 | DMZ |
R1 | GE 0/0/0 | 1.1.1.254/24 | untrust |
GE 0/0/1 | 2.2.2.254/24 | untrust |
2、配置步骤:
步骤 1 配置各个设备及接口的IP地址
# 配置防火墙的接口IP地址
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/0]q
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1]q
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/2]q
# 配置路由器的接口IP地址
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.254 255.255.255.0
[R1-GigabitEthernet0/0/0]q
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 2.2.2.254 255.255.255.0
[R1-GigabitEthernet0/0/1]q
# 配置PC、STA和Server的网络参数,如下图
步骤 2 将防火墙的接口加入相应的安全区域
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/0
[FW-zone-trust]q
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet1/0/1
[FW-zone-untrust]q
[FW]firewall zone dmz
[FW-zone-dmz]add interface GigabitEthernet1/0/2
[FW-zone-dmz]q
步骤 3 在防火墙上配置IP地址池
# 将不允许的访问外网的IP地址加入trust_ip_deny地址池
[FW]ip address-set trust_ip_deny type object
[FW-object-address-set- trust_ip_deny]address 10.2.0.11 mask 32
[FW-object-address-set- trust_ip_deny]address 10.2.0.10 mask 32
[FW-object-address-set- trust_ip_deny]q
# 将其他10.2.0.0/24网段的IP地址加入trust_ip_permit地址池
[FW]ip address-set trust_ip_permit type object
[FW-object-address-set-trust_ip_permit]address 10.2.0.0 mask 24
[FW-object-address-set-trust_ip_permit]q
步骤 4 创建不允许通过防火墙IP地址的转发策略
# 配置一条安全策略,禁止trust_ip_deny中的主机地址访问Internet
[FW]security-policy
[FW-policy-security]rule name trust_deny
[FW-policy-security-rule-trust_deny]source-zone trust
[FW-policy-security-rule-trust_deny]source-address address-set trust_ip_deny
[FW-policy-security-rule-trust_deny]destination-zone untrust
[FW-policy-security-rule-trust_deny]action deny
[FW-policy-security-rule-trust_deny]q
步骤 5 创建允许其他属于10.2.0.10/24这个网段的IP地址通过防火墙的转发策略
[FW-policy-security]rule name trust_permit
[FW-policy-security-rule-trust_permit]source-address address-set trust_ip_permit
[FW-policy-security-rule-trust_permit]destination-zone untrust
[FW-policy-security-rule-trust_permit]action permit
[FW-policy-security-rule-trust_permit]q
步骤 6 配置允许访问DMZ区域的安全策略
[FW-policy-security]rule name trust_to_dmz
[FW-policy-security-rule-trust_to_dmz]source-zone trust
[FW-policy-security-rule-trust_to_dmz]source-address 10.2.0.0 24
[FW-policy-security-rule-trust_to_dmz]destination-zone dmz
[FW-policy-security-rule-trust_to_dmz]destination-address 10.3.0.0 24
[FW-policy-security-rule-trust_to_dmz]service http ftp
[FW-policy-security-rule-trust_to_dmz]action permit
[FW-policy-security-rule-trust_to_dmz]q
[FW-policy-security]q
步骤 7 在防火墙上启用ASPF
# 在Trust区域和DMZ区域中开启ASPF,实现FTP报文的正常转发
[FW]firewall interzone trust dmz
[FW-interzone-trust-dmz]detect ftp
[FW-interzone-trust-dmz]q
步骤 8 配置其他网络参数
# 配置防火墙默认路由
[FW]ip route-static 0.0.0.0 0 1.1.1.254
# 配置路由器静态路由
[R1]ip route-static 10.2.0.0 24 1.1.1.1
步骤 9 测试不同IP地址通过防火墙的情况
# PC2的IP地址为10.2.0.10/24,ping PC1,如下图
# 把client1的IP地址设为10.2.0.12/24,pingPC1,如下图
# 创建文件夹并启动服务器,Client1分别访问FTP-Server和Web-Server,如下图
步骤 10 查看防火墙会话表以及安全策略
综上,实验成功!
五、实验总结
本次实验旨在通过在华为的ENSP模拟器上配置防火墙安全策略,实现理解安全策略原理、不同安全区域之间的关系、安全区域的配置方法以及域间包过滤策略的配置方法。实验步骤包括配置各个接口的IP地址并加入相应的安全区域,配置地址集和转发策略,以及测试不同IP地址通过防火墙的情况。
实验结果显示,通过配置安全策略和地址集,成功实现了对指定IP地址的访问控制,并确保了网络通信的安全性和可靠性。测试结果表明,各设备间通信符合预期结果,达到了实验目标。
然而,在实验过程中也遇到了一些问题。其中包括:
- 配置错误导致网络通信失败:在初次配置中,存在部分配置错误导致部分设备间通信失败。
- 地址集和转发策略的关联不清:在设置地址集和转发策略时,未清晰地定义它们之间的关联,导致部分策略无法按预期生效。
针对以上问题,我采取了以下解决方案:
- 仔细检查配置:对于配置错误的部分,进行了仔细检查和修正,确保配置的准确性和完整性。
- 加强对策略关联的理解:加强对地址集和转发策略之间关联的理解,确保它们之间的配合和协调。
通过以上解决方案的实施,最终成功解决了实验过程中遇到的问题,并取得了预期的实验结果。